[기고] ATM 생체 인증도 불안, 해결법은?

Photo Image
조창희 SGA 인프라사업총괄 부사장

생체인식 기술이 스마트폰에 탑재되면서 관련 시장이 폭발적으로 증가하고 있다. 전 세계 생체인식 시장은 2014년 74 억 6000 만달러에서 매년 14.5% 성장해 2018년 128억 2000 만달러, 2020년에는 168억 1000만달러 규모로 확대될 전망으로, 새로운 발표가 나올 때마다 시장 성장 속도는 가파르다.

한국인터넷진흥원(KISA)에 따르면, 국내 생체인식 규모는 2016년 2970억원에서 2018년 3740 억원, 2020년 4916억원으로 확대되며 매년 14.6% 성장이 예상되고 있다. 우리나라 생체인식 시스템은 높은 수준의 보안을 요하는 금융에서부터 대기업과 정부기관에 도입되고 있으며, 그 수요는 점점 폭발적으로 증가하고 있다.

그 대표적인 기기가 ATM이다. 우리나라에서는 2015년 말부터 신한은행, 기업은행, 우리은행, 농협은행등에서 손바닥 정맥이나 홍채, 지문 등 생체 인증을 통한 금융 서비스를 선보였다. 하지만 사람들은 여전히 내 생체 정보를 은행에 등록 했을 때 문제가 없을지 의심하고 있다. 원인은 여러 가지가 있겠지만 매년 벌어지는 개인정보 유출 사건들이 사용자를 불안하게 하는 큰 원인이다. 정맥 인증의 경우 금융회사와 금융결제원이 정보를 나눠가지고 있고, 매번 결제 시마다 분산된 정보를 더해 사용하지만 개인의 생체정보를 서버에 저장을 한다는 것 자체가 대중의 불신을 유발하는 요소로 작용하고 있다.

생체인증이 대중화 되려면 대중의 불신을 불식시키고, 내 정보는 안전하다는 믿음을 줄 수 있어야 한다. 특히 개인의 생체 정보는 탈취되는 경우 정보의 변경이 굉장히 어렵기 때문에 안전에 만전을 기울여야 한다. 또, 스마트시티, 스마트팩토리 등 4차 산업혁명의 IoT 기기들의 비대면 인증이 증가할 것으로 예상되고, 이러한 인증은 현재 가장 신뢰할 수 있고 간편한 인증 방법이 채택되어야 할 것이다.

Photo Image
이미지제공=게티이미지뱅크

생체정보를 서버에 저장하지 않는 방식으로는 FIDO가 있다. FIDO는 온라인 인증을 간편하게 하고, 보안성을 높이기 위해 고안된 기술로 광범위하게 사용되고 있다. FIDO는 생체정보의 저장과 인증을 개인이 가진 스마트폰에서 수행하고 스마트폰과 인증서버간에는 대체된 공개키기반 구조(PKI)를 통해서 인증한다. 또, 2018년 11월 ITU-T(국제전기통신연합 전기통신표준화부문)의 표준으로, 그 전에는 W3C(국제 웹 표준화 기구)의 표준으로 채택됐다.

현재 ATM에 FIDO 기반으로 금융 서비스를 제공하는 곳도 있지만, IC카드를 사용하는 방식이 아니거나 단말기에서 FIDO 인증을 하고 인증된 단말을 다시 ATM에 다시 태깅(Tagging)하는 방식으로 인증하고 있다. 이런 방식은 생체 정보를 읽거나 특수한 리더기가 있는 ATM 에서만 사용할 수 있어 불편하다.

이를 개선하기 위해 SGA는 기존 ATM에 추가의 하드웨어를 설치하지 않고 FIDO를 통해 인증 할 수 있도록 고객사의 금융플랫폼에 도입 했다. 이는 기존 제한된 사용만 가능한 ATM에 웹기반 플랫폼을 통해 인터넷 뱅킹과 동일한 사용자 경험을 제공한다. 개인의 인터넷뱅킹 계정에 로그인하듯이, ATM에서 로그인을 하여야 하는데 여기에 FIDO 가 사용된다. 즉, ATM기기는 심플하게, 개인은 자신이 가지고 있는 '신뢰할 수 있는 디바이스'를 통해 인증하게 된다. 이는 개인의 금융 생활 편의성과 개인정보에 대한 보안성 강화라는 일거양득 효과가 있다.

사용자들의 대부분은 ID/PW 만으로 인증을 하는 것은 더 이상 안전하지 않다고 생각하며, 계정이 해킹되기도 하는 문제들이 발생한다. 이에 SGA는 다중요소인증(MFA, Multi-Factor Authentication) 솔루션을 준비 중이다. 서버와 스마트폰간의 양방향 통신이 돼야 하고, FIDO가 지원되는 스마트폰을 소지해야만 서비스를 받을 수 있는 단점을 극복하기 위해 FIDO와 스마트OTP가 동시에 서비스되는 플랫폼을 출시할 계획이다.

Photo Image
이미지제공=게티이미지뱅크

이 솔루션은 시스템들이 격리되어 단방향으로 Outbound만 되는 곳에서 2차 인증 등의 서비스를 받을 수 있고, 통합콘솔을 통해 FIDO 와 OTP 를 동시에 설정해 사용 가능하도록 할 예정이다. 또한, 구글 인증기, H/W OTP, 코드 OTP와 PC용 OTP앱 등 추가적인 클라이언트 솔루션을 통해 구성원 전원이 2 차 인증을 통해서 안전한 인증이 가능하다.

SGA는 플랫폼 사업을 확장하는데 있어 서버보안, 응용보안을 망라하는 통합보안솔루션을 같이 제공하는 원스탑 서비스를 고객에게 제공하고 있다. 개발중인 인증체계 고도화 솔루션의 원천 기술 확보는 고객에게 보다 신뢰성 있는 플랫폼을 제공할 수 있을 것으로 기대한다.

조창희 bhkang@sgacorp.kr SGA 인프라사업총괄 부사장, 대우정보시스템, 해오름기술에서 인프라 및 솔루션 컨설팅 및 영업을 담당했으며, 현재는 보안 솔루션을 기반으로 하는 종합 IT 회사인 SGA에서 인프라사업을 총괄하고 있고, 비지니스개발센터의 센터장도 겸임하고 있다.


브랜드 뉴스룸