공인인증서 대신 지문인식 도입 가능할까?

보안 숙제 남아 당장 도입하기는 힘들 듯

일반입력 :2014/06/17 18:25

손경호 기자

인터넷 뱅킹, 모바일 뱅킹에 공인인증기술 대신 지문인식기술을 도입할 수 있을까. 현재로서는 몇 가지 보안적인 숙제가 있어 쉽게 도입되기는 힘들 것으로 전망된다.

최근 애플은 세계개발자컨퍼런스(WWDC)에서 아이폰5S에서부터 도입된 지문인식센서 '터치ID에 대한 개발자 API를 공개했다. 이보다 앞서 삼성전자는 페이팔과 협력해 갤럭시S5에 탑재된 지문인식기능을 활용한 결제시스템을 선보인 바 있다.

지문인식기반 전자금융거래가 가능해지면 공인인증서를 이용한 방식에 비해 보다 쉽게 본인을 인증해 결제하는 일이 가능해진다. 자신이 가진 고유 생체정보를 활용한다는 점에서 지문인식기술은 ID, 비밀번호를 입력하는 방식과 비교해 편리하다는 점이 강점이다.

문제는 지문 역시 주민번호와 마찬가지로 보호가 필요한 개인정보라는 점이다. 소액결제전문업체인 다날과 모바일 입력 솔루션 전문업체인 크루셜텍은 올해 스페인 바르셀로나에서 개최된 모바일월드콩그레스(MWC)2014에서 지문인식 기술 기반 모바일 결제 솔루션인 '바이오미(biome)'를 공개하면서 참가자들로부터 높은 관심을 받았다.

이 기술은 예를 들어 편의점에서 물건 구매할 때 POS단말기와 스마트폰을 근거리무선통신(NFC)과 같은 기술로 연동시킨 뒤 스마트폰에서 지문을 인식시키는 것만으로 결제가 이뤄지는 방식이다.

보안업계에 따르면 관건은 회원가입시 서버에 저장된 지문정보를 얼마나 효과적으로 보호할 수 있는가에 달렸다. 국내에서 발생한 POS단말기 해킹이 카드정보를 관리하는 서버가 해킹되면서 문제가 됐던 것처럼 개인 지문 정보 역시 해킹 위협으로부터 100% 안전하다고 보기는 힘들기 때문이다.

이와 관련 크루셜텍 자회사인 크루셜소프트는 지문인식 기반 사용자 인증 결제솔루션인 'CSID'를 출시하면서 해당 생체정보는 암호화 기술을 적용해 유출을 차단하고 있다고 밝혔다.

문제는 더 있다. 지문을 몰래 훔쳐서 결제에 악용할 수 있다는 점이다. 더구나 지문 자체가 개인이 바꿀 수 없는 고유정보라는 점에서 유출사고가 발생했다고 가정하면 이에 다른 지문을 확보할 수 없다는 점이다. 한번 유출되면 그동안 금융보안사고에 악용된 주민번호와 별반 다를 게 없다는 것이다.

특수한 경우라고는 하지만 독일보안업체 시큐리티리서치랩(SRL) 연구팀은 갤럭시S5 지문인식 기능을 활용한 페이팔 결제가 목재용 접착제로 복제한 지문을 통해서도 결제가 이뤄진다는 사실을 시연한 바 있다.

지문 도용을 방지하기 위해 터치기능을 활용한 추가적인 사용자 정보 입력 방식을 적용해 이 같은 문제를 해결하는 방안을 고려해 볼 수 있다.

현재까지는 바이오미처럼 오프라인 소액결제방법의 하나로 지문인식기술이 개발됐으나 해당 기술이 은행과 연동한 자금이체, 온라인 결제 등 모바일 뱅킹 기능으로까지 확대되기는 당분간 쉽지 않을 것으로 보인다.

다날 관계자는 오프라인 결제와 전자금융거래 사이에는 차이가 있다며 전자금융거래에 지문인식기능이 도입되기까지는 복잡한 단계가 필요할 것이라고 전망했다.

관련기사

그럼에도 불구하고 크루셜소프트 같은 회사들은 모바일 뱅킹에 지문인식 도입 가능성을 타진하고 있다. 편백범 크루셜소프트 대표(크루셜텍 BTP 개발 담당 이사 겸임)는 오프라인 소액결제 외에 모바일 뱅킹에서도 충분히 지문인식기능을 도입할 수 있으며 실제로 금융권과 사업성을 검토하는 중이라고 말했다.

금융위원회 전자금융팀 관계자는 법적으로 지문인식, 홍채인식 등도 접근매체로서 사용은 가능하지만 아직 이에 대한 금융권 등 내부 검토 중인 것으로만 알고 있다며 전자금융거래 특성상 충분한 검증이 이뤄진 후에 여부가 결정될 것이라고 밝혔다.