금융IT

생체기반 ‘금융보안’ 시대 열렸지만… '표준화' 장벽 남았다

박기록
* 본 기사는 디지털데일리가 올해 6월 발간한 '디지털금융, 혁신과 도전' 2017년 특별호에 실린 내용중 일부를 요약한 것입니다. 편집 사정상 기사의 내용이 특별호 내용과 다를 수 있습니다.<편집자>

-고사양 스마트폰 출시, 모바일 기반 보안 수준 진화
-금융권 독자 ‘생체인증’ 기반 금융서비스 확산

[디지털데일리 박기록기자, 최민지기자] 현재 국내 금융권에서 선보이고 있는 혁신적인 모바일 금융서비스는 사실 ‘생체 인증’(바이오 인증)의 역할이 90% 이상이라고해도 과언이 아니다. 만약 생체 인증 수단이 없었다면 금융회사들은 ‘비대면채널’시대에 대응하기위한 혁신적인 보안 수단을 찾는데 여전히 골머리를 앓고 있을지 모른다.

생체인증이 없었다면 금융 당국도 어쩔 수 없이 기존 전자금융감독규정을 수십번 수정했을 것이다. 요약하자면 지금의 금융 생체인증 활성화는▲생체인증에 보내는 고객들의 높은 기술적 신뢰성, ▲기존 보안절차와 비교할 수 없는 편리성, ▲모바일 기반 중심의 금융거래 정착 ▲자율기조의 금융보안 정책 등 몇가지 요인이 시기적으로 조화롭게 맞아떨어진 결과다.
그리고 과거 생체인증 도입때마다 번번히 쟁점이 됐던 인권이나 프라이버시(privacy)의 문제도 예상보다 크게 부각되지 않았다. 이는 아마도 비대면채널 시대에서의 보안 위험성이 현실화된데 따른 대중의 인식이 변화된 결과로 받아들여진다.
그러나 혁신적인 보안수단으로 각광을 받고 있는 생체기반의 모바일(스마트폰) 금융서비스가 몇가지 측면에선 상당한 비판을 받고 있다는 점도 간과해서는 안된다.

고가의 최신 스마트폰에서만 생체인증 기반 금융서비스가 제공된다는 측면에서 새로운 형태의 ‘디지털 격차’ 문제가 제기되고 있다. 금융은 고객 모두에게 보편적 서비스여야하기 때문이다. 고사양의 스마트폰을 소유한 고객에게만 양질의 보안서비스가 차별적으로 제공되는 것은 문제가 있다.

물론 일부 금융회사들은 저사양의 기존 스마트폰에서도 높은 보안성을 획득할 수 있는 방안을 제시하는 모습을 보여주고 있지만 근본적인 해결책은 아니다. 이는 모바일 생체인증에 기반한 금융서비스를 금융회사가 아닌 스마트폰 제조사가 결정하기 때문이다. 이는 금융서비스의 로드맵을 진화시키는데 있어 매우 불안한 요소로 작용할 가능성이 높다.

◆모바일 제조사에 의존하는 금융보안서비스 로드맵 =지난해 9월, ‘갤럭시노트7’이 출시 직후 뱃터리 폭발 사고로 논란을 겪자 삼성전자는 우여곡절 끝에 결국 단종을 선언했다. 이 여파로 금융권의 생체인증 기반 금융서비스도 사실상 몇 개월간 올스톱됐다가 올해 4월 ‘갤럭시8’이 출시되면서 겨우 재개됐다.

한 시중은행 스마트금융부 관계자는 “당장은 혁신성 때문에 논란이 되지않고 있지만 금융회사가 스마트폰 제조사의 눈치를 보는 상황이 바람직스럽지는 않다”고 말했다.

삼성전자, LG전자 등 스마트폰에 기반한 ‘모바일 생체인증’ 프로세스는 금융회사가 FIDO 표준 가이드라인에 따라 대응하고 있기 때문에 표준화에 대한 논란은 없다. 스마트폰 기반으로 제공되는 생체인증 정보(지문, 홍채, 안면 등)는 금융회사가 정보를 가지고 있지 않을 뿐만 아니라 관리의 주체도 아니다.

그러나 금융회사가 독자적으로 고객의 생체정보를 취득해서 관리하는 방식의 금융서비스, 즉 ATM 또는 디지털 키오스크 등에 생체인식(인증)을 적용하는 방식은 앞으로 몇가지 문제점을 극복해야 한다.

