13.01
18
영화 <미션 임파서블>의 주인공 에단 헌트(톰 크루즈 분)는 미 중앙정보국(CIA) 본부에 침입한다. 그의 임무는 컴퓨터에 저장된 비밀요원 명단을 빼내는 것. 그러나 해당 컴퓨터는 홍채 스캔으로만 출입이 가능한 방에 있다. 아무리 에단 헌트라 하더라도 홍채인식 인증절차를 속이지 못한다. 결국 그는 천장을 뚫고 와이어에 의지한 채 ‘미션 임파서블’을 수행한다.
홍채를 스캔해 본인을 인증하는 모습을 대중이 처음 접한 건 1996년 개봉한 이 영화를 통해서였다. 그로부터 20년이 지난 2016년. 홍채인증기술은 개인의 모바일로 들어왔다.
지난 2일 삼성전자가 공개한 ‘갤럭시노트7’은 홍채인식기능이 탑재돼 관심을 끌었다. 갤럭시노트7에는 홍채인식을 이용해 웹사이트 로그인은 물론 모바일뱅킹서비스를 안전하고 쉽게 이용할 수 있는 ‘삼성패스’ 기능이 탑재됐다. 삼성패스로 모바일뱅킹을 이용할 경우 공인인증서나 1회용 비밀번호생성기(OTP), 보안카드가 필요 없다.
홍채로 본인인증이 가능하고 계좌이체 등 금융서비스도 이용할 수 있게 된 것. 금융권은 재빠르게 반응했다. 우리·KEB하나 등 시중은행은 갤럭시노트7 공개에 맞춰 홍채인식 모바일뱅킹서비스를 출시했다.
금융사가 홍채 등 생체인식기술 도입에 박차를 가하는 건 본인인증 및 간편결제서비스의 보안성과 편리성을 높이기 위해서다. 특히 스마트폰 등 IT기기의 발전으로 비대면 금융거래가 활발해지면서 금융사들은 생체인증기술 도입을 검토했다. 그 결과 카드나 통장 없이 홍체인증을 통해 자동입출금기기(ATM)를 이용할 수 있게 됐고 스마트폰의 지문인식을 활용해 카드결제가 가능해졌다.
갤럭시노트7 공개하는 고동진 삼성전자 무선사업부 사장. /사진=뉴시스 고승민 기자
◆생체인증, ‘보안성+편리성’ 갖춰
물론 지금껏 활용했던 공인인증서·간편결제수단의 보안성도 초기엔 높은 평가를 받았다. 모바일기기에 가상키보드 방식을 도입하거나 공인인증서를 메모리에 담는 등 해킹하기 어려운 기술을 선보였다. 하지만 그만큼 해커의 기술도 발달했고 기존의 수단은 약점을 노출했다.
실제로 초기에 혁신적이라는 평가를 받았던 모바일기기 가상키보드를 이용한 공인인증수단은 ‘스크린 캡처’에 무너졌다. 사용자가 입력한 비밀번호를 휴대폰 스크린을 통해 알아낼 수 있게 된 것. 이를테면 가상키보드의 크기가 가로세로 6cm×3cm라면 이를 60mm×30mm로 세분화해 좌표를 만든다. 사용자가 15mm×15mm에 해당하는 부분을 터치하면 그에 맞는 키보드값을 구하는 식이다. 사용자의 터치 좌표값만 획득하면 원본 키보드 이미지와 대조해 비밀번호 탈취가 가능하다.
메모리를 이용한 공인인증서의 안전성 또한 완전하지 못하다. 모바일기기에 인증서가 저장되지 않아 기술도입 초기엔 해커가 기기를 침범해도 정보를 빼낼 수 없었다. 그러자 해커들은 프로그램이 실행 중일 때를 노렸다. 메모리에 저장된 계좌번호·금액뿐 아니라 비밀번호까지 탈취가 가능해졌다. 심지어 사용자가 계좌이체 시 실시간으로 해킹해 계좌번호와 금액을 바꾸고 해커의 계좌로 돈을 입금하는 기법으로 진화하기에 이르렀다.
