[생체인증 금융시대]② 내 지문·홍채정보, 안전성은?


생체정보, 분산해서 저장·폐쇄망에서만 거래

[김다운기자] "주민등록번호나 비밀번호 같은 개인정보가 수시로 털리는 세상인데, 생체정보는 유출되지 않는다고 어떻게 믿겠어요?"

영화에서나 보던 생체 정보를 이용한 인증이 실생활에 성큼 들어오기 시작했지만 아직 넘어야 할 장벽은 많다. 가장 큰 문제는 바로 보안이다.

비밀번호나 공인인증서 같은 기존 인증수단의 경우 해킹 등을 통해 유출되더라도 변경하면 추가 피해를 막을 수 있었다. 하지만 지문이나 홍채 등 생체정보는 바꿀 수 있는 것이 아니기 때문에 유출된 정보가 영구적으로 악용될 가능성이 우려되고 있다.

특히 생체인증이 가장 활발하게 도입될 분야인 금융의 경우 금전적 피해가 발생할 수 있다는 점에서 더 조심스러운 부분이다.

생체정보를 등록해 사용하는 데 따른 거부감과 개인 프라이버시에 대한 걱정도 만만치 않다.

이에 따라 생체인증을 발빠르게 도입하고 있는 금융권에서도 생체인증에 대한 보안성을 강화하는 데 중점을 기울이고 있다.

◆개인 스마트폰에만 저장 'FIDO' 기술

생체인증 보안에 대한 법적 규제 등 제도적인 틀은 아직 마련돼 있지 않은 상황이다. 다만 지난 2월 금융보안원이 '금융서비스 바이오정보 인증·관리 가이드라인'을 내놓으며 생체정보의 수집과 저장, 이용, 파기 및 소비자 보호 등에 대한 참고용 기준선을 제시했다.

대부분의 금융회사들은 가이드라인에 따라 생체정보의 원본을 저장하지 않고, 특정정보(템플릿)만을 추출한 뒤 바로 파기하고 있다.

황종모 금융보안원 보안기술연구팀 차장은 "지문의 경우 사용자의 지문 전체를 저장하는 것이 아니라 추후 일치 여부를 판단할 수 있는 지문 일부의 위치값, 곡선 각도 등의 정보만 뽑아내게 된다"며 "원본 정보가 아니므로 다른 곳에서는 활용이 불가능하다"고 말했다.

또한 생체정보의 템플릿 또한 암호화해야 하며, 사용자의 이름이나 주민등록번호 등의 개인정보와는 분리해서 저장함으로써 유출되더라도 사용할 수 없도록 했다.

이 밖에 은행들은 자체적으로 마련한 생체인증 보안 방식도 사용하고 있다.

가장 활발하게 적용되는 것이 'FIDO(Fast IDentity Online)' 방식이다. 생체인증 정보를 금융회사 서버에 저장하는 것이 아니라 사용자의 스마트폰 등 개인 단말기에만 저장하는 것이다. 서버에는 본인인증 시 필요한 인증결과 값만을 저장하므로 유출되더라도 사용할 수 없기 때문에 안전한 것으로 인식된다.

NH농협은행, 우리은행, KEB하나은행, IBK기업은행 등이 FIDO 방식을 생체인증 서비스에 적용중이다.

기병석 NH농협은행 스마트금융부 과장은 "은행 서버에서는 모바일 폰에 등록된 개인의 지문이 맞는지 확인할 수 있는 정보만 저장되며, 앱 서버나 은행 서버에 지문정보가 저장되지 않는다"고 전했다.

다만 FIDO의 경우 개인 스마트폰에 생체정보를 저장하므로, 지문인식이나 홍채인식 등을 지원하는 스마트폰이 없으면 사용할 수 없다는 단점이 있다.

일부 은행에서는 자동화기기(ATM) 등에 생체인식 모듈을 설치해 인증이 가능하도록 서비스하고 있다. 우리은행의 홍채인식 ATM이나 신한은행의 정맥인증 디지털 키오스크 등에서 가능하다. 단, 이 경우에는 생체정보를 은행 서버에 따로 보관해야 하는 위험성이 있기 때문에 별도의 보안 장치가 필요하다.

이경찬 우리은행 스마트금융부 대리는 "ATM 기기 사용을 위해 지점에서 등록한 홍채정보는 암호화해 2곳의 서버에 나눠서 저장하기 때문에 한 쪽이 해킹되더라도 정보를 사용할 수 없다"며 "두 개의 서버가 전혀 다른 서버이기 때문에 동시에 정보가 유출될 위험이 없다"고 말했다.

신한은행의 경우 인터넷과 같은 외부 접속이 불가능한 내부 폐쇄망에서만 거래가 진행되도록 함으로써 외부 해킹 가능성을 없앴다.

◆금융권 공동 분산관리센터 연내 출범

최근에는 한 발 더 나아가 금융결제원에서 금융권 공동의 바이오인증 정보 분산관리센터 설립을 준비중이다.

바이오인증 정보 분산관리센터는 개인의 생체정보를 제 3기관에 원격으로 보관하기 위한 것이다.

센터가 운영되면 사용자의 생체정보를 금융사와 금융결제원원이 나눠서 보관하게 된다. 고객의 생체정보를 분할해 한 조각은 금융기관 서버나 스마트폰 등 개인 단말기에 보관하고, 나머지 조각은 별도 인증센터에 보관하다가 고객의 거래시점에 생체정보 조각을 결합해 인증하는 것이다.

생체정보 조각을 보관하는 금융사 단독으로 고객 인증이 불가능하기 때문에 프라이버시 침해 및 정보 남용 우려가 해소될 것으로 기대된다.

또한 고객은 주거래 금융기관에 한 번만 생체정보를 등록하면 모든 금융기관 바이오인증거래 이용도 가능해질 전망이다.

금결원은 분산관리센터 설립을 연내 완료할 예정이며, 현재 은행, 카드사, 증권사, 보험사 등 전 금융기관과 세부 사항을 협의중이다.

임찬협 금융결제원 차세대인증업무 팀장은 "대부분의 금융사가 참여 의사를 밝혔으며, 센터가 운영되면 금결원이 금융사들의 뒷단에서 안전하게 바이오인증을 할 수 있도록 지원하는 중간 허브 역할을 하게 될 것"이라고 기대했다.

김다운기자 kdw@inews24.com







포토뉴스