[디지털데일리 박기록기자] 최근 공개된 삼성전자의 최신 스마트폰 '갤럭시노트7'에서는 홍채인식 센서를 통한 '본인 확인'이 강조됐다. 이제는 스마트폰을 쳐다만봐도 금융서비스가 가능한 시대가 열렸다.
FIDO(Fast Identity Online) 표준을 적용하고 삼성의 보안운영 체계(KNOX)에 따라 ‘트러스트존’(Trust Zone)에서 안전하게 관리되는 고객의 생체정보는 최고 수준의 안전성을 자랑한다.
이를 기반으로 홍채인식 기반의 모바일뱅킹서비스가 속속 발표되고 있다. 최근 '갤럭시노트7' 출시와 함께 우리은행과 KEB하나은행이 각각 홍채인증 기반의 모바일뱅킹서비스를 발표했고, 곧이어 NH농협은행은 스마트폰과 연계한 지문, 홍채인증 기반의 모바일뱅킹과 함께 9월중 PC 인터넷뱅킹서비스 계획을 내놓았다.
생체인증을 통한 금융서비스 프로세스는 은행별로 조금씩 다르다. 생체인증을 공인인증서로 곧바로 대체하는 방식, 생체인증과 공인인증서를 연계시킨 방식, NH농협은행처럼 생체인식 기반의 스마트폰으로 확인한 본인확인 정보와 연계한 기존 PC기반의 인터넷뱅킹도 가능하다.
속도의 문제일뿐 앞으로 증권, 보험, 카드사등 대형 금융사들이 뒤를이어 이와 유사한 생체인증 기반의 디지털뱅킹 서비스를 선보일 것으로 예상된다.
그러나 생체인증 기반의 디지털금융 서비스가 어떤 형태로 제시되는간에 그 핵심 길목에 '삼성전자'가 생체인증 플랫폼을 차지하게 됐다는 점은 한번쯤 생각해 볼 문제다.
실제로 금융권 일각에선 “디지털금융 서비스가 삼성과 같은 특정기업에 너무 의존적인 방향으로 흘러갈 수 있다”는 지적이 제기되고 있다.
아직은 관념적인 접근이지만 고객의 생체정보를 금융회사가 전혀 갖지않고, 또한 이에 대한 어떠한 접근및 관리할 수도 없는 상황이 결국 금융권에겐 부메랑이 될 수 있다는 것이다. 실제로 이는 몇가지측면에서 논쟁을 야기할 여지가 있다.
◆'생체인증' 기반 보안전략, 특정기업 의존도 심화 = 한 시중은행 스마트금융부 관계자는 “지금은 서비스를 먼저 내놓는데 집중하기때문에 신경쓰지는 않겠지만 은행이 스마트폰에 등록된 생체정보를 활용하는 방식은 나중에 문제가 될 수 있다"고 말했다.
그는 "지금과 같은 구조라면 앞으로 생체기반의 금융서비스를 새롭게 출시하거나 또는 기존의 방식을 변경하거나 업그레이드할 경우, 금융회사가 독자적으로 대응하지 못할 수 있다”고 지적했다. 특정 스마트폰 제조사의 생체인식 플랫폼이 향후 금융보안에 있어 '사실상의 표준'으로 군림할 수 있다는 우려다.
만약 이와 반대로, 금융권이 '생체인증기반의 공동 보안 플랫폼'을 만들어 이를 스마트폰 제조사에게 탑재하도록 하는 방식이라면 이같은 우려는 나오지 않는다. 이른바 금융권 주도의 생체보안 플랫폼이다.
하지만 현실적으로 쉽지 않다. 이것이 가능하려면 금융권 스스로가 '금융 생체정보 표준화'를 위한 여러가지 기술적 제약들을 극복해야한다. 고객 생체정보의 취득과 관리, 변경 등 세밀한 가이드 라인이 마련돼야한다. 또한 이를 실제 서비스에 적용하기 앞서 위해선 금융권과 스마트폰 제조사간의 공통의 이해를 찾아내야 한다.
◆생체정보, 공인인증서를 완벽하게 대체할 수 있나? = 고객들이 스마트폰에 등록한 생체정보는 어떤 형태로든 은행은 접근할 수 없다.
은행은 이 생체정보에 대한 소유권도 없을 뿐만 아니라 생체정보가 금융 정보로 분류되지도 않는다. 단지 스마트폰 사용자의 본인 확인을 위한 생체정보일 뿐이다.
스마트폰에 등록된 생체인식 정보가 공인인증서를 대체한다고 하지만 법리적으로 따진다면 이는 정확한 표현이 아니다. 본인 확인용 생체정보와 기존 금융거래용 공인인증서와는 성격이 완전히 다르다.
