홍채·지문·정맥 등 생체인증 금융서비스 시대 열렸다지만 갤노트7 등 특정기기만 가능… 보안 높지만 유출 땐 치명적

최근 금융사들이 비밀번호나 공인인증서 대신 홍채나 지문, 정맥 등을 활용하는 생체인증 시스템을 속속 도입하고 있다. 스마트 기기 보급 한계와 보안 우려 등으로 일상생활에서 누구나 쉽게 사용하기까지는 시간이 다소 걸릴 전망이다.

8일 금융권에 따르면 KEB하나은행과 우리은행 등은 홍채인식 기술이 탑재된 삼성전자 갤럭시노트7 기기를 이용해 홍채 인증만으로 로그인은 물론 이체와 송금 등 각종 금융거래를 할 수 있는 서비스를 도입했다. 기존의 공인인증서를 완전히 대체하는 방식으로 갤럭시노트7 출시와 함께 이달 중 상용화될 예정이다. 이날 농협금융과 농협은행이 내놓은 모바일플랫폼 ‘올원뱅크’는 지문인증 방식을 도입했다.

이렇듯 금융사들이 경쟁적으로 기존의 공인인증서를 대체할 생체인증 서비스에 뛰어들고 있지만 아직까지는 시범 단계에 머무는 수준이다. 특정 기기에서만 이용할 수 있거나 보안에 대한 검증이 완전히 끝나지 않았기 때문이다.

●시중은행 생체인증 이용 ATM 서울권에 손꼽아… 상용화 의문

올해 초 우리은행과 IBK기업은행은 자동화기기(ATM)에서 입출금, 계좌조회, 송금 등을 할 때 카드나 통장 없이도 홍채 인증만으로 본인임을 식별해 거래할 수 있는 ‘홍채인증 ATM’을 선보였다. 우리은행은 서울 지역 5개 지점에, 기업은행은 임직원 전용으로 2대를 설치했다. 하지만 반년이 지나도록 이 숫자는 더 늘지 않고 있다.

앞서 신한은행은 지난해 말 금융권 최초로 정맥 인증을 통해 비대면 실명 확인 후 통장 개설까지 할 수 있는 ‘디지털 키오스크’를 선보였다. 금융권에서 유일하게 생체인증으로 비대면 실명 확인까지 가능한 시스템이지만 직접 키오스크 기계에 가서 정맥 등록을 해야 하는 불편함이 비대면의 장점을 상쇄시켰다. 디지털 키오스크는 현재 수도권을 중심으로 24대 있다.

●생체정보 바꿀 수 없어 대체 불가… 금융사 수집·활용 표준화 지침 없어

공인인증서나 보안카드 등은 복제나 분실 우려가 있었던 데 반해 생체인증 방식은 개인의 고유한 특성을 활용해 식별하는 것이어서 가장 강력한 개인 식별 수단으로 여겨진다. 대신 하나밖에 없기 때문에 한번 유출될 경우 이를 바꿀 수 없다는 위험이 있다. 지문의 경우 우리나라에서는 주민등록번호를 발급받을 때 함께 등록되기 때문에 주민번호가 해킹될 경우 지문정보도 함께 유출될 수 있다는 지적도 나온다.

이 때문에 금융사들은 주로 금융사 서버에 고객의 생체 정보를 저장하지 않고, 공인인증서처럼 개인의 단말기에 저장한 뒤 불러내는 방법을 사용하고 있다. 노트7을 활용한 홍채인증이 이런 방식이다. 금융사 서버에 저장할 경우 전산망 보안에 대한 부담이 커지기 때문이다. 하지만 공인인증서처럼 금융사 간 호환이 가능해지고 다른 기기에서도 이용할 수 있으려면 궁극적으로는 금융사 전산망에 저장하는 방식을 고려할 수밖에 없다.

생체 정보 수집과 활용에 관한 표준화된 지침이 필요하다는 주장도 있다. 김상봉 한성대 경제학과 교수는 “생체인증은 한번 유출되면 치명적이기 때문에 조심스럽게 접근해야 한다”면서 “다만 여러 가지 새로운 기술이 도입되는 상황에서 일원화된 가이드라인을 적용하기보다는 자체적으로 시스템을 관리하되 유출될 경우 강력하게 처벌해야 한다”고 제안했다.

신융아 기자 yashin@seoul.co.kr