ARTICLES특집
금융기획/ 금융권 생체인증 고민과 전망생체정보 노출 따른 거부감 극복, 12월 금융결제원 표준안 나오면 탄력 받을 듯
방창완 편집국장  |  bang@ciociso.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
[0호] 승인 2016.09.30  
트위터 페이스북 미투데이 요즘 네이버 구글 msn

금융기획/ 금융권 생체인증 고민과 전망  


생체인증 각각 다른 인증방식 표준안 마련해야 한다  
생체정보 노출 따른 거부감 극복, 12월 금융결제원 표준안 나오면 탄력 받을 듯 
 
생체인증이 금융권의 핵심적인 인증수단으로 떠오르고 있다. 생체인증은 확실한 인증방식으로 그동안 꾸준히 거론되어 왔지만, 기술적 미비와 보편성 문제 때문에 논의의 핵심에 떠오르다가 금세 사그라들었다. 최근 공인인증서 무용론과 함께 투채널 인증(공인인증서외에 OTP,보안카드 인증)에 따른 복잡성 및 이런 인증방식으로도 보안에 위협이 가해지면서 생체인증기술이 다시금 주목받고 있다. 각 금융기업들의 고민과 향후 전망에 대한 의견을 살펴봤다. 
 
방창완 편집국장 bang@ciociso.com 
 
최근 삼성전자 갤럭시노트7에 홍채를 이용한 인증 솔루션이 탑재되면서 시장에서 새롭게 관심을 받고 있다. 비단 삼성전자뿐만 아니라, 최근 금융결제원에서 생체를 이용한 인증방식의 표준안을 검토하면서 금융기업들도 이에 대한 사전 검토 작업에 나서고 있다. 
 
생체인증 편리성 있지만 적용과정 논란 
하지만 개인의 생체를 이용한 인증방식은 편리성과 확실한 보안 해결책임에도 불구하고,  여전히 극복해야할 부분이 많다. 생체인식에 대한 기술은 차치하고, 인증 방식에 있어서 분산처리를 통해 인증이 이뤄질 경우, 이에 대한 표준안 마련과 개인의 생체정보 노출에 대한 거부감 극복, 새로운 보안장치의 수고와 효율성 및 사회적 보편적인 설득과정이 이뤄져야 한다.  
   
업계에서는 현재의 인증기술이 일회용 비밀번호, 공인인증서, 2채널 방식으로 진화해 왔지만, 종국에 가서는 생체인증으로 귀결될 것으로 예상하고 있다. 그만큼 가장 효과적인 보안수단으로 생체인증기술이 중요한 보안수단으로 자리 잡을 것으로 보인다. 하지만 기술적 표준과 사회적 보편성 등 시간이 걸리는 부분이어서 생체인증방식은 한동안 혼선을 거듭할 것으로 보인다. 
 
생체인증 올해부터 관심증가 
인증의 기본적인 방법은 서명, 싸인을 받는 방법이 있지만, 국내에서는 아직까지 낯설다는 지적이 많다. 사람마다 싸인하는 방법이 매번 달라보이며, 익숙하지 않기 때문에 어디까지나 보조수단으로 활용하고 있다. 
 
   
▲ 생체인증 장단점 비교
 
 
확실한 보안수단으로 공인인증서가 국내 보편화된지 오래됐지만, 지금과 같은 자율보안체제 아래서는 공인인증서가 큰 걸림돌로 작용하고 있다. 보안의 허점이 큰데다가, 관리에 많은 어려움이 따른다. 사용자 입장에서도 매번 소프트웨어를 설치하거나 소프트웨어간에 충돌이 일어나 컴퓨터 자체를 못쓰게 만드는 경우도 있다. 또한 OTP, 보안카드를 일일이 가지고 다녀야하는 불편이 따른다. 기업에 있어서 자율보안 관점에서 신속하고 간편하면서도 강력한 인증 대체 수단으로 생체인증방식은 금융 기업들에게 효과적인 대안으로 떠오르고 있다. 
 
기업 입장에서는 ATM기기의 경우, 센서와 같은 장비를 활용해 구현이 손쉬우며, 스마트폰에 홍채인증 카메라가 내장되어 있는 경우가 있어, 별도의 기기를 구매하거나 시스템을 새롭게 구축해야하는 부담에서 벗어날 수 있다.
 
