[뉴스토마토 윤석진기자] 홍채나 지문, 음성만으로 금융업무를 보는 생체인증 시대가 열렸지만, 아직은 걸음마 단계란 지적이 잇따른다. 공인인증서나 보안카드, 주민등록증과 같은 인증 수단 없이 맨몸으로 금융 거래를 할 수 있다는 장밋빛 전망 이면에는 보안 문제가 도사리고 있기 때문이다.
금융결제원과 금융회사가 생체정보를 나눠서 보관하는 '바이오정보 분산관리시스템'을 구축하고, IT 전문가들이 개인 외에는 접근이 불가능한 생체정보 보관 기술을 개발했지만 여전히 해킹공격에서 자유롭지 못한 실정이다.
미약한 정보 보호 능력과 개별 인증 시스템만을 고집하려는 은행들의 극심한 이기주의 또한 이제 막 포문을 연 생체인증 시대에 그림자를 드리우고 있다.
◇바이오 정보 분산관리 시스템…'빛 좋은 개살구'
금융결제원과 한국은행은 한 번 유출되면 돌이킬 수 없는 생체인증의 부작용을 해소하고자, 지난해 '바이오인증 정보관리 표준안'을 마련했다. 생체정보를 분산 관리하면 한곳에서 통째로 보관했을 때보다 정보 유출 시 악용되는 위험도를 낮출 수 있다는 것이다.
금결원이 생체정보 일부를 맡고, 나머지는 A은행이 보관하면 해커가 A은행의 생체정보를 빼낸다해도 그 정보로는 아무런 금융거래를 할 수 없다.
그러나 문제는 금융거래시점에 조각났던 정보가 온전한 형태로 융합돼 유출 시 악용될 수 있다는 점이다. 실제로 지난해 생체인증 선진국인 미국조차도 해커집단에 의해 생체정보가 털려 홍역을 치렀다.
금융보안원의 '바이오 정보 사고사례 및 대응방안 조사' 자료에 따르면 미 연방인사관리처는 중국 해커집단의 APT 공격에 보안망이 무너져 데이타베이스(DB)에 있던 지문정보 560만건이 유출됐다. 지난 2013년 미국 에너지국의 지문정보가 유출된 지 2년 만에 비슷한 사건이 발생한 것이다.
저장소에 있던 생체정보가 전송되는 과정에서 갈취 될 가능성도 있다. 개인 IT 기기가 아닌 금융사 또는 국가기관에 저장된 생체정보는 언제든지 외부 공격에 노출될 수 있다는 뜻이다.
생체인증 업체 관계자는 "은행 ATM기기를 예로 들면, 금융거래 시 은행이 보관 중이던 생체정보와 금융결제원이 지니고 있던 생체정보가 결합되며 식별 가능한 형태로 변해 악용될 수 있다"며 "개인 기기가 아닌 외부 시스템으로 편입된 생체정보는 언제든지 유출될 수 있다"고 지적했다.
임종룡 금융위원장(오른쪽)과 함영주 KEB하나은행장이 지난해 12월 서울 종로구 그랑서울 KEB 하나은행
에서 열린 '핀테크 1년, 금융개혁 현장점검 회의'에서 지문인식을 일반 스마트폰 카메라를 이용하는 본인인
증을 하는 비접촉 지문인식을 시연하고 있다. 사진/뉴시스
◇기술력 한계…보안·편의 두 마리 토끼 잡으려면 기술력 키워야
이처럼 분산관리 방식에도 생체정보가 유출될 위험이 있다는 지적이 제기되자, 금융당국은 딜레마에 빠졌다. 보안을 강화하자니 금융 거래의 편의성이 떨어지고 반대로 편의성을 강화하면 보안이 취약해지는 난감한 상황에 봉착한 것이다.
당초 생체인증을 비롯한 비대면 기술은 박근혜 대통령의 '천송희 코트' 발언을 계기로 금융 소비자의 편의성을 극대화하자는 취지로 추진돼 왔다. 해커의 공격에 취약한 공인인증서를 대체할 검증된 인증 방식이란 인식 또한 생체인증 정착에 힘을 실어줬다.
그러나 이제 와서 '보안성 강화'와 '고객 편의'이란 두 마리 토끼를 놓치면 생체인증의 도입 취지는 퇴색될 수밖에 없다. 생체인증 상용화는 남의 나라 얘기가 되는 것이다.
이에 금융권 전문가들은 분산관리든 통합관리든 정보 보호 능력과 전송 기술을 좀 더 개발해야 한다고 입을 모은다.
송재만 하나금융경영연구소 수석연구원은 "생체인증은 고객 편의를 강화하기 위해 만든 것인데, 보안 강화 때문에 절차가 많아지면 편의성은 떨어질 수밖에 없다"며 "결국 제일 중요한 보안 문제는 기술력의 차이가 좌우하지 않을까 생각한다"고 말했다.
이수미 금융보안원 보안기술연구팀 팀장은 "중요한 것은 생체정보를 보호할 수 있을 만한 안전한 디바이스에 저장하는 것"이라며 "현재 개인 IT기기와 분산관리 서버에 저장된 생체정보를 어떻게 보호해야 할지 계속 연구하는 중"이라고 말했다.
◇은행 이기주의…"생체인증 시스템 공유 안 해 소비자 부담만 커져"
생체인증 기술력과는 별개로 은행들의 이기주의 또한 문제로 거론된다. 은행들이 서로 간에 협업하기보다 자사의 생체인증 생태계를 구축하는 데 혈안이 되다 보니, 보안에 따르는 비용이 높아졌다는 지적이다.
외국의 경우, 생체인증 기술이 개발되면 공동 마켓에 올라가 모든 금융기관이 이용할 수 있도록 오픈된다. 가령, A라는 생체인증 솔루션 업체가 홍채인증 기술을 개발하면 B, C, D은행 모두가 오픈 마켓을 통해 같은 홍채인증 시스템을 자사 앱에 탑재한다. 기존 홍채인증 시스템에 문제가 발생해 패치가 개발되거나 업그레이드 버전이 나올 경우 A는 관련 프로그램을 공동 마켓에 한 번만 올리면 된다.
반면, 우리나라 은행들의 경우 A 생체인증 업체에 제각각 시스템을 요청해 자사 앱에 탑재하고 있다. 문제 발생 시 은행들은 개별적으로 A에게서 시스템 보완을 맡긴다. 문제는 이런 은행들의 관행이 소비자 부담으로 전가된다는 점이다. 외국 소비자는 자신의 휴대폰에 한 종류의 생체인식 파일을 저장하면 되지만, 우리나라 소비자들은 보유한 은행 앱의 개수만큼 파일을 지니고 있어야 한다.
모 생체인증 업체 기술 개발자는 "우리는 국내 은행에 똑같은 생체인증 시스템을 이름만 다르게 해서 내보내고 있다"며 "자신만의 생체인증 생태계를 구축하려는 의도인 데, 이럴 경우 시스템 문제를 한 번에 해결할 수 없고 저장 공간도 늘어나는 일이 발생한다. 국내 은행들의 극심한 이기주의로 소비자들만 피해를 보게 생겼다"고 꼬집었다.
윤석진 기자 ddagu@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지