작은 차이의 승부, 비대면 실명 인증 시스템의 보안
비대면 실명 인증에서의 작지만 중요한 차이를 만들어내기 위한 정보기술(IT)의 진보가 이루어지고 있다. 차세대 인증 수단으로 떠오른 생체인증의 도입, 증권사가 챙겨야 할 과제는 효과적인 보안 대책이다.
글 이문형 한국보메트릭 지사장 사진 한국경제DB
계좌를 개설하기 위해 창구에서 줄 서던 풍경은 이제 추억 속으로 사라질 전망이다. 지난 12월 금융위원회의 비대면 실명 인증 허용으로 기존에 금융 서비스 가입 시 대면 인증을 요구했던 관행이 없어졌기 때문이다. 증권사를 비롯한 금융권은 환영하는 분위기다. 특히 영업 기반이 상대적으로 취약한 중소 증권사, 지방은행, 외국계 은행은 비대면 실명 확인을 통해 고객 유치는 물론 비용 절감 효과까지 기대할 수 있기 때문이다.
비대면 실명 인증의 미래, 생체인증
비대면 실명 인증이란 영상통화나 생체 정보 등을 바탕으로 직접 얼굴을 맞대지 않고도 개인을 식별해내는 과정을 의미한다.
현재 지식 기반 인증, 소지 기반 인증, 특징 기반 인증, 생체 기반 인증 등 4가지 주요 보안 인증이 차세대 인증 수단으로 채택되기 위해 경합을 벌이고 있으며, 이러한 경쟁에 있어서 안정성 및 보안인증 적합성 측면을 따져보면 생체 인증이 가장 합리적이라는 것이 중론이다. 사용자가 별도로 기억해야 할 정보는 물론, 별도의 장비 없이도 본인 신체의 고유 정보를 이용해 인증이 가능하기 때문이다.
생체인증 기술은 간단히 말하면 인간의 특정 생체 정보나 행동 특징에 관한 정보를 분석해 본인 여부를 판별하는 기술을 말한다. 크게 지문이나 정맥, 홍채 등 신체적 특징과 서명 및 음성 등 행동적 특징으로 인증하는 방식이 널리 쓰인다. 은행권에서는 생체인증이 조만간 공인인증서 및 비밀번호를 대체할 것으로 내다보고 있다. 또한 증권업계 역시 1차적으로 계좌 내 이체 업무를 상용화한 이후 내년 하반기에는 생체 정보를 이용한 주식 매매가 가능할 수 있도록 추진할 것이라고 밝혔다.
현재 국내에서는 신한은행이 시범 서비스로 손바닥 정맥 인증을 통한 무인 거래를 시작하는 등 금융권을 비롯해 병원 등에서도 도입이 활발하며, 공공기관은 전국 지방자치단체, 국가기록원, 정부통합전산센터 등이 손등 정맥을 활용한 본인 인증 솔루션을 채택한 상황이다. 해외에서는 이미 지문을 통한 생체인증을 도입한 애플페이는 물론 영국 바클레이스은행, 중남미, 유럽 등의 은행에서 생체인증을 활용하고 있다.
생체인증의 명암, 보안성을 잡아라
이처럼 전 세계적으로 금융권을 비롯한 각 기관에서 경쟁적으로 생체인증을 도입하고 있는 가운데, 가장 먼저 우려되는 부분은 바로 생체인증을 위해 저장되는 생체 정보의 보안 문제다. 생체인증이 액티브X의 악몽에서 벗어나는 편의성을 제공하는 기술임은 분명하지만, 높은 편의성만큼 이중삼중의 보안 대책이 요구된다. 언제든지 변경 가능한 비밀번호와 달리 한번 설정하면 바꿀 수 없는 생체 정보는 외부로 유출 당하면 막대한 피해가 예상된다.
따라서 금융기관은 생체인증 서비스 또는 솔루션 도입에 있어 그 기능과 성능뿐만 아니라 유출 위험으로부터 생체 정보를 보호할 수 있는 충분한 보안성을 확보하고 있는지에 대해서도 심도 있는 고려가 필요하다. 이를 위해서는 생체 정보에 대한 정확한 이해가 선행돼야 한다. 생체 정보는 통상 비정형 데이터의 형태를 가지고 있다. 비정형 데이터는 데이터의 형식이 정해져 있지 않은 데이터로서, 데이터베이스와 같이 정해진 구조에 저장된 데이터가 아닌 일반적인 데이터 즉, 이미지 또는 문서 파일, 녹취 파일, 영상 파일 등의 데이터들을 통칭한다. 따라서 생체인증 시스템을 안전하게 구현하기 위해서는 비정형 데이터를 보호할 수 있는 보안 솔루션이 필수 요소다.
그러나 일반적인 데이터 암호화 솔루션은 컬럼 단위로 암호화를 지원하는 경우가 많으며, 이러한 기존의 컬럼 기반 암호화로는 비정형 데이터로 이루어진 생체정보를 효과적으로 보호할 수 없다. 이에 반해 커널 레벨 파일 단위 암호화 기반의 보안 솔루션은 여러 종류의 데이터베이스는 물론 로그파일, 이미지, 영상, 음향 등의 비정형 데이터까지도 암호화할 수 있어 생체인증 보안을 위한 해결책으로 꼽히고 있다. 커널 레벨은 운영체제의 핵심 부분으로 중요한 것은 생체정보를 포함한 모든 정형 및 비정형 데이터는 파일로 저장된다는 것이다. 파일로 저장되는 데이터를 보호하기 위한 가장 편리하고 강력한 수단이 바로 파일을 통째로 암호화하는 것임은 이미 시장에서 검증된 바 있다.
생체인증은 증권업계가 가지고 있는 ‘신속한 주문 및 체결’이라는 특성을 충족시켜 증권사에는 고객 유치 및 비용 절감 효과를, 그리고 고객에게는 편의성을 가져올 기술임은 분명하다. 그러나 그 편의성과 긍정적인 효과에 초점을 맞출 뿐 아니라 생체 정보가 유출됐을 경우 부정적인 결과 역시 동일선상에 놓고 고려해야 한다. 증권업계의 생체인증 서비스의 진정한 발전을 위해서는 생체 정보에 대한 이해를 바탕으로 한 효과적인 보안 대책을 마련해야 할 때다.
신한은행의 손바닥 정맥인증을 통한 무인 스마트점포 출시 행사에서
임종룡 금융위원장이 시연해보고 있다.
* 저작권법에 의하여 해당 콘텐츠는 코스콤 홈페이지에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.
'FINANCIAL IT > Finance IT Focus' 카테고리의 다른 글
디지털 기반 혁신 기술의 등장, 금융IT에 미치는 영향 (0) | 2016.11.01 |
---|---|
2016년 증권IT, 증권업계 디지털화 주역의 원년 (0) | 2016.07.04 |