내 몸이 비밀번호가 되는 생체인증 안전할까?
다양한 기술이 각축하도록 정부가 인증방식을 강제하지 말라
http://www.techm.kr/bbs/board.php?bo_table=article&wr_id=1759
내 몸이 비밀번호가 되는 ‘생체인증’ 안전할까?
금융위원회와 금융감독원은 지난해 6월 인터넷전문은행 도입방안을 발표하고 은행법을 비롯한 전반적인 규제를 완화했다.
인터넷전문은행 도입의 목적은 카카오뱅크와 케이뱅크를 시범적으로 인가해 인터넷전문은행의 성공가능성을 검증한 다음, 시장 동향 및 소비자 반응 등을 종합해 1~2년 뒤 더 많은 인터넷전문은행을 인가하는 것이다. 추후 핀테크가 제대로 꽃필 수 있는 환경을 만들어 나가는 것이다.
가장 눈에 띄는 내용은 ‘비대면 실명확인 방식 허용’이다. 1993년 금융실명법 제정 이후 22년 만에 비대면 실명확인을 전격적으로 허용했다. 금융위는 금융실명법, 전자금융거래법에 따른 실명확인을 ‘복수의 비대면 방식’으로 수행할 수 있도록 했다.
비대면 실명확인 방식을 필수 확인 사항과 권고 확인 사항으로 분류해 필수 확인 사항으로는 ▲신분증 사본 제출 ▲영상통화 ▲접근매체 전달시 확인 ▲기존 계좌 활용 ▲기타 이에 준하는 새로운 방식(생체인증 등) 중 두 가지 방법을 의무적으로 적용해야 한다. 권고 확인 사항으로는 ▲타 기관 확인결과 활용(휴대폰 인증 등) ▲ 다수의 개인정보 검증까지 포함해 이미 선택한 2가지 방법을 제외하고 한 가지 이상의 방법으로 추가 확인할 것을 권고했다.
신한은행, IBK기업은행, 우리은행도 비대면 계좌개설이 가능한 스마트폰 앱을 잇따라 출시했다. 앱을 통해 은행 방문 없이 실명확인을 하면 계좌개설, 체크카드 발급은 물론 신용대출까지도 손쉽게 받을 수 있다. 짧은 점심시간을 이용해 식사도 하지 못한 채 은행에 직접 방문해 번호표를 뽑고 기다리는 일이 이젠 옛일이 된 것이다.
생체인증 서비스로 다가오는 은행들
인터넷전문은행과 비대면 실명확인을 통해 앞으로의 모바일 금융은 더욱더 접근성이 좋아질 것이다. 그러나 아직도 본인 확인 절차는 복잡하고 불편하다.
톰 크루즈 주연의 영화 ‘마이너리티 리포트’에서 미래사회는 홍채인식을 통한 방법으로 순식간에 사람을 인식한다. 뛰어난 보안성과 복잡한 암호를 외울 필요가 없는 지문, 팔뚝의 정맥, 홍채, 음성과 같은 개인의 몸을 통해 인증하는 생체인식 시대로 접어들고 있다.
2013년 애플은 ‘아이폰5S’에 ‘터치 아이디(Touch ID)’ 기술을 도입해 사용자들로 하여금 지문을 통해 잠금해제를 할 수 있게 했다. 터치 아이디 지문정보는 애플의 클라우드 서버에 저장되는 것이 아니라 단말기 자체의 보안구역에 저장되기 때문에 해킹을 통해 유출될 가능성이 낮다. 또 애플은 지문인식 기능을 앞세워 ‘애플페이’ 서비스를 출시하고 모바일 결제시장에 발을 들여 놓았다.
아직까지 우리나라에서는 이용할 수 없지만 미국 등 해외에서는 이베이, 아마존과 같은 온라인 쇼핑몰 및 비자, 마스터카드와 같은 카드사와 협력해 편리한 지급결제 서비스를 제공하고 있다.
삼성전자 역시 자사의 스마트폰에 지문인식 기능을 탑재하고, ‘삼성페이’를 출시했고 시장에서 뜨거운 반응을 불러 일으켰다.
일본 회사인 NTT도코모가 후지쯔와 공동으로 개발한 스마트폰 ‘애로우스 NX F-04G’에는 홍채인식 기능이 탑재됐다. 적외선 카메라와 발광다이오드 기능이 더해져 적외선 LED를 눈에 쏘아 홍채 주름을 읽고 패턴을 코드화한다.
중국 스마트폰 업체인 비보가 개발한 홍채인식 스마트폰 ‘X5프로’는 사용자 홍채의 혈관 패턴을 인식해 본인여부를 인증한다. 삼성전자 역시 2012년부터 홍채인식과 관련된 특허를 출원하고 다음 세대 생체인증 기술을 개발하고 있다.
