기획

[기획/생체인증 안전한가? 下 ] 금융권 "생체인증 대세는 불변"…대안 인증에도 관심

디지털데일리 발행일 2019-10-23 09:55:43
이상일
[
디지털데일리 이상일기자] 삼성전자 ‘갤럭시노트10 시리즈’와 ‘갤럭시S10 시리즈’ 기기의 전면부에 일부 실리콘 케이스를 씌우면 등록되지 않은 지문으로도 잠금이 해제된다는 사실이 알려지며 금융권에서의 대책 마련이 시급하다는 지적이 제기되고 있다.

관련 내용이 알려진 후 은행들은 공지 등을 통해 생체(바이오) 인증서를 해지하고 로그인 방식을 간편 비밀번호 혹은 패턴 선택으로 변경할 것을 안내하고 있다. 삼성전자가 SW패치를 통해 해당 문제를 해결할 때까지 사실상 지문인증 방식을 사용하지 말라고 한 것이다.

일단 금융결제원은 “디바이스와 로그인 분야의 바이오인증은 큰 피해가 없는 상황”이라며 “이체 등이 발생하는 거래의 경우, 추가로 다른 인증수단이 필요하니 사고로 이어지진 않을 것”이라고 밝혔다.

다만 개별 은행의 경우 현재 지문방식의 생체인증을 우회하는 방식을 택하고 있다. 특히 모 은행의 경우 기한을 정하지 않고 지문인증을 중단하기로 결정한 것으로 전해진다.

한 시중은행 보안부서 관계자는 “은행 들이 대부분 잠정적으로 지문인증을 우회하는 방법을 택했다”며 “일부 은행의 경우 당분간 지문인증을 중단시키기로 한 것으로 안다. 이는 은행마다 정책이 상이하기 때문에 해당 은행이 판단하고 있는 문제”라고 밝혔다.

그동안 국내 금융권 생체인증은 지문인증을 기반으로 성장해왔다. 지문인증은 생체인증 방식 중 가장 범용성이 높은 방식으로 각광받아왔다. 현재 스마트폰 단말기에서 지원하는 대표적인 인증방식은 지문을 비롯해 홍채, 얼굴인식 등이 사용되고 있다. 다만 편의성 측면에서 지문인식을 능가하는 방식은 없다는 것이 중론이다.

한 업계 관계자는 “홍채인식의 경우 사용자가 있는 환경에서의 조명 등 빛의 밝기, 카메라의 위치 등에 따라 속도 차이가 있다”며 “지문인식의 경우 즉시성 측면에서 효율이 높은 것이 사실”이라고 밝혔다.

지문과 홍채를 제외한 다른 생체인증 방식은 주로 간편결제 서비스에서 사용된다. 예를 들어 얼굴인식의 경우 일부 간편결제 서비스에 적용되고 있다, 카카오페이가 얼굴인식으로 본인인증 서비스를 제공하는 것이 대표적이다. 신한카드는 카드 실물과 모바일 기기 필요 없이 얼굴만으로 결제하는 ‘신한 페이스페이’를 선보이기도 했다. 다만 은행 앱에 적용은 아직이다.

하지만 결국 금융권에서 사용되는 생체인증은 모두 단말제조사가 제공하는 기술을 기반으로 한다는 점에서 금융권 자율적 선택에는 제한이 있는 것이 현실이다.
그리고 금융권 생체인증 기술의 서비스 적용에는 단말제조사가 제공하는 생체인증 기술에 대한 신뢰가 깔려 있다. 실제로 생체인증 기술의 스마트폰 적용에 대해 금융사가 할 수 있는 일은 사실상 없다.

다만 이번 사고에 대해 금융권에선 기술 발전 과정에서 일어난 오류라며 앞으로도 생체인증에서 단말제조사의 보안 기술 및 전략 등을 믿고 갈 수 밖에 없다는 지적도 나온다.

한 은행권 관계자는 “최근 애플에서 지문인식에서 얼굴인식으로 보안인증 수단을 바꿨는데 관련해 금융권 보안담당자들이 논의한 적이 있었다”며 “결국 지문이나 얼굴인식이나 API는 동일하다는 점에서 생체인증 방식의 발전을 막을 수는 없다는 것이 결론이었다”고 밝혔다.

한편 금결원은 “기존 정전식 센서에서는 문제가 없었는데 이번에 최초 적용한 초음파 센서와 지문정보 유효성 검증기준을 낮춘 소프트웨어 문제로 보고 있다. 금결원 입장에서 엄격하게 간다면 향후 갤럭시S10 이용자는 PIN인증 등 추가인증을 하는 등의 조치를 취할 수는 있지만 다만 필요한 경우에 해당한다”고 밝혔다. 금결원 관계자는 “금융결제원은 삼성전자의 업데이트 후에 바이오인증 성능 평가 시스템을 이용해 성능평가를 실시할 예정”이라고 덧붙였다.

대안 생체인증 기술에 대한 논의도 활발해질 것으로 보인다. 현재 생체인증 중 보안성이 뛰어난 것으로 알려진 정맥인식 기술이 스마트폰에 탑재될 수 있을지 여부가 주목된다. 관련업계에서는 기술 발전의 폭이 큰 만큼 시간이 해결할 수 있는 문제로 보지만 결국 스마트폰 제조사가 해당 기술을 선택할지 여부에 달려 있다는 지적이다,

한편 지난 2017년 금융결제원은 신규 인증기술인 장문(손바닥)인증 솔루션을 공개 시연한바 있다. 금융결제원은 기존 스마트폰 제조사에서 제공하는 지문/홍채/ 얼굴인증 이외 추가적으로 보안성이 강화된 소프트웨어 타입의 새로운 인증수단을 제공에 초점을 뒀다.

금결원 관계자는 “관심이 있던 금융회사 중심으로 도입되어 현재 산업은행을 비롯한 일부기관에서 금융서비스에 적용하고 있다”며 “2018년 8월 전북은행에 최초 도입돼서 로그인, 이체 등 업무 이용 가능하며 금융결제원 바이오업무 참가은행 뿐아니라 증권사, 보험사로 도입 확대 진행 중”이라고 밝혔다.

<이상일 기자>2401@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스