생체인증 방법의 하나로, 개인의 생체를 전화번호와 연계해 고유의 식별번호를 생성하는 방법이 있다. 4자리 혹은 6자리수의 개인 고유번호를 기기에 입력하면 인증이 이뤄진다. 현재 대신증권은 직원을 대상으로 이런 인증수단을 검토하고 있다.  현재 공인인증서와 OTP를 활용한 투채널 인증이 활용되고 있지만, 번거롭고 소프트웨어 설치에 대한 부담이 따른다. 또한 기업에서는 이를 관리해야하는 물리적 비용이 만만치 않게 들어간다. 따라서 지문과 눈, 홍채와 같이 사람의 신체만큼 정확하고 안전한 인증방법은 없다는 견해이다.
 
생체인증 적용에도 허점이 많다  
생체 인증에는 홍채인식, 지문인식, 안명인식, 목소리 등이 거론되고 있다. 하지만 지문의 경우는 믿을 수 없는 것이, 사고사례가 많으며, 지문자국을 실리콘으로 떠서 도용하게 되면 통과되는 사례가 있었다. 안면인식의 경우도, 얼굴 전체에 대한 인증방식이 심리적으로 사람들에게 거부감을 줄 수 있다는 의견이 있다. 따라서 비교적 홍채를 이용한 인증방법이나 손등정맥 인증이 거부감을 줄이면서 보안을 답보할 수 있는 가장 강력한 대안으로 떠오르고 있다. 최근 일부 카드사와 은행 등을 중심으로 홍채정보를 활용한 자금 이체 테스트를 진행하고 있는 것으로 알려지고 있다. 
 
하지만 생체인증방식을 추진한다고 하더라도 이에 대한 보완대책은 필요하다는 지적이 높다다. 신체위협과 같은 범죄 가능성이 있으며, 자신의 신체로 인증한다는 것에 거부반응을 보일 수 있다. 또한 각 금융사마다 인증수단이 제각각이 될 수 있어 혼선을 줄 수 있다. 
 
개인마다 각 은행별로 여러 계좌를 갖고 있기 때문에 일일이 눈과 지문으로 결제 인증을 해야 하는 번거로움이 따른다. 그렇다고 한 가지 방법만을 고민할 경우, 특정 산업에 대한 특혜로 비춰질 수 있기 때문에 사용이 손쉬우면서도 합리적이면서 균형적인 발전이 필요하다. 
 
생체인증위해 표준안 필요
이에 대한 해결방법은 홍채와 지문을 결합하는 방식을 취할 수 있다. 따라서 개인이 4가지 생체정보에 대해 등록을 해두면 기업에 따라서 1~2가지를 조합해 인증하는 방법을 취하고, 추가적으로 인증하는 수단을 취하는 방법이다. 이런 인증체계가 마련되기 위해서는 무엇보다 업계에서 새로운 표준안을 만들 필요가 있으며, 리스크가 큰 만큼 일부 기술에만 의존할 것이 아니라 기반 기술을 확대하는 노력이 필요하다.  
 
결국은 다채널 인증방법으로 갈 확률이 많다는 것이 업계의 지적이다. 가장 이상적인 방법은 고객의 생체정보에 대해 금융당국과 연합회, 각 금융기업, 제3의 금융기업이 부분적으로 고객 인증정보를 확보한 후 이를 조합해서 온전히 결합됐을 때 인증이 이뤄지는 방법을 취하는 것이다. 따라서  최소 2군데 이상 생체정보를 분산 보관하는 방식을 취해서 한곳이 탈취되더라도 정보를 활용할 수 없게 하는 방식을 취하는 것이다. 
 
이렇게 되면 생체정보 탈취에 대한 우려가 없어지며, 금융기업들은 지금까지 개인정보를 보유함으로써 생겨나는 물리적, 심리적인 부담에서 벗어나게 된다. 현재 금융결제원을 중심으로 생체인증정보를 활용하는 방법에 대해 시중 금융사와 금융결제원이 생체정보를 분산 보관하는 방법에 대해 올해 말까지 플랫폼을 검토하는 계획을 가지고 있다. 내년 상반기에 금융결제원과 각 금융기업에서 새로운 표준안이 확정되면 생체를 이용한 인증방식도 새로운 발전의 발판을 마련할 것으로 보인다.   
 
KB국민은행, 손바닥정맥을 활용검토 
KB국민은행은 과거에 스마트전략부를 중심으로 컴퓨터 출입통제를 위해 손등정맥을 인증수단으로 활용한 바 있다. 주로 지주사 및 은행 관제를 위해 손등정맥을 사용한 것은 홍채와 지문인식이 사람들에게 불쾌감을 줄 수 있다는 우려 때문이다. 
 