이에 비해 생체인증은 기존의 공인인증 및 간편결제수단보다 안전하다는 평가다. 사용자 몸의 고유한 생체정보를 이용하기 때문이다. 따라서 해커가 이를 활용하기엔 현재의 기술로선 매우 어렵다고 전문가들은 입을 모은다. 특히 모바일기기는 지문센서·카메라·마이크 등이 탑재돼 전통적인 비밀번호 입력이 아닌 지문·얼굴·음성인식 등 생체정보를 사용자 인증수단으로 활용하기에도 간편하다.
금융보안원이 지난 2월 발표한 ‘전자금융과 금융보안’ 보고서에 따르면 생체인식기술의 유형은 지문, 정맥, 홍채, 얼굴, 음성 등 크게 5가지로 나뉜다. 이 기술의 강점은 단연 높은 보안성과 편리성이다. 지문인식의 경우 개인의 지문 특징을 데이터베이스(DB)와 비교해 개인을 인증하는 방식이기 때문에 위조하기가 쉽지 않다. 정맥은 혈관패턴을 비교하는 방식으로 현재의 기술로는 복제가 불가능하다. 홍채인식기술 역시 망막의 모세혈관 패턴까지 분석해 위조가 사실상 불가능하다. 또 보안성을 유지하기 위해 일정기간이 지나면 바꿔야 하는 비밀번호 방식과 달리 생체인식 방식은 시간의 흐름에도 크게 변하지 않는다.
권선주 기업은행장이 본점 홍채인증 ATM에서 현금인출을 시연하고 있다. /사진=뉴시스 조성봉 기자
◆생체인증도 도용 가능… 금융권, 사전조치해야
생체인증기술도 단점이 있다. 이 기술이 지닌 편리성을 이용하려면 사용자가 최적의 환경에 있어야 한다. 지문인식의 경우 땀이 나거나 먼지가 묻으면 인식률이 떨어질 수 있다. 얼굴인식 방법은 빛 세기나 촬영 각도, 자세 등에 따라 인식률이 저하될 수 있다. 음성인식은 목소리 상태에 따라 인식하지 못할 수 있으며 홍채인식은 인식거리를 맞춰야 하는 불편함이 있다. 구축비용이 많이 드는 점도 현재로선 단점으로 꼽힌다.
생체정보가 유출되거나 위조될 경우 비밀번호와 같이 갱신이 불가능해 그 파장이 걷잡을 수 없다는 점은 치명적이다. 실제로 지난해 6월 미 연방 인사관리처에서 지문유출사건이 발생했다. 중국 해커집단의 APT(Advanced Persistent Threat·지능형지속위협) 공격에 DB가 해킹당한 것. 이로 인해 미국 전·현직 공무원의 개인정보 2200만건, 지문정보 560만건이 유출됐다. 개인 신상정보뿐 아니라 금융정보까지 유출돼 신용정보를 도용하는 일이 빗발쳤다. 이는 미국 역사상 가장 파급력이 큰 유출사고로 기록됐다.
국내에서는 위조지문을 제작해 불법으로 부동산 명의를 이전했다가 적발된 사례가 있다. 2014년 A씨 등 4명은 중국 위조범에게 의뢰해 3D 프린터를 이용한 실리콘 위조지문을 제작했다. 이후 주민센터의 지문센서가 위조여부를 탐지하지 못했고 인감증명서 등 필요서류를 발급받아 50억원대의 부동산을 본인 명의로 이전했다.
이들 사례는 생체정보를 활용한 공인인증 및 간편결제 수단도 100% 완벽하지 않음을 보여준다. 이에 최근 생체정보로부터 파생된 정보를 무한히 만들어내는 ‘탬플릿’ 기술연구가 활발히 진행 중이다. 이를테면 한 지문에서 1~100의 정보를 뽑아냈다면 100개의 정보를 조합해 다양한 정보를 재생산해내는 것이다.
금융보안원 관계자는 “생체인증기술은 패스워드 등 기존의 공인인증·간편결제방식에 비해 보안성이 강화된 기술이지만 사고가 발생하지 않도록 사전대응이 필수”라고 말했다. 생체정보를 주기적으로 백업 및 복구하는 등 사전조치를 취해야 한다는 얘기다. 금융보안원은 지난 2월 이 같은 내용이 포함된 가이드라인을 각 금융사에 배포했다. 그러나 이 가이드라인은 ‘권고사항’일 뿐 의무사항은 아니다.