- 최운호 CSO “스마트홈·스마트카 생체인증·재해시 ATM·POS 사용도 가능”

[디지털데일리 이유지기자] 지문센서가 탑재된 스마트폰에서 바이오인식(생체인식) 기술을 활용한 모바일 결제서비스가 확산되고 있다. ‘애플페이’, ‘삼성페이’가 대표적이다.

전자거래 본인확인 수단으로 널리 쓰인 공인인증서가 ‘액티브X’ 문제와 결부돼 사용자 뭇매를 맞으면서 새로운 인증방법이 모색되고 있는 시기에 생체인증은 가장 각광을 받는 대안으로 떠올랐다.

SK플래닛이 ‘시럽페이’와 ‘11번가’에 지문인증을 적용을 추진하는 등 앞으로 결제서비스에서 지원하는 생체인증서비스가 확산될 것으로 보인다.

구글, 페이팔, 알리바바, 마이크로소프트, 비자, 마스터카드 등 이미 세계적인 인터넷서비스 기업, 카드사 등이 비밀번호 대신에 생체인증 지원 대열에 뛰어들었다. 이들을 포함한 200개 가까운 기업들이 이미 글로벌 생체인증표준 개발 컨소시엄인 FIDO(Fast IDentity Online)얼라이언스에 가입돼 있다. 삼성, LG, 라온시큐어, 한국정보인증, 한국전자인증 등 우리나라 기업들도 속속 합류했다.

최근 FIDO얼라이언스에는 미국의 NIST와 영국의 기관도 이름을 올렸다. 국가 차원에서 적극적으로 신체정보를 활용한 생체인증 도입을 적극 추진하고 있다.

‘삼성페이’에 적용돼 있는 FIDO 인증을 채택하는 서비스는 앞으로 크게 늘어날 것으로 전망된다.

이같은 FIDO 기반 생체인증은 우리나라 공인인증서 기반기술로 널리 사용되고 있는 ‘공개키기반구조(PKI)’와 결합돼 편리성뿐만 아니라 강력한 보안성까지 갖춘 인증방식으로 활용되고 있다.

우리나라도 보다 적극적으로 생체인식기술과 PKI 기술을 사용해 사물인터넷(IoT) 시대에서 온·오프라인을 넘나드는 인증방식으로 활용가능성을 모색, 확산시켜야 한다는 주장이 제기됐다.

최운호 한국화웨이 사이버보안책임자(CSO)는 ‘IoT 시대의 정보보호와 사이버시큐리티’를 주제로 최근 열린 한국정보시스템감사통제협회(ISACA) 컨퍼런스 기조연설자로 나와 “이제는 사고방식을 바꿔야 한다”며 생체인식과 PKI를 결합한 인증방법 활용을 확산시킬 수 있도록 모색해야 한다고 강조했다.

최 CSO는 “IoT 시대에서는 온·오프라인을 넘어 모든 것을 연결해 다양한 서비스에서 사용할 수 있는 멀티인증을 만들어내야 한다”면서 “편리하고 보안성이 높으면서 경제성도 갖춰 가장 활발히 사용할 수 있는 방법이 생체인증, 특히 지문인증이며 안전한 방법을 지원하는 것이 바로 PKI 공인인증서 기술”이라고 장점을 소개했다.

화웨이에 결합하기 직전 최 CSO는 4년간 유엔난민기구에서 최고정보보호책임자(CISO)를 역임하면서 다양한 용도로 사용할 수 있는 스마트난민카드를 만들었다. 이날 이같은 경험을 소개하면서 생체인증을 온라인 뿐만 아니라 오프라인까지 폭넓게 활용성을 모색해야 한다고 제안했다.