이외에 지난 2006년에 계정권한관리시스템을 구축했을 때 로그인을 위해 ID패스워드와 지문을 사용하는 2채널 인증 방식을 사용했다. 이를 2007년에 와서 주요 시스템을 대상으로 사용해 왔던 것. 
 
금융결제원에서 결과가 나와 봐야 하겠지만, 인증에 있어서 생체정보를 금융기업과 결제원이 반반씩 보관하는 분산관리 시스템을 적용하게 되면 이를 수용하면서 위탁인증방법을 고려하고 있다. 위탁인증은 금융기업 스스로 인증하는 것이 아닌, 위탁기관인 결제원을 통해 인증이 이뤄진다. 현재 KB국민은행이 계획하고 있는 것은 손바닥정맥을 활용한 인증이다. 
 
인증방식에 대한 고민과 함께 향후 우려되는 생체정보에 대한 신뢰도 필요할 것으로 보인다. 비대면 채널이 활성화되면 인증이 가장 중요한 신뢰의 기반이 되겠지만, 인증의 핵심인 생체정보에 대한 믿음도 필요하다. 알고리즘에 대한 신빙성과 CC인증에 대한 여부 등이 검토돼야 할 것으로 보인다. 특히 생체인증장치를 다루게 될 IT 기업들의 기기 호환성 문제와  인증방식을 다루게 되는 각기 다른 고유 알고리즘에 대한 통일과 보안성이 해결돼야 할 것으로 보인다. 이와 함께 각 은행간의 각기 다른 생체인식 방법을 통합하고, 표준화하는 작업도 필요하다는 지적이다. 
 
예를 들어, 지문을 한가지 놓고 생각을 하더라도, 오른손과 왼손 등 다른 방식 적용이 가능하기 때문에 고객은 혼란스러울 수 있다.  
 
IBK기업은행, 홍체외에 지문인증 도입 검토
IBK기업은행은 스마트금융부를 중심으로 스마트폰으로 은행거래가 가능한 다양한 생체인증 솔루션을 검토하고 있다. IBK기업은행은 지난해에 ATM기기에 카메라 모듈을 장착한 홍채인식 기반 인증 솔루션을 시범적용 한바 있다. IBK기업은행의 홍채인증은 기존에 사용하던 카드없이 홍채인증 만으로 계좌거래가 가능하다. 현재는 직원을 대상으로 홍채인증 시스템을 시범적용하고 있지만 앞으로는 지문인증 관련 도입도 검토하고 있다. 
 
대신증권, 홍채인증+추가인증수단 모색 
대신증권도 생체 인증을 적극 검토하고 있다. 외부 해킹 및 정보 유출시에 변경이 쉽지 않다는 이점 때문이다. 생체인증정보 중 하나인 홍채인증 기술과 추가적인 인증수단을 믹스해 본인에 대해 인증을 통과하는 방법을 모색하고 있다. 대신증권은 금융결제원에서 분산처리에 의한 새로운 인증방법이 구체화되는 내년 시점에서 자사의 인증체계를 새롭게 만들어 나갈 계획이다.     
 
 
NH투자증권, 장정맥 활용방법 고려한다 
NH투자증권은 기본적으로 당국에서 가이드하는 기준을 따라갈 계획으로, 우선은 장정맥(손바닥 정맥)을 통한 인증방법을 고려하고 있다. 일본의 경우, 사람의 혈관을 고려한 장정맥을 인증수단으로 활용하는 경우가 많다는 점과 거부감이 적다는 점 때문이다. 홍채와 얼굴인식 등은 행위상 거부감을 일으킬 가능성이 많다는 것. 이밖에 음성인식의 경우는 아직 시중에 나와 있는 기술이 상용화하기에는 무리라는 지적이다. 장정맥을 활용한 인증이 접근성이나 인증에 있어서 오류가 적다는 것. 
 
우선은 금융결제원에서 인증방식의 표준화가 결정되면 이에 맞게 솔루션을 검토할 생각이다. NH투자증권에서 생각하는 시나리오는 하나의 생체정보가 등록이 된다면, 자사와 타사간의 호환 및 중계역할을 금융결제원에서 담당하여, 하나의 인증만으로 여러 증권사의  결제가 이뤄져 증권사간 여러 생체를 인증해야 하는 번거로움을 덜 수 있다는 효과가 있다.
 
고객의 등록정보는 일개 기업이 단독 소유하는 것이 아니라, 기업과 금융결제원에서 반반씩 소유하는 형태로 이뤄지고, 그만큼 탈취나 변조에 대한 위험성은 없게 된다. 서로 간에 매핑이 이뤄져야 승인이 이뤄지는 시나리오이기 때문이다.
 