지난해 중국판 블랙프라이데이인 광군제를 통해 하루 만에 16조 원의 매출을 올려 이슈가 된 중국 최대 전자상거래 업체 알리바바는 자사의 지급결제 수단인 ‘알리페이 월렛’에 적용할 수 있는 얼굴인식 결제 시스템 ‘스마일 투 페이’를 발표했다.
그동안 부정확한 인식력이 얼굴인식 기술의 발목을 잡았다면, 현재는 오인식률이 1% 이하로 떨어져 안경이나 가발은 물론, 쌍둥이까지도 정확히 구분이 가능한 단계에 이르렀다. 마이크로소프트는 지난해 발표한 윈도10에 안면인식 로그인 기능인 ‘윈도 헬로’를 포함했다.
일란성 쌍둥이조차도 감지하는 뛰어난 인식력에도 불구하고 헬로의 필수 부품인 심도감지 카메라가 없으면 사용할 수 없다는 점이 가장 큰 단점이었지만, 이마저도 토비사가 개발한 ‘아이엑스’를 이용해 기존 컴퓨터에서도 헬로 로그인 기능을 사용할 수 있게 됐다.
신한은행은 손바닥 정맥을 통한 본인인증방식을 도입한 신개념 무인점포 키오스크를 도입했다. 신한은행이 도입한 정맥인증은 센서에 한쪽 손을 올려놓으면 적외선 센서가 손바닥 피부 속 정맥의 패턴을 읽는 방식으로 일본 후지쯔가 개발했다. 정맥인식의 오인식률은 0.0001% 이하로 현재까지 개발된 기술 중에서 오인식률이 가장 낮다.
정맥인증을 이용해 통장이나 체크카드 없이 손바닥만으로 본인인증을 거쳐 송금, 출금 등 일반 ATM에서 할 수 있는 일반적인 거래를 할 수 있다.
KEB하나은행은 한국전자통신연구원과 제휴를 맺고 안면근육 인식을 통한 비대면 본인확인 기술을 올해부터 시범 적용할 계획이다.
IBK기업은행 역시 핀테크 스타트업 이리언스와 제휴해 홍채인식 시스템 도입을 추진 중이다. 글로벌 은행인 씨티은행도 스마트폰과 홍채인식 등을 이용한 ATM 도입을 검토 중이다.
스마트폰 앱을 통해 미리 거래 예약을 한 다음 근거리무선통신(NFC), QR코드, 홍채인식을 통해 본인인증을 하면 필요한 거래가 이뤄지는 시스템이다. 이미 요르단에서는 홍채인식을 이용해 은행에서 계좌를 개설하고 돈을 찾을 수 있다고 한다.
생체인증 정보 유출 땐 치명적
생체인증 관련 기술이 날이 갈수록 발전함에 따라 인식 정확도는 높아지고, 전용 센서 등 부품 가격은 낮아지고 소형화 되고 있다. 머지않아 ‘생체인증 춘추전국 시대’가 올 것이다. 온라인 환경에서 생체인식기술 활용 인증방식에 대한 기술표준인 FIDO(Fast Identity Online)는 삼성전자, LG전자, 구글, 마이크로소프트, 마스터카드, 페이팔 등 글로벌 유명 IT기업, 카드사 등이 참가해 표준을 주도하고 있다.
생체인증정보는 개인정보보호법상 개인정보이므로 개인정보 안전성 확보조치 기준을 모두 충족시켜야 한다. 생체인증 정보가 유출되면 정보주체의 명의도용을 막을 수 없어 회복하지 못할 피해가 발생하므로 섣부른 도입보다는 정보보호에도 신중을 기해야 한다.
지난해 7월 한국은행과 금융결제원이 공동으로 개발한 ‘바이오인증 표준 기술 규격(안)’은 데이터를 분산관리 해 보안성 및 활용성을 확보하겠다는 내용을 담고 있다. 분산관리란 생체정보를 분할해 서로 다른 곳에 저장 후 이를 인증 시 재결합해 사용하는 방식이다.
그리고 생체정보와 그 부가정보를 관리하는 금융공동센터 역할을 ‘분산관리센터’가 수행하게 된다. 미국은 2008년 대통령 훈령을 통해 국가기관이 준수해야 할 개인 생체정보 수집·저장·이용·분석 및 공유 지침을 마련했다. 이를 바탕으로 각 주의 상황에 알맞은 가이드라인을 세워 지키도록 했다.
생체인증이 정확하고 편리한 만큼 변하지 않는 속성이므로 오남용 시 위험성도 크다. 진정한 핀테크 발전을 위해서는 비대면 금융거래에 있어서 오프라인형 본인인증 방식을 정부가 규제로 강요하기보다는 다양한 인증방식을 도입할 수 있도록 규제를 철폐해야 할 시점이다. 그래야 본인인증 산업도 국내형 산업을 벗어나 글로벌 산업으로 발전할 수 있다.
<본 기사는 테크M 제35호(2016년3월) 기사입니다>
