지문인증 /사진=이미지투데이
지문인증 /사진=이미지투데이

# 김씨는 은행 애플리케이션을 터치해 지문으로 본인을 인증했다. 공인인증서를 불러오지 않아도 지문인증 한번으로 로그인부터 계좌이체까지 모바일뱅킹을 진행할 수 있었다.

금융회사가 공인인증서를 대체할 인증수단으로 지문, 홍체, 목소리 등의 인증모듈을 사용한 생체인증에 주목하고 있다. 생체인증은 공인인증서 번호를 입력하는 절차를 생략해 편의가 높고 이용자만 인증이 가능해 복제가 어려운 장점이 있다. 게다가 생체정보가 내부의 보안영역에 저장돼 유출위험도 낮다.


은행업계에선 KEB하나은행과 신한은행은 모바일뱅킹에 지문인증 방식을 도입했다. KEB하나은행은 휴대전화에 직접 지문을 접촉하던 방법에서 사진으로 지문을 찍어 비접촉인 상태에서 지문을 인증하는 방법으로 발전시킬 계획이다.

금융투자업계에선 금융투자협회가 주축으로 발족한 'IT위원회'를 중심으로 생체인증 플랫폼 개발에 들어갔다. 하반기에 시범테스트를 거쳐 내년부터 고객들에게 선보일 계획이다.


하나카드는 지문인증으로 카드 결제까지 할 수 있는 공인인증시스템 개발에 나섰다. 이 시스템 개발이 완료되면 공인인증서를 불러 비밀번호를 입력하지 않아도 지문인증 만으로 간편결제가 이뤄질 전망이다.

◆외국은 FIDO, 생체인증 분산저장 기술 안정성은? 


금융사들이 생체인증에 주목하자 금융당국은 해킹 문제를 최소화할 수 있는 '분산형 생체정보 저장' 체계 마련에 나섰다. 금융결제원은 핀테크업체와 '생체정보 분산관리 표준'을 마련 중이다.

분산형 생체정보 저장방식은 고객이 등록한 생체정보를 쪼개 금융회사와 금융결제원이 나눠 보관하다가 필요 시 정보를 하나로 결합해 원래의 생체정보를 복원하는 것이다. 개인의 생체정보를 한곳에서 독점하지 않기 때문에 생체정보 보관상의 안전성과 사용자 인증의 호환성을 동시에 확보할 수 있다.


지난 6월 금융결제원은 분산관리시스템 개발을 외주에 맡겼고 연내 생체인증 분산관리서비스를 오픈할 것으로 보고 있다.

은행 관계자는 "지난 3월 금융당국이 공인인증서의 의무 사용을 폐지한 후 이를 대체하는 생체인증기술이 봇물처럼 쏟아졌다"며 "보안성을 갖춘 생체정보 분산관리표준이 마련되면 우리의 몸이 대표적인 공인인증서가 될 것"이라고 말했다.

금융회사의 기대와 달리 생체정보 분산관리를 우려하는 목소리도 높다. 고객의 생체정보를 두 기관이 저장하는 점에서 개인의 프라이버시가 노출될 우려가 있고 정보가 훼손될 경우 생체정보를 복원하는 것이 불가능해 시스템의 가용성에도 문제가 생긴다.

해외에선 생체인증기술을 어떻게 관리할까. 생체인증 국제표준규격인 FIDO(Fast IDentity Online, 파이도) 인증은 생체정보를 사용자 단말에 암호화해 저장하고 인증이 필요할 때 인증키 값을 인증서버로 보낸다. FIDO는 인증과정에서 사용자의 생체정보가 기관이나 기업에 노출되지 않아 프라이버시가 보호되고 노출되더라도 피해가 본인에게만 국한돼 더 큰 정보유출 피해를 막을 수 있다.

금융보안원 관계자는 "홍채나 정맥 등 생체정보는 바뀔 수 없기 때문에 유출될 경우 엄청난 파장을 불러올 수 있다"며 "지문+홍채를 동시에 만족해야만 본인 인증이 가능한 다중 바이오 인증을 적용하거나 ARS 인증, PIN번호 입력 등 추가인증을 함께 적용하는 것이 바람직하다"고 설명했다.