상세 컨텐츠

본문 제목

비대면인증, '편리'와 '보안' 두 마리 토끼를 잡아라!

전문가 기고

by 알약(Alyac) 2016. 10. 4. 15:50

본문

비대면인증, '편리'와 '보안' 두 마리 토끼를 잡아라!


최근 각종 매체를 통해 ‘핀테크’라는 단어가 자주 등장하고 있습니다.


※ 핀테크(FinTech)란?

Financial(금융) + Technology(기술)의 합성어

금융과 ICT(Information&Communication Technology)의 결합을 통한 새로운 서비스 산업 분야


핀테크라는 용어는 사실 추상적이고 다양하게 쓰이는데, 기존 전자금융과는 다르게 봐야 합니다. 전자금융이란 인터넷 기술이 발전한 시기에 금융 서비스를 인터넷으로 옮겨온 것으로 보조적인 역할 정도로 보이지만, 핀테크는 기술을 핵심요소로 하는 금융 서비스라고 볼 수 있습니다.


지금까지 많은 외국 기업들이 핀테크 사업을 주도해나가고 있으며, 국내에서도 몇몇 기업들이 진출하고 있습니다. 그러나 국내 핀테크 산업 성장은 아직까지 부진한 것으로 평가되고 있습니다. 그 이유로는 단순한 결제 시스템에만 집중된 핀테크 사업, 금융업의 핀테크 진출 법적 규제, 공인인증서, ActiveX 사용, 보안 정책의 미비함 등이 꼽힙니다.



핀테크를 활성화하려는 움직임의 시작, '비대면 실명확인'을 주목하자


지난해 5월 6일에는 국내 핀테크 시장에 중요한 전환점이 되는 발표가 있었습니다. 바로 규제개혁장관회의에서 발표된 ‘핀테크 산업 활성화 방안’입니다. 주요 내용은 아래와 같습니다.


 


발표한 내용 중 금융사 핀테크 기업 출자 활성화 부분도 중요하지만, 핀테크 산업 성장에 있어 가장 크게 작용할 부분은 비대면 실명확인니다. 비대면 실명확인이 어떤 방식으로 결정되느냐에 따라, 향후 출범할 인터넷전문은행의 방향이 결정될 수 있기 때문입니다. 


※ 비대면 실명확인

간단한 금융계좌 개설 시, 은행창구 방문없이 실명을 확인하여 계좌 개설이 가능한 것


이미 해외에서는 인터넷전문은행을 비롯해 비대면 인증을 통한 실 계좌 개설이 허용되고 있습니다. 일본은 우체국 직원을 통해, 프랑스는 등기우편을 통해, 미국의 경우 타 은행 계좌를 이용하여 실명을 확인합니다. 그리고 지난해 12월부터 국내에서도 비대면 실명확인 방식이 신분증 사본, 기존 계좌, 타 인증기관 확인(공인인증서, 휴대폰 번호) 3가지 방식으로 확정되었습니다.


<이미지 출처 : http://news.zum.com/articles/22073706>


이와 같은 비대면 실명확인이 허용된 이후, 약 6개월간 31개 금융회사로부터 15만9천건의 계좌가 비대면 방식으로 신규 개설된 것으로 집계됐습니다. 증권사는 12만7천581건, 은행은 3만1천212건이었습니다. 비대면 허용은 은행권은 지난해 12월1일부터, 제2금융권은 올 2월22일부터 실행됐습니다.

 


본인임을 직접 인증하자, '생체인식'의 부상


비대면 실명확인 방법에서 '편리성'을 더 강조하자면, 생체인식(지문, 홍채, 정맥, 목소리) 방법을 꼽을 수 있습니다. 이미 스웨덴에서는 물건을 구매할 때 지갑 대신 손바닥의 정맥을 이용해 본인임을 확인하여 결제가 진행되고 있습니다.


현재 한국은행 금융정보화추진협의회에서 추진중인 ‘생체정보 분산관리 표준(안)’에 따르면, 고객의 생체정보를 분할해서 한 조각은 금융기관 서버나 스마트폰 등 개인 디바이스에 보관하고, 나머지 조각은 별도 인증센터에 보관하다가 거래 시점에 생체정보 조각을 결합해 인증하는 기술을 적용합니다. 또한 인증센터에 접속하는 금융기관이 생체정보를 공동으로 이용할 수 있도록 지원합니다.


생체인식기술 자체가 초기 진입장벽이 높고, 현 시스템에서 많은 변화가 필요하겠지만 이러한 진입장벽이 해소되고 보안까지 강화된다면 대포통장 근절 및 편리성, 그 외 생체기술 관련 산업 발전으로 더 큰 부가가치가 창출 될 것입니다.




