"FIDO 생체인증-공인인증서, 한 집 살림 계속될 것"

인터넷입력 :2016/01/12 17:34

손경호 기자

지문 등을 활용한 생체인증에 대한 관심이 높아지면서 은행권에서도 본격적으로 생체인증을 자사 서비스에 활용하려는 분위기다.

이미 삼성페이를 통해 보안성이 입증된 온라인 생체인증 표준 FIDO(Fast IDentity Online) 기반 기술이 대세를 이룰 것으로 전망되는 가운데 비대면 실명확인은 물론, 인터넷/모바일뱅킹에 필요한 공인인증서의 추가인증수단으로 활용하거나 인증서를 대체하는 용도로까지 쓸 수 있는지 여부도 검토되고 있다.

은행들이 생체인증 도입에 적극적으로 나서는 가장 큰 이유는 금융당국이 비대면 실명확인 수단 중 하나로 권고했기 때문이다. 인터넷전문은행이 이르면 오는 하반기 출범을 예고한 가운데 등장한 위비뱅크(우리은행), 써니뱅크(신한은행) 등 일명 '모바일뱅크'가 영업점에 방문하지 않고 계좌를 개설할 수 있게 하는 비대면 계좌개설을 적극적으로 도입하고 있는 것도 생체인증 확산으로 이어지는 양상이다.

■은행권 FIDO 생체인증 어떻게 쓰나 보니

은행권에서 도입했거나 도입을 검토 중인 FIDO 기반 생체인증은 크게 세 가지로 구분된다. 먼저 공인인증서를 그대로 쓰되 이전 OTP, 보안카드 등을 대체하는 추가인증수단으로 FIDO 방식을 활용하겠다는 것이다.

IBK기업은행 관계자는 "공인인증서 전체를 완전히 뒤엎는다기보다는 FIDO 방식을 추가인증수단으로 활용하면서 이후 검증을 거쳐 인증서를 대체하는 용도로까지 적용할 수 있는지를 검토를 할 예정"이라고 밝혔다.

다른 은행들 역시 기본적인 입장은 비슷한 상황이다. 지난해 12월19일 NH스마트금융센터를 오픈하면서 은행권서 처음으로 FIDO 방식을 도입했던 NH농협은행은 현재 금융센터 웹사이트 내에서 예금, 펀드, 대출 등 금융상품을 가입하기 위한 용도로 지문인증을 활용할 수 있도록 했다. 최초 사용자를 등록할 때는 공인인증서를 활용해야하지만 이후에는 인증서 없이도 지문인증만으로 금융상품에 가입할 수 있게 한 것이다. 이 은행 스마트금융부 관계자는 "조회, 이체 등 업무에 활용하기 위해서는 결제할 때 마다 전자서명을 해야한다는 등의 법규도 확인을 해야하기때문에 아직은 검토만 하고 있다"고 밝혔다.

KB국민은행은 카드사를 포함한 KB금융그룹 계열사에서 공통으로 쓸 수 있는 '생체정보기반 통합 인증 플랫폼'을 연내 구축한다는 계획이다. 이 은행 관계자는 "(모바일뱅킹앱인) KB스타뱅킹에 FIDO 기반 지문인증을 도입하기 위해 기술개발 중이며, 이후 홍채, 얼굴, 음성 등까지 추가로 도입할 계획"이라고 설명했다. 모바일뱅킹앱을 통해 비대면 실명확인이 필요한 업무를 할 경우 FIDO 기반 생체인증을 활용할 수 있도록 하고, KB국민카드 등을 포함한 전체 계열사에서 공통으로 활용할 수 있게 하겠다는 것이다.

우리은행이 서비스하고 있는 위비뱅크 역시 위비모바일대출 고객을 대상으로 위비모바일통장 개설 업무를 실시한 뒤, 생체인증을 포함한 다양한 비대면 실명확인 방식을 접목시켜나갈 것이라고 밝힌 바 있다.

FIDO얼라이언스에 참여하고 있는 기업들.