이밖에 기존의 인증수단을 활용하면서 새롭게 생체인증을 도입하는 방법도 고려하고 있다. 현재의 방식이 사실, 여러 인증단계를 거쳐야하기 때문에 관리 포인트가 늘어나고 운영비에 대한 부담이 있지만, 혼선을 방지하기 위해 기존 방법을 사용하면서 새로운 생체인증 방법을 도입하는 것이다. 
 
NH투자증권은 오는 12월 금융결제원에서 서비스를 시작하는 것과 맞추어, 온라인에서는 지문을 활용하는 방법과, CD기와 같은 오프라인에서는 장정맥을 활용하는 방법을 검토 중이다.
 
 
롯데카드, 정맥인증 고민한다 
롯데카드는 정맥인증 부분에 대해 검토하고 있다. 인식을 위한 단말기 설치를 통해 사용자 관점에서 편의성을 제공할 계획이다. 하지만 무조건 편하게 이뤄진다는 인식보다는 보안에 대한 안정장치가 온전히 해결된 뒤에야 실행할 계획이다. 가장 보편화되어 있는 지문인증의 경우, 보통은 기업에서 출퇴근을 위해 지문인증을 활용하고 있지만 인식율이 떨어진다는 점과 지문복제에 대한 위험이 남아 있기 때문이다. 
 
고객 나이대 별로 정확한 선호도 조사가 이뤄져야 정확한 방향을 잡을 수 있다는 견해이다. 생체인증이 생소하고 거부감을 일으키는 연령대를 감안해 비교적 활용도가 높은 쪽으로 방향을 잡아나갈 생각이다. 홍채인식의 경우, 개인 정서상의 문제가 있다는 것. 롯데카드는 일단 금융결제원의 생체정보인증에 대한 체계가 가시화되는 데로 이에 맞춰 생체정보 인식에 대한 솔루션을 검토할 생각이다. 
 
 
현재 인증방식은 편리성의 요구, 기술의 변화에 따라 과도기에 들어섰다. 핀테크와 비대면 채널이 활성화 되면서 인증방식은 새롭게 바뀌어야 한다는 것이 업계의 시각이다. 그 인증방식에 있어서 가장 주목을 받는 부분이 생체인증이다. 생체인증이 시장에서 안착하기 위해서는 개별인증에 따른 혼란과 각  벤더사들의 각기 다른 기술 알고리즘에 대한 표준안과 필요한 개별적 보안적 요소, 생체정보 인증에 대한 법적 해석과 명확한 규정, 개인이 보편적으로 활용할 수 있는 인증방식 등이 해결돼야 할 과제로 보인다.      
 
당분간 각 기업 간 혼선은 지속되겠지만, 무엇보다도 오는 12월에 예정되어 있는 금융결제원의 가이드라인이 생체인증에 있어서 기본적인 뼈대를 갖추는 작업이 될 것으로 보인다. 
 
< 저작권자 © CIOCISO 무단전재 및 재배포금지 >
방창완 편집국장의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
라임라이트네트웍스, 대량 트래픽 효율적으로 방어하는 클라우드 보안 제시
2
시만텍, 엔드포인트 보안 통합 솔루션 첫선
3
베리타스, 멀티 클라우드 환경서 데이터 보호 지원 강조
4
인섹시큐리티, 보안위협 자동으로 판별 대응하는 통합 플랫폼 제시
5
interview ∣CJ헬로비전 류상천 정보전략담당 CIO
6
제2회 나주로드쇼
7
interview ∣ 김상철 텔스트라코리아 지사장
8
Cover story ∣ AIA생명 김대일 부사장(운영본부장)
9
interview ∣ 송상엽 한컴시큐어 이사, 사이버시큐리티 사업1팀
10
interview ∣ 임종혁 에이치투오시스템테크놀로지(H2O) 대표이사
신문사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
121-220 서울시 마포구 합정동 354-18 삼성전기 빌딩 별관3층  |  대표전화 : 02-2632-7561  |  상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633  |  대표자명 : 김영춘  |  통신판매업신고번호 : 제2008-서울마포-01059호  |  인터넷신문 등록번호 : 서울, 아03158
등록연월일: 2014년 5월 16일  |  제호: CIOCISO  |   발행·편집인: 김영춘  |   청소년보호책임자: 김영춘
Copyright © 2012 CIOCISO. All rights reserved. mail to webmaster@ciociso.com