한번 털리면 큰일... 보호조치는 어느 수준까지 논의되고 있나


이렇듯 핀테크에 ‘생체인식’ 바람이 불면서, 보안 관련 이슈도 주목을 받고 있습니다. 이러한 유일성을 가진 생체정보가 유출될 경우 단순 개인정보 유출보다 더 큰 문제가 야기될 수 있습니다. 그런 면에서 보안적인 부분은 당연히 강조될 수 밖에 없습니다.


한국은행은 올해 8월 26일 ‘바이오인증기술 최신동향 및 정책과제’ 보고서에서 “일반 인증수단들은 사고발생 시 재발급이 가능하지만, 생체정보는 한 번 유출되면 재발급이 매우 제한되고 유출된 정보는 영구적으로 악용될 가능성이 있다”고 지적했습니다.


금융당국도 핀테크 산업 활성화로 보안 이슈를 재점검하고 있습니다. 금융감독원장은 지난 9월 2일 금융경영인 조찬강연회에서 “금융회사들이 핀테크 관련 리스크 관리를 강화해야 한다”며 “특히 생체정보 위조·유출 가능성에 적극 대응해야 할 것”을 강조했습니다.


실제로 최근, 생체인식과 관련하여 ATM기기의 보안 사고가 발생하는 사례도 있었습니다.


<이미지 출처 : http://news.zum.com/articles/33248847>


"스키머(Skimmer)의 진화... ATM 생체인증 정보 노린다"


카스퍼스키랩의 지하 사이버범죄 조직 연구 결과에 따르면, 현재 사용자 지문을 훔칠 수 있는 기능을 갖춘 스키머의 판매자가 최소 12명이나 활동하고 있다. 이 중 최소 3명 이상의 판매자는 손바닥 정맥과 홍채인식 시스템에서 데이터를 훔칠 수 있는 장비를 찾고 있는 것으로 조사됐다.


또한 사이버 범죄 커뮤니티에서 사람의 얼굴에 마스크를 씌우는 방식을 활용한 모바일 애플리케이션 개발이 추진되고 있다는 징후도 포착했다. 이러한 앱은 공격자가 소셜미디어에 게시된 사용자의 사진을 이용해 얼굴인식 시스템을 속이는 데 사용할 것으로 예상된다.


▶ 관련 내용 자세히 보기


초기에 등장한 스키머는 허술하게 만든 도구를 ATM에 부착하여 가짜 번호 패드나 웹캠을 통해 카드의 자기테이프 정보와 비밀번호를 탈취하는 형태였습니다. 그러나 최근 이보다 더욱 정교해진 스키머는 사용자의 눈에도 잘 띄지 않도록 설계되어 있어 주의가 필요합니다.


이렇게 고도화되는 위협에 각종 기업 및 기관에서는 생체인식 등을 활용한 인증 솔루션으로 대응하고 있습니다. 최근 삼성은 오라클과 협력하여 생체인증 기술 보안의 강화를 꾀하고 있는데요. 삼성의 생체인증 솔루션인 파이도를 오라클의 계정관리 솔루션인 IAM에 적용을 진행할 예정이라고 합니다. 또한 핀테크 스타트업 센스톤은 자사가 개발한 제품을 생체인증 국제표준규격인 FIDO 인증에 통과시키는 등 다양한 노력이 이루어지고 있습니다.


그러나 생체인식이 부상하고 있는 것과 달리, 관련 법규는 이를 따라가지 못하고 있다는 우려도 높습니다. 지난 2007년 정보통신부와 한국정보보호진흥원은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'등 관계 법령의 개인정보보호 원칙을 토대로 '바이오정보(생체정보) 보호 가이드라인'을 마련했습니다. 그러나 실질적으로 바이오인식시스템 이용기관에게 준수의무를 강제하지 않기에 대응 방안을 나열하는 데 그치고 있다는 비판의 목소리가 많습니다. 따라서 앞으로 생체인식과 관련된 법적 보호가 절실할 것으로 보입니다.


한편, 현재 국내 스마트폰 보급률은 80%를 웃돌고 있습니다. 최신 스마트폰에는 기본적으로 지문인식 모듈과 카메라가 장착되어 있고, 이와 관련된 많은 소프트웨어와 기능이 제공되고 있습니다. 앞으로도 다양한 생체인식 기술이 실생활에 보급될 것으로 보이며, 이에 맞는 안전한 인프라를 금융 시스템 및 다양한 분야에서도 발 빠르게 구축해야겠습니다.


‘편리’와 ‘보안’, 두 마리 토끼를 잡는 핀테크의 성장이 매우 기대되는 바입니다.




참고 :

http://www.fntimes.com/paper/view.aspx?num=162253

http://news.zum.com/articles/25521727

http://news.inews24.com/php/news_view.php?g_menu=029999&g_serial=959343


관련글 더보기

댓글 영역