특집

[창간11주년/IT서비스·보안②] 생체정보 대세로 떠오른 파이도 인증

이상일

[디지털데일리 이상일기자] 신한은행, 부산은행 등 모바일 뱅크 서비스에 나선 은행들은 저마다 본인인증 방법으로 생체인증 기술을 도입하고 있다. 이들 은행들이 채택한 생체인식 방법은 지문, 얼굴 등 다양하지만 모두 파이도(FIDO) 인증 기술을 바탕으로 하고 있다.

파이도 인증은 삼성전자, 구글, 마이크로소프트, 페이팔 등 250여개 글로벌 회사가 참여하고 있는 온라인 생체인증 국제표준 단체인 파이도 협회가 부여하는 인증이다.

현재 FIDO 시장은 일부 금융권에서 지문 또는 안면인식 기술을 FIDO 플랫폼에 적용하여 금융거래 앱에 적용하고 있는 상황이며, 지속적으로 금융기관을 중심으로 확대되어 추진될 것으로 예상된다.

그러나 FIDO인증 플랫폼의 특성이 생체인증을 포함한 다양한 인증장치(Authenticator)를 손쉽게 연동하여 인증수단을 선택해서 사용할 수 있는 장점을 제공하기 때문에 향후에는 단순 생체인증 외에도 현재 금융기관에서 사용되고 있는 공인인증서 등 다양한 인증기법이 통합되어 사용될 수 있다.

파이도 인증은 개인의 생체정보가 생체인식단말에 저장돼 있어 추출한 생체정보를 단말에서 비교한 후 전자 서명값이 전송되기 때문에 생체정보가 특정 금융사의 서버로 저장되지 않는다. 때문에 정보 유출에 대한 위험이 상대적으로 적은 것으로 평가된다.

특히 현대인에 필수기기가 된 스마트폰을 활용할 수 있다는 점에서 확산속도도 빠르다. 무엇보다 모바일 금융의 90% 이상이 스마트폰에서 거래되는 만큼 차세대 본인인증의 대안으로 떠오르고 있는 생체인식 기술과 맞물려 보급이 확대되고 있다.

다만 파이도 인증기술은 그대로 기존 금융인증체계에 접목하기에는 어려운 점이 있다. 또, 금융회사 간 호환 불가능성 및 등록과정의 취약성, 높은 매체 의존성 등 문제점도 노출되고 있는 상황이다.

실제로 신한은행의 디지털 키오스크나 기업은행의 홍채인증 ATM의 경우 개인의 생체정보가 금융회사 서버에 저장되어 있고 생체 인식 단말에서 추출한 생체정보를 전송해 서버에서 비교하는 방식이다.

반면 FIDO 방식은 개인의 생체정보가 생체인식단말에 저장되어 있어 추출한 생체정보를 단말에서 비교 후 전자서명 값이 전송되기 때문에 생체정보가 서버로 전송되지 않는다.

각 방식에 일장일단은 있지만 초기 금융사들이 채택하고 있는 생체정보 활용방식은 자사의 서비스 만을 위한 것으로 범용성에는 한계가 있다.

이에 금융결제원은 생체정보를 인증이 불가능한 조각으로 분할해 기관 간 분산 관리해 유출에 대응하는 방법을 제시하고 있다. 생체정보 등록 템플릿 조각을 금융회사와 금융결제원이 분산 관리해 보안을 강화한다는 방안이다.

은행들이 출자해 설립된 금융결제원까지 파이도 인증을 활용한 시스템 구축에 나서면서 파이도 인증은 한국 금융시장 상황에 맞게 최적화되고 있어 확산속도는 점차 빨라질 것으로 전망된다.

다만 파이도와 같이 생체인증을 지원하는 단말기에 생체정보를 저장하고 이를 분산 관리해 보안위협을 낮춘다 하더라도 생체인증이 가지는 고유한 특징으로 인해 금융권 도입에 보다 신중을 기해야 한다는 의견도 제시되고 있다.

금융보안원 보안연구부 보안기술팀은 보고서를 통해 “개인의 생체정보는 비밀번호와 같이 쉽게 변경 할 수 없기 때문에 정보가 유출되지 않도록 안전한 보관 등을 위한금융회사의 지속적인 노력 필요하다”며 “생체정보를 이용한 본인확인도입 시 정보가 유출 되더라도 유출된 정보를 재사용 할 수 없도록 방지 대책이 마련되어야 한다”고 지적했다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널