[뉴스토마토 윤석진기자] 생체인증 업체들은 정부의 과도한 규제를 문제로 꼽는다. 정부가 기술력 부족을 핑계로 두 개 이상의 인증을 요구하고 있다는 지적이다. 이 때문에 현재 우리 금융권은 홍채, 지문, 정맥, 음성 등 생체인증의 종류를 막론하고 기본적으로 2개 이상의 정보를 제시하도록 규제하고 있는 실정이다.

 

홍채정보 하나로는 본인 인증을 받을 수 없게 해놔 또 다른 생체정보를 제공하던가 기존의 핀넘버 또는 ARS 인증을 추가로 거쳐야 한다. 이는 생체인증으로 금융거래의 편의성과 업무 처리 속도를 높이겠다는 금융당국의 당초 취지와는 동떨어진 모습이다.

 

이와 관련해 임찬혁 금융결제원 핀테크업무 팀장은 "올해 초 금융보안원이 배포한 가이드라인을 보면 생체정보를 포함해 두 개 이상의 정보를 제공하도록 규정돼 있다"며 "일단 안전한 방식으로 접근했다가 나중에 경험이 쌓이고 기술적 발전을 이루면 바이오 인증만으로 가능한 방식을 구현할 수 있을 것"이라고 해명했다. 

 

그러나 업계 관계자들은 금융당국의 이같은 해명을 두고 이해할 수 없다는 반응을 보이고 있다.

 

생체인증 업계 관계자는 "미국이나 일본 등 해외 사례를 살펴보면 비대면 본인 인증 시 두 종류의 정보를 요구하는 곳은 한국이 유일하다"며 "기술이 발전한 만큼 해킹 수법도 날로 정교화돼 보안을 강화해야 하는 것은 맞지만, 굳이 생체정보 외에 핀넘버를 확인할 필요는 없다"고 강조했다. 

 

 

이 관계자는 또 국내 벤처기업이 물리적복제방지(PUF) 보안칩을 상용화한 것을 예로 들며, 기술력 부족을 근거로 2개 이상의 생체정보를 요구하는 것은 국내 핀테크 업체들을 무시하는 처사라고 언급했다. 지난 7월 아이씨티케이(ICTK)는 세계 최초로 차세대 보안칩으로 통하는 PUF의 대량 생산 체제에 돌입했다. 

  

업계 관계자들은 정부가 기술력 부족을 운운하며 기존 인증 절차를 고수하는 이유로 '법제화 미비'를 지목했다. '전자금융거래법'의 저촉을 받는 공인인증서, OTP 방식과 다르게 생체인증과 관련한 법이 아직 없는 터라 문제 발생 시 대처가 어려우니 편의상 기존 방식을 유지하려는 것이란 지적이다. 

 

실제로 국내의 경우는 구체적인 가이드라인이나 법률이 마련되지 않은 실정이다. 한국전자통신연구원에 따르면, 캐나다는 '소비자 생체인식 프라이버시 보호법'을 만들어 불필요한 법적 논쟁을 미연에 방지하고 있다. 유럽과 미국에서도 프라이버시 보호를 위한 원칙과 가이드라인을 제시하고 있다. 

 

지난달에 발간된 '하나금융포커스'에 따르면 이런 법에  근거해 글로벌은행들은 모바일 뱅킹 수요의 증가에 부응하기 위해 디지털 투자를 확대하는 한편 기존 인증방식을 지문, 음성 등 생체인식 시스템으로 대체하고 있다. 

 

바클레이즈(Barclays)는 최근 영국에서 폰뱅킹 고객이 암호를 기억하거나 보안 관련 질문에 답변할 필요 없이 음성을 이용해 계좌에 접근할 수 있는 서비스 도입을 앞두고 있다. HSBC도 음성인식과 지문 ID 시스템 도입을 계획하는 중이다. 미국 뱅크오브아메리카(BofA)와 JP모건(JPMC)은 개인고객들에게 지문 인식 기반의 모바일 인증 서비스를 제공 중이다. 싱가포르의 DBS와 OCBC는 생체인식 기술 중 음성 인식 기술을 도입할 계획이다.     

 

한편, 금융결제원 관계자는 "바이오 정보의 안정성 문제에 관한 법제화 움직임이 있다"며 "금융거래 쪽 바이오 정보 활용도가 높아지는 만큼 법률적 부분도 반영되는 분위기"라고 밝혔다. 

 

윤석진 기자 ddagu@etomato.com