위조 지문·마스크로 보안 뚫고 생체정보 해킹도…정교한 기술 개발·높은 보안 의식 필요해
신한은행은 ‘비대면 실명확인’으로 은행에 가지 않고 계좌개설 등 은행 업무가 가능한 디지털 키오스크를 지난 2015년 부터 운영하고 있다. 신한은행뿐 아니라 국민은행, 우리은행, 기업은행 등 시중은행마다 생체인증을 통해 금융서비스를 이용할 수 있는 디지털 무인기기를 운영하고 있다. 연합뉴스 제공
KB국민은행은 지난 4월 통장·인감·비밀번호 없이 손바닥 정맥 인증만으로 영업점 창구에서 돈을 찾을 수 있는 ‘손으로 출금 서비스’를 전국 50개 영업점에서 시범 운영했다. 키오스크(무인기기)에는 더 앞서 생체인증을 통한 금융거래 서비스가 도입됐다. 국민은행을 비롯해 기업·신한·우리은행 등 시중은행마다 정맥·지문·홍채를 통해 인증하고 결제하는 디지털 무인기기를 운영 중이다. 모바일의 경우에도 홍채나 지문을 등록하면 몇 초 만에 인증·결제가 완료되는 기술이 대부분 스마트폰에 탑재됐다.
생체인증 기술이 각광받는 이유는 공인인증서 등 기존 기술보다 보안성이 높다고 평가받기 때문이다. 생체인식 시스템은 크게 ▲센서를 통해 얻은 생체정보를 디지털 형태로 입력 ▲변별력이 높은 특징 추출 ▲해당 특징을 소유자의 개인정보와 함께 저장 ▲새로 입력된 특징을 기존 저장된 특징 정보와 비교·판독하는 인증, 4단계로 이뤄진다. 입력과 추출 단계에서 개인의 고유한 생물학적 특징을 선별하기에 복제·위조가 힘들고, 보관 단계에서도 암호화해 저장하므로 해킹하기 쉽지 않다.
스마트폰 같은 개인 소유 매체에서 사용되는 파이도(FIDO) 인증 기술이 대표적인 예다. FIDO는 사용자가 스마트폰 등 개인 기기에서 생체인식을 통해 보안 인증하는 국제표준 기술 규격으로, 기기 내 안전영역(트러스트 존)에 저장되는 생체 정보가 서버를 통해 기기 외부로 전달되거나 금융회사와 공유되지 않아 보안성이 높다.
ATM 기기나 키오스크, 금융회사 영업점 등 공용 디바이스의 보안 방식은 약간 다르다. 생체정보를 단독으로 사용할 수 없도록 분산해 일부는 금융회사 서버, 나머지 조각은 금융결제원에 보관한다. 각각의 생체정보 조각이 결합돼야 인증이 가능하기에 개인 생체정보는 유출되더라도 도용이 힘들다는 게 금융결제원 설명이다.
IBK 기업은행 서울 을지로 본점에서 한 직원이 자신의 홍채 정보를 이용해 ATM에서 예금을 인출하는 모습. 연합뉴스
하지만 보안이 완벽하지 않다. 생체정보는 분실과 위조, 복제 위험이 낮을 뿐 불가능하지 않다. 갤럭시S5와 아이폰6의 경우 해외 보안업체가 위조 지문으로 잠금장치를 해제하는 사례가 잇따랐다. 초음파 지문 인식으로 위조 방지 기능을 강화했다는 갤럭시S10 지문인식 센서도 해외 한 네티즌이 3D프린터로 만든 가짜 지문으로 잠금을 해제했다는 기사가 미국 IT매체 ‘더비지’를 통해 지난 4월 보도됐다. 아이폰X 안면인식도 베트남 보안업체 바카브가 3D프린터와 실리콘으로 제작한 마스크에 뚫렸다. 이밖에 독일 해커단체 CCC는 고화질 사진과 3D프린터를 이용해 푸틴 러시아 대통령의 홍채를 복제해 취약성을 알린 바 있다.
해킹도 불가능하지 않다. 문종섭 고려대 정보보호대학원 교수는 “생체정보도 일반 패스워드처럼 시스템에 저장될 때 입력 값으로 등록된다“며 ”단말기에 생체정보가 입력된 뒤 입력 값이 서버로 넘어가는 통신 과정에서 해커들이 생체정보가 암호화되기 전의 생체정보를 훔쳐갈 수 있다”고 지적했다. 실제 미국에서는 지난해 4월 연방인사관리처가 해커 공격을 받아 전·현직 공무원 560만 명의 지문 정보가 유출되는 사고가 발생했다. 문 교수는 “특히 모바일은 악성코드가 침입하기 쉬운 구조여서 바이오인증을 잠금장치 해제 정도로 활용하는 건 문제가 없겠지만 금융거래에 도입하는 건 우려되는 부분이 있다”고 강조했다.
