[핀테크와 보안②] 간편성·보안성 높은 생체인증
상태바
[핀테크와 보안②] 간편성·보안성 높은 생체인증
  • 김선애 기자
  • 승인 2016.03.31 15:48
  • 댓글 0
이 기사를 공유합니다

금융권, 생체인증 도입 속도 빨라져…생체정보 유출 우려 제기되며 ‘행위인증’ 주목

핀테크의 간편성과 보안성을 극대화 할 수 있는 방법으로 가장 먼저 생체인증이 꼽힌다. 지문, 홍채, 안면인식, 정맥인식 등 생체정보를 이용해 본인을 인증하는 방법으로, 사용자가 별도의 매체를 소지하거나 비밀번호를 외우지 않고도 직접 스스로를 인증할 수 있어 강력한 인증 수단으로 꼽힌다.

생체인증을 이용한 금융거래는 이미 시중 은행에서도 서비스가 시작됐다. 신한은행은 지난해 12월 디지털 키오스크에서 손바닥 정맥인증으로 금융업무를 이용할 수 있도록 했으며, NH농협은행은 스마트폰 지문인식 인증으로 금융상품에 가입할 수 있도록 했다. 향후 지문이나 홍채인식으로 ATM을 이용할 수 있도록 할 계획이다.

KEB 하나은행은 스마트폰뱅킹에서 지문인증으로 공인인증서 없이 계좌이체까지 가능하도록 했으며, 우리은행은 홍채인증 자동화기기를 상용화하고 디지털 키오스크에서 활용할 수 있도록 기술을 개발하고 있다.

생체인증 서비스가 확산되면서 생체정보 유출 우려도 높아지게 되자 금융결제원은 ‘바이오인증 정보 분산관리 센터’를 설치하고 10월부터 운영할 방침을 밝혔다. 이 센터는 은행과 금결원이 개인의 생체정보를 나눠 보관하는 방식으로, 인증 요청이 왔을 때 금결원의 정보와 은행의 정보를 합해서 사용하는 방식이다. 개인의 생체정보를 한 기관이 독점하지 않으며, 정보유출 사고가 일어나고 완전한 정보가 아니기 때문에 사용할 수 없다.

금융권이 생체인증 기술을 적극적으로 밀어부치면서 생체인증 관련 국제표준인 FIDO 인증을 획득하면서 이 시장에 진출하는 기업도 빠르게 늘어나고 있다. 현재 국내 기업 중 FIDO 인증을 받은 곳은 삼성전자, LG전자, SK플래닛, ETRI, 크루셜텍, 드림시큐리티, 라온시큐어, 시큐브 등이다. 인증 플랫폼을 개발하는 기업들과 생체인증 기술을 제공하는 기업들도 FIDO 인증 획득을 위해 잰걸음을 걷고 있다.

▲FIDO 표준 기반 사용자 인증 방식. 사용자 기기에서 본인 확인이 된 후 인증 키 값만 금융기관 서버로 전송된다. (자료: FIDO 얼라이언스)

생체정보 보호 위한 장치 마련돼야

생체인증이 이미 현실에서 사용되고 있지만, 여전히 이에 대한 부정적인 시각이 있다. 생체정보를 수집해 보관하는 기업들이 이 정보를 안전하게 지킬 것인지 신뢰할 수 없다는 이유이다. 대규모 개인정보 유출사고는 민감한 개인정보를 가장 많이 갖고 있는 금융기관과 통신사였다. 이 기업들이 아무리 보안 시스템을 안전하게 갖췄다 해도 완벽한 보호는 불가능하기 때문에 유출됐을 때의 대책을 마련해야 한다.

이문형 보메트릭코리아 지사장은 “생체정보는 비정형 데이터로 저장되기 때문에 비정형 데이터의 암호화가 중요한 이슈가 될 것이다. 강력한 암호화와 키관리 기술이 생체인증 시장에서도 필수적으로 사용되게 될 것”이라며 “보메트릭이 가진 가장 경쟁력 있는 파일기반 암호화 기술을 관련 시장에 적극 드라이브해 시장을 만들어나가겠다”고 말했다.

생체정보는 당연히 암호화돼 저장될 것이지만, 암호화가 만능은 아니다. 암호화 키와 함께 유출되면 아무 소용없다. 금결원 바이오인증센터가 운영되면, 센터와 은행에 저장된 정보를 한 쌍으로 결합시키고, 인증요청이 온 소비자의 인증정보를 비교해 일치하면 인증이 이뤄지는 방식을 택하게 될 것이다.

본인의 현재 생체정보가 없으면 센터와 은행의 생체정보를 읽을 수 없으므로, 안전하게 보관될 수 있을 것으로 보인다. 그러나 사용자의 생체정보와 센터/은행에 저장된 정보가 서로 오고가는 과정에서 탈취된다면 보안을 보장할 수 없다.

그렇다고 해도 ‘만일’을 생각해보지 않을 수 없다. FIDO 인증의 경우, 생체정보는 사용자 단말에 암호화해 저장하고, 인증이 필요할 때 사용자의 생체정보를 인식시켜 일치하면 인증하는 방식을 택한다. 단말에서 본인 인증이 완료되면 인증키값만 인증서버로 보내는 방식이기 때문에 생체정보가 직접 전송되지 않아 안전하다.

그러나 만일 제조사들이 간편결제 주도권을 잡기 위해 인증에 필요한 API를 공개하지 않으면 어떻게 할 인가. 거대 스마트폰 OS 기업인 애플과 구글이 각각 간편결제 서비스를 출시하고 시장의 주도권을 잡기위한 혈투를 벌이고 있는 상황에서 이러한 상황을 배제할 수는 없다.

한유석 에어큐브 전무는 “단말에서 생체인증을 하는 방식은 기기 의존도를 높이기 때문에 제조사들이 독점하기 쉽다. 이 문제를 해결하는 것은 쉽지 않을 것”이라고 말했다.

생체행위인증으로 생체인증 부작용 해결

생체인증의 대안으로 제안되는 것이 생체행위인증이다. 사람의 행동을 정밀하게 분석해 인증하는 방법으로, 생체정보를 직접 사용하는 것이 아니어서 생체정보 유출 우려가 없다. 사람이 가진 고유의 습관을 디지털화 해 인증하는 것이므로 다른 사람이 따라하기 어려우며, 유출 됐다면 행동을 바꾸면 되기 때문에 간편하다.

수기서명인증은 서명을 하는 속도, 습관, 압력 등을 정밀하게 분석해 그 사람이 직접 서명을 한 것인지 확인할 수 있으며, 터치패드가 있는 기기에서 모두 다 사용할 수 있기 때문에 별도의 리더기가 필요 없다. 수기서명인증은 10여년 전 PDA가 보급될 때 연구가 진행된 바 있었으며, 최근 간편결제 인증을 위해 다시 주목받으면서 연구가 활발하게 진행되고 있다.

아직 수기서명인증을 본격적으로 도입한 금융기관은 없다. 실제 환경에서 테스트 해 봤을 때 인식률이 80% 정도로, 인증수단으로 사용하기에는 부족하며, 다른 인증수단을 보완하는 정도의 용도로 사용할 수 있지만, 금융기관이 적극적으로 검토하는 단계는 아니다.

이규호 시큐브 연구소장은 “시큐브의 수기서명 인증 기술을 자체적으로 검토한 결과 인식률이 95% 이상 되는 것으로 분석된다. 시큐브는 수기서명인증과 관련된 특허를 다수 보유하고 있으며, 기술에 대한 안정성도 검증된 만큼 곧 금융권에도 적용사례가 나오게 될 것”이라고 자신했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.