우리나라는 공인인증서 기술을 전자금융거래와 전자민원같은 공공서비스 등에서 널리 활용되고 있다. 더욱이 공공기관에서 지문인식 기술을 활용한 민원발급서비스도 이미 제공하고 있다. 전 국민의 지문정보를 모은 주민등록 데이터베이스를 확보하고 있기 때문에 생체인식과 PKI 기술을 결합해 IoT같은 새로운 서비스 환경에 선도적으로 적용할 수 있는 기반이 충분히 갖춰져 있다는 것이 그의 얘기다.

최 CSO는 “우리나라는 금융서비스에 생체인증을 활용하기 어렵다거나 공인인증서 때문에 PKI 기술을 쓰지 말아야 한다고 오해하고 있다”고 지적하면서 “애플페이를 제공하는 애플은 루트CA(최상위인증기관)이다. 애플 역시 PKI 방식을 지문인증 결제서비스에 사용한다. 앞으로 스마트카 등 사용이 확대될 것”이라고 내다봤다.

PKI 방식이 널리 사용되는 이유로는 가장 먼저 안전성 들었다. 개인키와 공개키를 사용해 인증이 이뤄지기 때문에 생체정보가 유출될 위험성을 해소할 수 있다는 이유에서다. 모바일기기에서 지문인증이 이뤄지는 경우 생체정보는 스마트폰의 안전한 영역에 암호화돼 저장된다. 인증서버로는 생체정보가 전달되는 것이 아니라 공개키만 보낸다. 그 때문에 FIDO 인증에서도 이 방식이 쓰인다.

생체인증, 특히 지문인증의 경우엔 열손가락을 활용해 PKI 기술로 용도가 다른 여러 개인키로 활용할 수 있어 다양한 서비스 인증 용도로 한꺼번에 활용할 수 있다는 것이 최 CSO의 설명이다.

최 CSO는 “예를 들어 재난재해시 금융기관이 문을 닫았을 경우 ATM이나 POS 단말로 자신임을 증명하면 일정량의 돈을 인출할 수 있다. 한 손가락의 지문은 정상결제 용도로 등록하고 다른 손가락 지문은 강도 위협시 경찰에 신고용으로 등록해 사용하면 강도를 만났을 때도 바로 신고할 수 있다”고 설명했다.

그는 “이미 요르단에서는 홍채 인식기술로 은행 계좌를 개설하고 돈을 인출하는데 사용하고 있다. 나이지리아는 칩 하나에 전자주민증과 전자여권, 운전면허증, 신용카드, 교통카드, 연금 기능을 모두 사용할 수 있는 카드를 만들기도 했다”고 해외에서 생체인식과 PKI 기술을 결합해 다양하게 사용하고 있는 사례를 언급하며 “이것이 전자주민증의 미래”라고 강조했다 .

최 CSO는 지난 5월에 유엔(UN)이 개최한 정보사회세계정상회의(World Summit on Information Society)에서 지진·태풍·홍수같은 재난·재해시에 ATM·POS 사용방법으로 생체인증을 소개한 바 있다.

그는 “우리 공인인증서에서는 적용돼 있지 않는 PKI의 확장영역을 사용하면 생체기반의 다양한 코드와 일회용비밀번호(OTP), 기기 번호·시리얼 번호, QR코드나 바코드를 조합해 사용할 수도 있다”고 제시했다. 이같은 방법으로 스마트시티, 스마트홈의 다양한 기기에서나 스마트카 등의 IoT 환경에서 필요한 인증 용도로도 활용할 수 있는 것이다.

최 CSO는 “생체인증은 앞으로 더욱 널리 사용될 것”이라며 “지문센서가 탑재돼 있는 스마트폰 외에도 지문센서가 부착된 신용카드가 나온다. 올 10월~11월 말에는 3개 은행, 4개 카드사가 보급할 예정”이라고 말했다.

<이유지 기자>yjlee@ddaily.co.kr

* 최 CSO가 발표한 내용은 유엔난민기구에서의 활동경험을 바탕으로 소개한 것으로, 화웨이가 제공하는 서비스나 공식 입장이 아닙니다.