TTA "어떤 '생체인증'이든 믿고 쓸 수 있는 환경 만들겠다"

[인터뷰] 김재범 TTA 디지털정보보호단 책임

컴퓨팅입력 :2023/08/31 08:30

[나트랑(베트남)=김윤희 기자] "삼성전자, 애플 등이 구현한 생체인증 기술은 굉장히 수준 높다. 동작도 잘하고 보안성이 매우 우수하다. 그런데 이 기업들 기술만 쓸 순 없다. 생체인증이 전방위적으로 활용됨에 따라 스타트업을 비롯해 다른 기업들도 생체인증 기술을 개발하고, 제품에 적용 중이다. 한국정보통신기술협회(TTA)는 그 동안 기술들을 평가하며 쌓은 경험치를 바탕으로 생체인증 서비스 전반의 기술 수준이 향상되도록 지원하려 한다."

김재범 TTA 디지털정보보호단 책임은 30일 베트남 나트랑에서 열린 '패스트아이덴티티온라인(FIDO) APAC 서밋 2023' 현장에서 만나 이같이 말했다.

스마트폰이 보급되고, 이를 카드 결제 수단으로 삼는 각종 '페이' 서비스들이 활발히 쓰이게 됐다. 이 서비스에서 편리한 신원인증 수단으로 쓰이는 것이 생체인증이다. TTA는 ICT 표준을 연구하고, 시험을 담당하는 국가기관으로서 이런 흐름을 읽고 10여년 전부터 표준 연구와 보급에 착수했다.

생체인증이 생소하게 여겨졌던 시기를 지나 현재는 국제 기술 표준도 여럿 등장한 상황이다. 김재범 책임은 상대적으로 선도 기술을 유연하게 활용하는 대기업 외, 신기술에 관심을 갖는 기업 전반이 안전하고 유용한 서비스를 만들어 혁신에 기여할 수 있도록 하겠다고 했다.

김재범 TTA 책임

김재범 책임은 주로 지불결제 분야 기술 표준 관련 업무를 수행해왔다.

모바일 결제가 등장하기 전 지불결제 영역은 IT와 관련성이 적은 편이었다. 기술 표준도 TTA가 아닌, 국제 신용카드사 연합체(EMVco)가 주도하고 있었다. 

2011년 경 스마트폰과 근거리무선통신(NFC) 기능이 등장하면서, 연구만 거듭하던 스마트폰 기반 결제 서비스가 본격적으로 등장할 수 있는 기술 발판이 마련됐다. TTA도 이런 점에 주목했다.

"10여년 전엔 전통 금융권에서는 TTA란 조직을 잘 몰랐다. 정보통신 분야에선 괜찮은 입지를 갖고 있었지만, 금융IT 영역에선 그렇지 앟았다. 그렇다 보니 충분히 기술을 연구했음에도 시험기관으로 지정받는 데에만 3년이 걸렸다. 시험소부터 시작해서 TTA가 지원하는 영역을 넓혀나갔다."

패스워드를 사용하지 않고, 생체인증 등의 수단을 사용해 보안 수준을 강화하는 기술인 'FIDO'에 주목한 건 2015년부터다. 결제를 비롯한 금융 서비스는 인증보안이 중요한 만큼, FIDO를 융합하는 방안을 고려하게 됐다. FIDO가 별도의 안전한 영역을 상정하지 않는 '제로트러스트' 방식의 보안 체계라는 점에서도 향후 대세 기술이 될 것으로 전망하고, 기술 보급을 꾀했다.

"새로운 기술의 표준 초안은 공식 발행판일지라도 완결성이 다소 떨어진다. 미비한 부분을 사전에 테스트로 확인하려 해도 이를 가능케 하는 제품이나 서비스가 시장에 없기 때문이다. 정책도 미비하다. 이런 점 때문에 초반엔 업계에서 해당 기술에 대한 논쟁이 일기도 한다. 이런 요소들을 조정해나가야 할 시기에는 TTA 같은 기관에서 할 일이 많다."

기술 표준화를 위한 논의를 상당 기간 거쳐오면서 FIDO는 모바일용, 웹브라우저용, 그리고 클라우드에 개인키를 보관하는 방식인 '패스키' 등 세 가지 기술이 시장에 보급되는 등 시장에 안착한 모습이다. 기술 보급 시기를 지나 최근에는 FIDO의 주요한 인증 수단인 생체인증에 대한 기술 고도화 방안을 중점적으로 살펴보고 있다고 했다.

"생체정보는 다른 인증정보와 달리 정보가 한 번 유출되면 이를 수정하거나 복구할 수 없어 데이터 보안이 매우 중요하다. 그리고 위조된 생체정보를 잘 대응할 수 있도록 기술이 구현되는 것도 중요하다. 이런 문제들을 해결하기 위해 꾸준히 연구 중이고, 일부 기관에는 기술 이전도 하고 있다."

생체인증은 기업이 대외 서비스가 아닌, 내부 보안을 강화하기 위한 수단으로도 유효하다는 조언이다.

"다중인증(MFA)만 쓰면 피싱에 내성이 생긴다고 생각하는 경향이 있다. 기업 내부 보안 담당자조차도 그렇게 생각하는 경우가 있다. 다소 안일한 생각이다. 패스워드만 사용하는 것보단 낫겠지만, 이를 파고들 수 있는 취약점들이 있다. 해커들은 남아 있는 취약점을 집요하게 공격한다. 결국은 생체인증이 편의성과 보안성을 같이 키울 수 있는 방법이다."

관련기사

김 책임은 이날 서밋에서 FIDO에 대한 전문성을 갖춘 인력을 양성해야 한다고 발표하기도 했다. 전문 인력들이 충분히 확보되면, 새로운 혁신 기술이 등장했을 때 기술 표준 마련 및 업계 보급 과정의 진척이 빨라지고, 그 기술 분야를 선도할 수 있기 때문이다.

"TTA가 해야 하는 역할을 고민해봤다. 그간 제품과 서비스들이 다양해지고, 성능도 좋아졌다. 이런 흐름을 촉진하려면 전문 지식을 보유한 인력이 필요하다. 이런 인력이 있으면 우수한 기술 기반의 제품도 나오고, 기술 표준 논의도 빨라질 수 있다. FIDO의 경우 전문 시험 제도로 'FCP'가 있다. 2021년 미국에서 시작됐고, 한국에는 작년 초에 제도 운영을 시작했다. 서밋이 열린 베트남 같은 경우엔 이 시험에 많이 응시하는 편이다. 한국은 아직까진 수요가 적다."