생체인증, 공인인증서 대체하나

금융권 잇달아 도입…홍채인식 스마트폰도 변수

인터넷입력 :2016/08/09 12:09    수정: 2016/08/09 13:58

손경호 기자

"불편하고, 보안성도 높지 않다"

인터넷/모바일뱅킹 사용자들이 공인인증서를 대하는 대체적인 의견이다. 이런 인식을 반영하듯 금융사들이 공인인증서를 대체하거나 보완하기 위해 생체인증기술들을 자사 금융서비스에 적극적으로 도입하기 시작했다. 지난해 3월 금융위원회가 전자금융감독규정을 개정해 공인인증서 사용 의무를 폐지한 지 1년5개월만의 변화다.

8일 국내 주요 은행 관계자들에 따르면 방법은 크게 두 가지다. 공인인증서를 발급받고 저장해서 쓰는 방식을 완전히 지문, 홍채인증 등 생체인증으로 대체하는가 하면 공인인증서는 그대로 쓰되 여기에 쓰이는 비밀번호를 생체인증으로 바꾸는 식이다.

그동안 공인인증서는 공개키기반구조(PKI)라는 글로벌 시장에서 검증된 보안기술을 활용했음에도 불구하고 지속적으로 보안위협에 노출됐었다.

왼쪽 위부터 시계방향으로 KEB하나은행 홍채인증(셀카뱅킹), 우리은행 스마트폰 홍채인증, NH농협은행 지문인증

외부에 공개되서는 안 되는 일종의 열쇠 역할을 하는 개인키가 PC, 노트북, 스마트폰 내 공개된 폴더(NPKI)에 저장됐던 탓에 공격자들에게 유출되는 사고가 잦았다. 이들은 이러한 정보를 사전에 해킹 등으로 확보한 금융정보와 조합해 피해자 계좌에서 돈을 훔쳐냈다.

공인인증서를 둘러싼 보안우려가 높아지고, 좀 더 편리한 보안기술을 쓰고 싶어하는 사용자들의 요구가 커지면서 금융사들이 이를 대체하거나 보완하는 기술들을 올해부터 본격적으로 도입하는 중이다.

지문인식을 지원하는 스마트폰이 보급되고, 지문보다 보안성이 높다고 알려진 홍채인식까지 지원하는 스마트폰이 등장하기 시작한 것도 이러한 변화를 부추긴다.

하나-우리, 홍채인식기술 다른 방식으로 적용

삼성전자가 홍채인식기술을 탑재한 갤럭시 노트7을 발표하면서 KEB하나은행과 우리은행은 발빠르게 자사 모바일뱅킹앱에 홍채인증을 적용했다.

두 은행은 홍채인증기술을 조금 다른 방식으로 활용했다. KEB하나은행은 자사 모바일뱅킹앱인 1Q뱅크에서 계좌조회, 이체 등을 활용하기 위해 공인인증서를 대체하는 용도로 홍채인증을 도입했다. 1Q통합인증이라는 별도 앱을 통해 지문은 물론 홍채까지도 공인인증서 대신 쓸 수 있도록 지원한다는 계획이다. 1Q통합인증앱 내에서 제공되는 홍채인증의 서비스명은 '셀카뱅킹'이다. 이 은행은 9월 중 통합멤버십 서비스인 하나멤버스에도 홍채인증을 확대적용한다.

우리은행은 별도 앱을 설치하지 않고 스마트뱅킹(원터치개인)앱에서 홍채인증을 쓸 수 있도록 지원한다. 대신 KEB하나은행과 달리 공인인증서 로그인을 위한 비밀번호를 대체하는 용도로 홍채인증을 활용한다. 이 은행관계자는 "보다 정확히 말하면 홍채인증 기반 공인인증서라고 볼 수 있다"며 "처음 한번만 홍채정보를 등록해 놓으면 이를 기반으로 공인인증서가 발행되고, 이 정보가 다시 갤럭시 노트7 내에 안전한 저장소인 트러스트존에 저장된다"고 설명했다. 우리은행은 오는 19일 스마트뱅킹앱에 우선적용한 뒤 연말께 위비뱅크에도 이러한 서비스를 도입한다는 계획이다.

KEB하나은행이 공인인증서와 개인키에 대한 사용자의 관리부담을 없앤 대신 별도의 통합인증앱을 활용한다면 우리은행은 공인인증서를 그대로 활용하되 별도 앱을 설치하지 않고, 유출될 우려가 있는 비밀번호 대신 생체인증을 쓴다는 점에서 차이가 난다.

■ NH농협, 모든 서비스에 지문인증 도입

관련기사

NH농협은행은 KEB하나은행처럼 모바일뱅킹앱으로 조회, 이체, 금융상품가입, 대출신청, 공과금 납부 등 대부분 서비스에서 공인인증서를 대체하는 방법으로 지문인증을 활용했다. 다만 아직까지 홍채인증까지 도입하지는 않았다. 현재 이 서비스는 NH금융상품마켓을 시작으로 NH스마트뱅킹, NH스피드뱅킹에 적용됐으며 8일 출시한 모바일뱅크인 올원뱅크에서도 활용할 수 있다.

NH농협은행 스마트금융부 기병석 과장은 "현재는 지문인증으로 공인인증서를 대체한 것"이라며 "일부 거래에서는 보안카드나 일회용비밀번호(OTP) 없이도 계좌이체할 수 있는 방안을 검토 중"이라고 밝혔다. 이 은행은 오는 9월에는 인터넷뱅킹에도 지문인증을 도입한다는 계획이다. 이밖에도 SC제일은행, 부산은행 등도 공인인증서를 대체하는 용도로 지문인증을 서비스 중이다.