글로벌 기업들이 생체인식기술 표준화에 힘을 싣기 시작했다. 이에 따라 국내에서 공인인증서 인프라를 그대로 활용하면서도 더 쉽고 편하게 모바일뱅킹, 온라인쇼핑몰 결제 등을 활용할 수 있게 하는 기술이 등장할 수 있을 지 주목된다.
이전까지 문제로 지목됐던 공인인증서 구현용으로 액티브X 기반 플러그인 설치, PC 및 스마트폰 내 공개된 영역에 인증서와 개인키를 저장, 공인인증서 사용을 위해 입력하는 비밀번호의 노출 위험성을 한번에 해결할 수 있기 때문이다.
삼성전자, 구글, 알리바바 그룹 등 주요 글로벌 기업들이 회장사로 참여하고 있는 지문인식기술 표준그룹인 FIDO얼라이언스가 힘을 받고 있다는 점에서 글로벌표준에서 크게 엇나가지 않으면서도 공인인증서의 근간을 이루는 공개키기반구조(PKI) 기술을 구현할 수 있는 방법 중 하나로 꼽힌다.
더구나 지문정보나 공인인증서를 구현하는데 필수인 개인키를 안전하게 저장해 쓸 수 있도록 관리하는 보안기술이 개발돼 상용화 단계이 이르렀다는 점도 지문인식과 공인인증서를 활용한 이체, 결제의 실현가능성을 높이고 있다.
29일 국내 보안업계 관계자들에 따르면 비밀번호를 통한 인증을 지문, 홍채, 얼굴 등 생체정보로 대체하는 기술표준을 개발하고 있는 FIDO얼라이언스에는 주요 글로벌 기업들이 주도적으로 참여하고 있다.
20개 회장사에는 기기제조사로 삼성전자, 레노버와 함께 구글, 마이크로소프트 등 플랫폼 회사, 비자, 마스터카드, 디스커버 등 카드사와 알리바바 그룹, 페이팔 등 온라인결제전문회사, 보안칩과 관련해서는 ARM, NXP 등이, 생체인식기술을 보유한 녹녹랩스, 시냅틱스, 국내 회사인 크루셜텍, 보안회사인 EMC RSA 등이 참여하면서 판을 키우는 중이다.
삼성전자, 애플 등 스마트폰 기기 제조사들이 지문인식기술을 기본탑재하기 시작하면서 이들 간 생체인식플랫폼에 대한 주도권 경쟁은 이미 시작됐다. 애플페이, 삼성페이에 이어 구글이 최근 개발자 컨퍼런스인 '구글I/O'에서 안드로이드페이를 공개한 것도 이런 추세에 따른 것이다.
기술적으로는 스마트폰에서 활용하는 정보 중 보안이 필요한 핵심정보를 안전한 저장소에 저장할 수 있는 기술이 개발돼 상용화 단계에 왔다는 점도 생체인식기반 결제 구현을 앞당기고 있다. 스마트폰 내 프로세서나 OS단에서 SE, TEE, TPM, USIM 등이 그러한 영역에 해당한다.
최근 한국인터넷진흥원(KISA)은 'FIDO인증기술과 공인인증서 연계기술개발'에 대한 입찰공고를 내고, 올해 말까지 두 가지 기술을 함께 쓸 수 있는 방안을 마련한다는 계획이다.
이전까지 인터넷/모바일뱅킹 이체, 온라인쇼핑몰 결제를 위해서는 개인키와 인증서를 스마트폰 내에 공개된 영역에 저장해 꺼내 쓰는 방식을 썼기 때문에 보안적으로 허점이 많았다. 공인인증서 로그인, 이를 통한 이체/결제 등에 쓰이는 비밀번호가 일반 포털사이트 로그인에 사용되는 비밀번호와 크게 다르지 않은 사용자들이 많다는 점도 문제를 부추겼다. 만약 공격자들이 대상이 포털사이트에서 어떤 비밀번호를 쓰는지 알아낸 뒤 공개된 저장소에 저장된 공인인증서, 개인키를 탈취해 이체/결제를 시도하는 일이 가능했다.
지문인식과 공인인증서의 조합은 이러한 위험성을 대폭 줄일 수 있을 것으로 전망된다. KISA 전자인증팀 박상환 팀장은 "지문을 사용하면 비밀번호를 별도로 입력하지 않아도 되기 때문에 편리하고, 보안성도 가미돼 있어 스마트폰을 통한 인증 등에 활용할 수 있도록 FIDO 표준을 준용한 서비스를 개발할 계획"이라고 밝혔다.
한국전자통신연구원(ETRI) 진승헌 부장은 "옆사람이 알아내서 도용할 수 있는 비밀번호 대신 접근제어를 위해 자신만 지니고 있는 지문정보를 사용할 수 있게 하는 것"이라며 "이 과정에서 개인키, 지문정보 등은 모두 안전한 저장소를 통해 관리돼야 한다"고 설명했다.
KISA는 오는 11월까지 연계기술개발을 마무리하고, 국내 주요 온라인쇼핑몰, 결제대행사(PG), 카드사, 유관기관 등을 통해 시범서비스를 연내 실시할 계획이다.
은행권에서도 생체인식기술과 기존 공인인증서 인프라의 결합을 반기는 분위기다. 지난달 말 한국은행에 따르면 올해 말부터 신한은행 등 시범은행을 통해 생체정보를 활용한 인증 적용에 대한 시범서비스를 선보일 예정이다. 한은은 17개 은행과 관련 기술표준안을 논의해 서비스 방식 등을 확정한다는 계획이다.