더 큰 문제는 생체정보는 한 번만 유출돼도 지속적인 피해를 유발한다는 점이다. 비밀번호나 공인인증서는 변경과 재발급이 가능하지만, 생체정보는 바꿀 수 없어 언제든 악용될 수 있다. 유출된 생체정보는 금전적 피해뿐 아니라 신분 위장에도 사용될 수 있어 사회적으로 큰 위협이 된다.
학계나 기업에서는 이를 보완하고자 정교한 기술 개발에 힘쓰고 있다. 실제 손가락인지 파악하고자 지문뿐 아니라 체온과 땀샘에서 나오는 습기, 약한 전류를 흘려 피부의 저항값을 동시에 측정하는 방식이다. 이럴 경우 보안은 강화되지만 상용화하긴 어렵다. 시간과 비용이 많이 들고 여러 차례 인증을 거쳐야 하기에 소비자나 도입하려는 공급자가 모두 꺼릴 수 있다.
전문가들은 생체인증 기술의 보안성을 높이려면 이를 관리하는 프로그램의 보안도 함께 강화돼야 한다고 말한다. 문종섭 교수는 “생체인증기술을 보관하고 분산하는 기술 자체만이 아니라 이를 관리하는 운영체제와 소프트웨어 등 전반적인 프로그램의 보안성이 함께 높아져야 한다”고 했다. 보안 의식도 중요하다. 문 교수는 “보안 관리자들도 데이터 흐름이 정상적인지, 어떤 사람이 특정 데이터를 많이 뽑아내는 등 이상행동을 보이지는 않는지 면밀히 점검해야 한다“며 ”정말 보안을 위해서라면 생체인증 기술을 도입하려는 기업이든 고객이든 간편성만 따지기보다는 절차가 복잡하더라도 불편함을 감수해야 한다”고 덧붙였다.
김예린 기자 yeap12@ilyo.co.kr
은행원 대체 키오스크 명암 은행마다 디지털 키오스크(고기능 무인기기) 도입을 가속화하고 있다. 온라인 금융거래 확산으로 오프라인 점포 실적이 악화하면서 은행마다 부실점포를 정리하고 업무 효율화에 나서고 있다. 은행연합회에 따르면 시중은행 국내 영업점포 수는 2012년 4720개에서 지난해 3834개로 줄었다. 반면 고기능 무인기기 운영 점포는 2016년 39개에서 지난해 123개로 3배 늘었다. 해당 기기는 단순 입출금 외에도 계좌 개설, 체크카드 발급, 대출, 외환 등 기본적인 창구업무와 안면 인식, 생체인증 등 새로운 업무까지 수행 가능하다. 고기능 무인기기 도입은 실제 업무 효율성을 높여준다는 게 업계 판단이다. 고객이 몰릴 경우 창구에서만 업무를 해결하기보다 무인기기를 통해 빠르게 업무를 처리할 수 있어 대기시간이 줄어든다. 또 은행은 오후 4시면 문을 닫지만 고기능 무인기기는 오후 11시까지 운영해 고객들이 늦은 시간에도 서비스를 이용할 수 있다. 문제는 디지털 소외계층이다. 인터넷과 모바일 금융거래에 익숙지 않은 노인 등은 공과금 납부 등 간단한 일을 처리하는 데도 점포를 찾는다. 장애인 같은 일부 소비자에게도 차별이 될 수 있다. 홍채나 지문, 손이 없는 장애인이나 노화 및 장기간 노동으로 지문이 닳은 경우 생체인증 시스템을 아예 사용하지 못할 수 있다. 허준수 숭실대 사회복지학과 교수는 “은행에 가보면 고객 80%가 50대 이상으로 디지털 기기에 익숙지 않다”며 “은행은 전산 오류 방지나 업무 효율화만 힘쓸 게 아니라 새로운 기술·기기를 도입했을 때 어느 고객이 어떤 점에서 이용하기 힘든지 미리 파악해 보완하는 등 수요자 중심 서비스를 제공해야 한다”고 말했다. 김예린 기자 |