금감원, 연내 가이드라인 발표
보안 솔루션 등 선결 과제 풀어야
[오피니언뉴스=박대웅 기자] 이복현 금융감독원장이 보이스피싱 등 비대면 금융범죄 예방을 위해 생체정보를 활용한 비대면 금융거래를 적극 지원하겠다고 밝혔다. 금융권은 '비대면 생체인증 인프라' 구축에 나선다.
이 원장은 "생체인증 기술의 신뢰도와 안정성이 꾸준히 개선돼 왔고 생체정보 특성상 도용이나 탈취 등이 어려워 금융권에서 비대면 금융 범죄를 예방하는데 효과적으로 활용될 시점이 됐다고 생각한다"고 추진 배경을 설명했다.
금융당국은 '은행권 비대면 생체인증 활성화를 위한 태스크포스(TF)'에서 논의를 거쳐 올해 말 까지 비대면 금융거래에 대한 금융권 생체인증 인프라를 구축한다는 계획이다.
비대면 실명 인증의 미래, 생체인증
비대면 실명 인증이란 영상통화나 생체 정보 등을 바탕으로 직접 얼굴을 맞대지 않고도 개인을 식별해내는 과정을 말한다. 간단히 말해 특정 생체 정보나 행동 특징을 분석해 본인 여부를 판별하는 기술이다. 크게 지문이나 정맥, 홍채 등 신체적 특징과 서명 및 음성 등 행동적 특징으로 인증하는 방식이 널리 쓰인다. 은행권에선 생체인증이 조만간 공인인증서 및 비밀번호를 대체할 것으로 내다본다.
현재 국내에선 생체인증 도입이 이미 현실화되고 있다. 우리은행은 정맥과 홍채, 지문 인식이 가능한 키오스크를 운영 중이며 신한은행도 ATM과 키오스크에 정맥 인증을 도입했다. 국민은행은 손바닥 정맥 인증으로 영업점 창구에서 예·출금이 가능한 '손으로 출금' 서비스를 제공하고 있다. IBK기업은행은 지문, 홍채 등 생체 인증에 더해 음성본인확인 서비스도 도입했다. 생체인증은 은행권을 넘어 다방면에서 영역을 넓혀가고 있다. 롯데카드는 핸드페이를 도입해 단말기에 직접 손바닥을 대지 않고 근적외선 센서로 정맥 인증이 가능한 서비스를 제공하고 있다. 토스와 카카오페이 등 사설인증 기업들도 지문과 홍채 등 생체 정보를 통해 간편하게 본인 확인을 하고 있다.
관건은 보안성
전 세계적으로 금융권을 비롯한 각 기관에서 경쟁적으로 생체인증을 도입하는 추세지만 여전히 우려되는 부분은 단연 생체인증을 위해 저장되는 생체 정보의 보안 문제다. 언제든 변경 가능한 비밀번호와 달리 한 번 설정하면 바꿀 수 없는 생체정보의 외부 유출 땐 막대한 피해가 예상된다.
실제로 최근 모바일 금융서비스 앱에서 수백만원이 인출돼 해킹 가능성이 제기된 일이 있었다. 사건은 페이스 인증 결제 방식을 이용한 보이스피싱으로 밝혀졌다. 생체인증 방식을 악용한 보이스피싱 사기다. 검찰수사관을 사칭한 보이스피싱범은 게임 사이트에서 이용자의 정보를 도용해 피해자 전화로 결제 유도 메시지를 보냈고, 피해자가 계속 휴대전화 화면을 보도록 유도해 생체 인증(페이스 인증)이 이뤄지게 하는 방식으로 수백만원을 빼갔다. 다행히 생체 인증 자체가 뚫린 건 아니지만 인증 과정이 너무 쉽고 간단하다는 문제점을 드러낸 사건이다. 전문가들은 이 같은 피해 사고를 방지하기 위해 생체인증 절차에 대한 보완 대책이 반드시 마련돼야 한다고 지적한다.
음성인증도 보안이 취약하다. 최근 삼성전자 갤럭시 S시리즈의 AI 음성비서 빅스빅을 활용해 금융권 본인 인증을 뚫은 사례가 있다. 다행히 음성인증 보안의 취약성을 알리기 위해 한 보안전문지 마더보드의 실험으로 매체는 AI로 기자의 음성을 훈련시키고 은행 콜 뱅킹 서비스에서 기자 본인인 것처럼 AI 음성 파일을 재생해 본인 인증에 성공했다. 매체는 "목소리는 녹음될 수 있고, 얼굴은 촬영될 수 있으며 지문은 사용자가 의식하지 못하는 사이 채취될 수 있다"며 "생체인증이 간단하고 편리한 것에 비해 방어 수단이 약하다"고 지적했다.
통신업계 관계자는 "생체인증을 현명하게 활용하려면 민감한 사이트에 '항상 로그인하기'를 적용하지 않는 PC나 비밀번호로 보호되는 앱과 스마트폰 등 위험이 적은 상황에서 사용해야 한다"며 "목소리나 얼굴 데이터를 다른 수단과 함께 쓰는 것이 아니라면 비활성화하는 게 좋다"고 설명했다.
한국형 생체인증 가이드라인은
이 원장은 지난 12일 은행회관에서 열린 '비대면 생체인증 활성화 정책토론회'에서 "개별 은행에서 생체정보를 각자 보관하거나 저장하는 경우 시스템 구축이나 보안 문제가 따른다"면서 "금융결제원을 중심으로 공통 시스템을 구축할 수 있는지에 대해 은행 및 은행연합회와 논의를 계속할 예정"이라고 밝혔다.
금감원은 향후 생체인증 인프라 구축과 관련해 ▲기술적 안정성과 보안성 평가를 위한 기술표준 마련 ▲활용범위 최소화 ▲정보제공 동의 유효기간 단축 ▲2개 이상의 다중인증 적용 등을 업계 및 유관 기관들과 협의하기로 했다. 이 밖에도 구체적인 가이드라인은 연내 개정을 목표로 준비한다는 방침이다.
재원 마련 방안에 대해 이 원장은 "시스템 구축을 위한 비용은 각 은행에 당장은 부담이 될 수 있을 것"이라면서도 "인터넷을 중심으로 한 각종 비대면 환경 조성은 금융사 입장에서도 나아가야 할 방향인 것은 분명한 일"이라고 말했다.
이 원장은 비대면 금융사고를 예방할 수 있는 내부통제 시스템 마련도 당부했다. 그는 "보이스피싱 등 금융사기 방지를 위한 시스템을 갖추고 사고가 터졌을 때 책임을 어떻게 분배할지 따지는 것도 널베 보면 당국에서 노력하는 내부통제의 일환"이라면서 "비대면 생체인증이 내부통제 구조에 어떻게 반영될 수 있을지 고민해보자는 차원에서 은행들과 이야기를 나눴다"고 설명했다.
저작권자 © 오피니언뉴스 무단전재 및 재배포 금지