취득한 생체정보에 기반한 금융서비스를 좀 더 폭넓게 활용할 수 있어야 한다. 예를들어 CD공동망처럼 A은행 고객이면 금융결제원 공동망에 가입한 B, C, D 은행의 무인점포도 편리하게 이용해야한다. 하지만 아직 이 부분에선 은행들마다 입장이 다르다.

앞서 금융 당국은 지난해 11월 ‘바이오정보 분산관리 표준’을 확정했지만 금융회사간 바이오정보에 의한 타행 서비스가 아직 가능하지는 않다. 금융결제원측은 “이는 당사자들간의 별도의 합의가 필요하다”는 입장이다.

또한 기술적인측면에서도 생체인식을 금융서비스에 100% 적용하기에는 아직 미흡한 부분이 존재한다. 즉, 생체정보가 본인을 타인으로 오인하는 본인거부율(FRP), 또 타인을 본인으로 오인하는 타인수락률(FAR)이 아직 다른 인증수단들에 비해 상대적으로 높아 고객 불편이 존재한다고 분석했다.

올해 1분기, 우리은행은 음성인식에 기반한 인공지능(AI) 뱅킹서비스를 국내 은행권에서는 가장 빠르게 선보였지만 ‘음성 인증’방식으로 하기에는 아직 정합성 기준에 다소 미흡하다고 판단하고, 이 부분을 스마트폰 본인 인증방식을 통해 보완하고 있다. 물론 기술적인 보완이 이뤄지면 장기적으론 ‘음성인증’ 방식으로 전환할 계획이다.

◆‘바이어정보 분산관리센터’ 역할 중요 = 금융결제원은 지난해 12월24일부터 ‘바이오정보 분산관리센터’를 공식 가동하기 시작했다. 신한은행, 우리은행, 국민은행 등 주요 금융회사들은 올해 분산관리센터를 이용한 독자적인 바이오인증 기반의 금융서비스 비중을 확대하고 있다.

‘바이오정보 분산관리센터’는 바이오정보 분산관리 금융표준을 기반으로 구축됐으며 금융결제원 외 은행, 증권사, 보험사, 카드사, 우체국·서민금융회사 등 국내 59개 금융회사가 참여하고 있다. 참가 금융회사는 내부 전산시스템과 분산관리센터간 연동이 완료되는 대로 바이오인증서비스가 가능하다.

분산관리센터 가동으로 금융고객은 바이오정보 유출 걱정없이 편리하고 안전하게 바이오인증서비스이용이 가능하며, 금융회사는 지문, 홍채, 정맥, 얼굴, 음성 등 다양한 인증기술을 활용할 수 있다. 앞으로 금융회사 창구, 판매점 POS, 디지털 키오스크·CD/ATM 등 대면 및 비대면채널, 모바일 거래(뱅킹·결제·주식거래·보험청약 등)에서 바이오인증 서비스 이용이 활성화될 것으로 예상된다.

앞서 한국은행 산하 금융정보화추진협의회는 개인 바이오(생체)정보의 안전성을 확보하기 위해 ‘바이오정보 분산관리 표준’(2016.11.21.)을 제정했다. 고객의 바이오정보를 2개로 분할해 거래 금융기관과 분산관리센터에 각각 보관한뒤, 고객이 거래시 분할된 생체 정보를 합쳐서 일치할 경우 최종 인증하는 방법을 표준화했다.

바이오정보를 분산관리하면 금융회사나 분산관리센터가 보유한 바이오정보 조각만으로는 고객의 전체 바이오정보를 유추할 수 없으며, 해당 조각이 유출되더라도 이를 사용할 수 없어 개인 바이오정보의 안전성을 확보할 수 있다.

신한은행은 올해 4월부터 더 안전한 바이오 인증 서비스 제공을 위해 은행 최초로 바이오 정보의 일부를 금융결제원에 분산 보관해 해킹과 위·변조 위험으로부터 대응이 가능하도록 했다.

앞서 신한은행은 2015년 12월, 셀프뱅킹창구 ‘Shinhan Your Smart Lounge(구 Digital Kiosk)’에서 바이오(장정맥) 인증을 활용한 금융서비스를 선보인 바 있다. 신한은행에서 제공하는 바이오 인증 서비스(장정맥)는 손바닥 정맥 정보의 특장점을 추출해 인증하는 안전한 바이오 기술이다. 신한은행은 바이오 인증 도입 후 15개월 동안 26대의 스마트라운지를 통해 체크카드 신규, 재발급, 출금, 이체 등 35만건에 이르는 거래가 안전하게 바이오 인증으로 처리했다고 밝혔다.

