금융권 생체 인증 시스템 도입, 보안은?
국제규격에 정보 이분화·암호화 노력...기존 유출 사고 전력은 불안
[매일일보 배나은 기자] 금융사들이 비대면 금융 거래 시 지문 등의 생체 정보로 본인을 인증하는 시스템을 속속 도입하고 있는 가운데 민감한 개인 정보에 대한 유출 가능성에 대해서도 이목이 집중되고 있다.
현재 금융사들은 생체정보 암호화에 집중하고 있는데다가 생체정보 수집 및 이용에 대한 국제 인증 규격을 따르고 있는 만큼 보안성에 있어서는 큰 문제가 없다는 입장이다.
그러나 일각에서는 일반 개인정보 역시 암호화와 철저한 관리로 유출 우려가 없다고 했던 것과는 달리 대규모 유출 사태가 연이어 일어난 만큼, 불안감은 남아있다는 지적도 나오고 있다.
22일 금융권에 따르면 비씨카드는 최근 생체정보를 활용한 서비스 제공을 위한 인증서버 구축을 완료했다. 이에 따라 비씨카드 고객들은 오는 9월부터 지문인증으로 통한 카드결제를, 오는 10월과 내년 2월 무렵에는 음성인증과 안면인증을 통한 결제 서비스를 이용할 수 있게 될 전망이다. 해당 인증서비스들은 비씨카드 안전결제(ISP) 등에 우선적으로 적용될 것으로 보인다.
삼성카드와 시범서비스 중인 삼성전자의 모바일 결제 서비스 삼성페이 역시 지문인식을 통한 결제가 이뤄질 예정이다. 기본적으로 최초 설치시 삼성페이 앱을 내려받아 삼성 계정으로 로그인 한 후 지문을 등록하는 형식이며, 원하는 실물카드를 카메라로 인식시키면 그 이후부터 해당 카드로 삼성페이 결제가 가능해지는 형식이다.
은행권 역시 생체정보를 통한 본인 인증 방안의 상용화를 추진하고 있다.
신한은행의 경우 손에 있는 정맥의 구조를 활용해 셀프 뱅킹(Self Banking)을 구현할 계획이며, 기업은행은 홍채를 활용한 비대면 본인 인증 서비스를 개발하고 있다.
이 같은 생체인증 서비스들은 편리한데다 기존의 본인인증보다 개인을 식별해내는 기능이 높은 것으로 알려져 있다. 실제 삼성페이의 경우 해당 서비스를 운용중인 스마트폰을 분실한다 해도 지문정보가 다르면 결제가 불가능하다. 결제는 간편해지고 결제에 대한 보안 허들은 높아진 셈이다.
그러나 문제는 여전히 남아 있다. 생체정보는 바꿀 수 없어 한 번 해킹되거나 유출될 경우 일반적인 개인 정보보다 더 큰 피해를 야기할 수 있기 때문이다.
이에 비씨카드와 삼성페이는 국제 규격에 따라 인증 및 결제 시에 별도로 암호화된 코드를 인증서버에 저장된 코드값과 일치 여부를 확인하는 방식을 채택한 만큼 문제는 없다는 입장이다.
신한은행과 기업은행의 경우 출시가 임박한 여타 업체들과는 달리 해당 서비스 관련 별도의 보안규정을 아직 확정하지 못한 상태다.
신한은행 관계자는 “정맥 구조를 통한 본인인증 서비스의 경우 청사진 정도를 그려둔 것으로, 구체적인 서비스 일정은 확정되지 않았으며, 그 방식 역시 아직 정해진 바 없다”고 말했다.
기업은행 역시 홍채 본인인식 서비스의 경우 연내 상용화를 목표로 개발 중이지만, 아직 본격적인 서비스 제공 및 보안 가이드라인은 확립되지 않았다는 입장이다.
다만 일각에서는 현재 금융권에서는 금융결제원과 인증이용기관이 바이오 인증 데이터를 이분화해 저장하는 방안이 논의되고 있는 만큼 금융사들이 이 같은 방식을 따를 가능성이 높다는 분석도 나오고 있다. 금융회사 외 제 3의 보관소가 생체 정보를 분할해 보관하고, 인증시점마다 결합하는 이 방안은 ‘바이오 정보 분산관리’로 불리고 있다.
일각에서는 일반 개인정보도 암호화 등을 통해 철저하게 관리한다고 했으나 실제로는 몇 번이나 유출사고가 있었다는 점을 들어 불안감이 남아있다는 지적도 나오고 있다.
이에 금융당국은는 현재 생체정보 인증 및 결제와 관련한 보안규정에 대해 TF를 구성해 논의를 진행하고 있다. 그러나 강제성을 띌 지와 실효성이 있을지 여부는 여전히 미지수다.
금융권 관계자는 “대부분의 유출 문제는 보안 규정을 지키지 않거나 암호화가 이뤄지지 않아 발생했던 것인 만큼, 규정대로 관리만 철저하게 이뤄진다면 큰 문제는 없을 것”이라고 말했다.
일각에서는 이 같은 생체정보 유출에 대한 소비자 피해 보상 규정 가이드라인을 재정비 할 필요가 있다는 지적도 나오고 있다.
조남희 금융소비자원 대표는 “생체 정보의 경우 유출시 더 큰 위협이 될 수 있는 만큼 기본적으로 금융사 스스로 보안을 강화할 수 있도록, 금융사의 유출 및 부정결제에 대한 책임 수위를 높이고 강한 처벌과 보상규정을 마련할 필요가 있다”고 강조했다.