신한은행은 써니뱅크에 FIDO 기반 생체인증을 적용한다는 계획이나 아직 구체적으로 언제, 어떤 방식으로 활용될 수 있을지에 대해서는 검토 중인 상황이다.

■FIDO-공인인증서 한 집 살림, 당분간 지속될 것

공인인증서를 쓰기 위해 입력하는 비밀번호를 FIDO 인증으로 대체하려는 움직임도 있다. 한국인터넷진흥원(KISA)이 한국전자인증, 크루셜텍 등과 공동으로 개발한 방식으로 스마트폰 내 별도 앱의 안전한 저장소에 공인인증서, 개인키, 지문 등 생체정보를 저장해 놓은 뒤 인터넷뱅킹/모바일뱅킹 등에서 해당 인증서를 불러와 전자서명을 할 때 비밀번호 대신 생체정보를 입력하는 방법을 쓰겠다는 것이다.

그러나 현재 은행권은 공인인증서의 비밀번호 대체수단보다는 추가인증수단으로 FIDO 인증을 도입하는 방안을 보다 적극적으로 검토하고 있는 상황이다.

기존 인증서 인프라를 FIDO 기반 생체인증으로 대체하는 일이 가능할까. 은행권에서는 조심스럽지만 가능성을 배제하지 않고 있는 것으로 보인다. 다만 인증서를 대체하는 방안이 나온다고 하더라도 기존 공인인증서를 활용하는 방식은 그대로 쓰일 가능성이 크다. 은행들 입장에서는 더 많은 사용자들이 인터넷/모바일뱅킹을 사용할 수 있도록 하는 것이 중요하기 때문이다.

KISA, 한국전자인증, 크루셜텍 등이 공동 개발한 공인인증서 비밀번호를 FIDO 인증으로 대체하는 방식.

이와 관련 금융결제원 핀테크업무팀 임찬혁 팀장은 "은행들이 결정할 사안이지만 예를들어 잔액조회, 소액 송금/이체 등에서는 인증서보다 가벼운 FIDO 방식을 쓸 수도 있을 것으로 본다"고 밝혔다.

■가짜 FIDO 등장? 아직은 큰 우려 없어

최근 들어 FIDO 인증 전문회사들 사이에서는 안드로이드폰 내에 잠금해제 등 용도로 쓰였던 생체인증을 마치 FIDO인 것처럼 포장해 제공하겠다는 회사들이 등장하고 있어 주의가 필요하다고 강조한다. FIDO는 지문 등 생체정보로부터 추출한 특정값(템플릿)을 스마트폰 내 트러스트존과 같은 안전한 저장소에 저장해 외부로 빼낼 수 없게 한다는 점이 특징 중 하나다. 그러나 안드로이드폰 내에서 제공하는 기본 소프트웨어개발키트(SDK)나 API 등을 활용하면서도 마치 FIDO 인증이 되는 것처럼 말하는 일부 회사들이 있다는 설명이다.

그러나 금결원 임 팀장은 "이미 FIDO 표준과 관련 문서들이 많이 공개돼 있고 어떻게 다른 지 이해하는 것이 어렵지 않다"고 주장했다. FIDO 방식에 위협을 가할 수 있을 만큼 위협이 되는 것은 아니라는 설명이다.

관련기사

FIDO 업계 관계자는 "FIDO 인증에 대한 관심이 높아지는 것은 좋지만 만약 보안성이 안드로이드폰SDK 등을 이용하는 생체인증을 금융권 등에서 도입했을 때 보안사고가 난다면 FIDO 인증 전체가 문제가 있는 것처럼 비쳐질 수 있다"고 우려를 나타냈다.

FIDO 기반 생체인증이 오랫동안 사용자들을 '불편한 보안'에 노출시켰던 공인인증서를 완벽히 대체하기는 힘들 것으로 보인다. 다만 인증서를 더 안전하면서 편리하게 쓸 수 있는 방법과 이를 대체하는 방법 등이 논의되면서 이전과 달리 사용자들이 더 나은 방식을 선택할 수 있는 권리가 보장될 것으로 전망된다.