신한은행은 올해 5월부터 기존 자동화기기에 장정맥 바이오 인증 센서를 부착해 카드없이 손바닥으로 조회, 출금, 이체 등의 서비스가 가능하도록 시범운영하며, 자동화 기기에서 단순 카드거래뿐만 아니라 본인확인거래가 필요한 카드 신규, 재발급 등의 업무처리도 가능하도록 했다. 영업점에 내점한 고객은 신분증을 제시하지 않고 생체인증만으로 창구 업무를 처리 할 수 있으며, 대여금고를 이용하는 고객은 본인만이 안전하게 대여금고를 출입할 수 있다.

KB국민은행도 올해 5월, 손바닥정맥으로 본인 인증하고 바이오 정보만을 통해 ATM거래와 창구거래, 대여금고 이용이 가능한 일명 ‘손쉬운뱅킹’ 서비스를 시작했다.

국민은행 창구에서 손바닥 정맥정보를 등록하면 ATM과 창구에서 간편하게 예금거래를 할 수 있다. 6월에는 전자식 대여금고의 본인 확인 수단으로도 확대시켰다. 취득한 고객의 손바닥정맥 정보는 국민은행이 50%, 금윰결제원이 운영하는 바이오정보 분산관리센터에서 50%씩 나눠 관리되기 때문에 해킹 유출의 염려가 없다. 국민은행이 적용한 손바닥정맥 인증 솔루션은 후지쯔가 공급한 것이다.

은행이 독자적인 생체정보에 기반한 금융서비스를 제공하려면 필수적으로 IT투자도 늘어나야 한다. 다만 비용이 급격히 늘어나는 구조는 아니다. 국민은행의 경우 ATM 1대당 센서 부착에 약 40만원의 설치 비용이 들어간다. 국민은행이 목표로하는 3000대의 ATM을 기준으로 했을 때, 약 12억원 수준이다.

KB국민은행의 ‘손쉬운 뱅킹’을 위한 바이오 인증 창구. 국민은행은 손바닥 정맥을 인식할 수 있는 ATM를 5월말까지 50개 영업점으로 확대하고 각 영업점별로 2대씩, 단계적으로 전국에 2500~3000대를 확대할 계획이다.

◆정부도 바이오인증 활성화에 기대 = 정부도 기존의 공인인증서 이용 불편을 해소할 수 있는 방안으로 생체정보와 연계하는 기술 개발 및 보급에 주목하고 있다. 한국인터넷진흥원(KISA)은 별도 프로그램 설치, 복잡한 비밀번호 입력 등 공인인증서 불편사항 개선을 위해 관련 기술을 개발하고 지난해 ‘바이오정보 연계 등 스마트폰 환경에서 공인인증서 안정 이용 구현 가이드라인’ 및 ‘간편 공인인증서 인터페이스 가이드라인’을 공개했다.

KISA에 따르면 생체정보와 공인인증서 연계기술을 스마트폰 뱅킹·온라인증권 등 전자거래 이용분야에서 이용하는 곳들이 늘고 있다. 스마트폰 뱅킹에서는 IBK기업은행, 우리은행, 국민은행이 이미 적용했고, 5개 은행이 추가로 도입할 예정이다. 5개 증권사도 온라인증권에서 해당 기술을 올해 5월에 도입했다.

앞서 행정자치부는 차세대 전자정부서비스의 선택적 인증수단으로 바이오인증을 채택하고 지난 1월 시범서비스에 돌입키로 했다고 밝힌 바 있다. 특히 인터넷전문은행 출범에 따라 향후 바이오인증은 사용자인증 수단으로 더욱 각광받을 것으로 전망된다. 이러한 바이오인증 기술은 인공지능(AI) 등을 활용한 행동패턴 분석으로 진화할 것이다. 이와 관련 음성, 몸짓, 걸음걸이 등 보안성이 높은 행동패턴 기반의 인증연구도 활발하다.

<박기록 기자>rock@ddaily.co.kr
<최민지 기자>cmj@ddaily.co.kr
박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널