고객이 생체인식 기반 금융서비스를 이용하려면, 생체센서가 부착된 스마트폰을 구매한 뒤 지문, 홍채 등 자신의 생체정보를 스마트폰 보안구역(트러스트존)에 등록하는 절차를 반드시 거쳐야 한다.
그러나 엄밀히 말하면 이는 ‘금융서비스를 위한 핵심 절차’가 아니라 단순히 ‘이 스마트폰의 주인이 본인’ 이라고 확인하는 절차일 뿐이다. '스마트폰의 주인이 완벽하게 일치하니 이 스마트폰으로 진행되는 금융서비스 역시 본인임이 확실하다'는 논리에서 금융서비스가 시작되는 것이다.
따라서 이는 '본인 확인의 목적으로 스마트폰에 등록되는 생체정보'가 금융서비스를 목적으로 존재했던 기존 공인인증서의 역할을 완전히 대체할 수 있느냐는 문제로 옮겨진다.
만약 생체인식 정보가 기존 공인인증서를 완전히 대체한다면, 금융회사는 대고객 '보편성'도 동시에 확보해야한다. 금융회사는 모든 고객들에게 보다 고도화된 수준의 금융보안 서비스를 제공해야 할 의무가 있기 때문이다.
그러나 현재 지문, 홍채 등 생체인식 기반의 금융서비스는 고사양의 스마트폰을 소유한 고객만 차별적 적용이 가능하다. 금융회사는 고사양의 스마트폰을 갖지 못한 고객들에게도 기존 보다 고도화된 보안선택 수단을 제시해줘야하는데 현재 이 부분에선 마땅한 대응책이 없어 보인다.
◆'생체인식 보안'....금융권의 독자적인 투자는 축소될 듯 = 생체인식이 가능한 스마트폰이 출시되기 이전부터 이미 은행권을 중심으로 비대면채널을 위한 생체인식 기반의 금융서비스가 선보인 바 있다.
다만 아직까지 사례는 저조하다. 몇몇 은행들을 중심으로 시범적으로 활성화됐을 뿐 금융권 전반적으로 확장되지는못하고 있다. 기술적인 어려움과 표준화의 문제, 데이터의 안전한 관리와 비용문제, 고객(사용자)의 금융거래 관행의 문제 등이 복합적으로 작용한 결과다.
은행권에서는 지난해 12월, 기업은행이 홍채인식기반의 ATM에 대한 시범사업을 시작했다. 내부 직원들을 중심으로 시작된 이 시범사업은 올해 하반기중으로 대고객 상용화 여부가 결정된다.
또한 신한은행도 지난해 말, 국내 은행중 처음으로 비대면본인 확인이 가능한 셀프뱅킹서비스인 디지털키오스크(Digital Kiosk)를 선보였다. 이를 이용하는 고객의 '정맥' 데이터를 취합해 이를 별도의 분리된 서버에 안전하게 관리하고 있다.
우리은행은 올해 초 국내 은행권에선 처음으로 홍채인식 기반의 ATM을 대고객 서비스하기 시작했다. 본점영업부, 명동금융센터 등 5개 점포에 홍채인식 ATM을 설치하고, 고객이 해당 영업점을 방문해 홍채정보와 이용계좌를 등록한 후 이용할 수 있도록했다. 고객이 눈병, 성형 등의 사유로 사용이 불편할 경우에는 기존 4자리 비밀번호로 선택해서 사용이 가능하다.
하지만 이같은 은행권의 독자적인 생체인식 기반의 금융서비스는 대폭 축소될 가능성이 높다,
현실적으로 보면, 은행 입장에선 독자적으로 생체정보를 관리하는 것보다 스마트폰 기반의 생체정보 서비스와 연계시켜서 서비스 모델을 기획하는 것이 훨씬 경제적이기 때문이다.
이는 은행권 보안및 스마트금융 관계자들도 어느정도 인정하는 부분이다. 예를들어, 생체인식 기반 ATM의 경우, 앞으로는 생체인식 정보가 등록된 스마트폰을 ATM이 인식하는 방식으로 전환될 가능성이 높다.
물론 금융결제원을 중심으로 금융권의 자체적인 생체인증 표준화 작업이 진행되고 있다. 그러나 은행들이 고객의 생체정보를 독자적으로 취합하고 관리하고, 표준화 가이드라인을 준용하면서 이를 실제 서비스에 적용하는 것이 만만한 작업은 아니다.
한편 다른 측면에서 보면, 금융권의 이같은 금융보안에 대한 고민을 삼성전자가 '생체인식 기반 스마트폰'을 출시하면서 한꺼번에 덜어준 셈이됐다. 현재까지 삼성전자는 금융권엔 고마운 존재다.
'고사양의 스마트폰을 가진 특정한 고객만 사용할 수 있다'는 금융서비스 형태는 서비스의 '보편성'측면에서 분명히 결함이 있다. 하지만 그점만 제외한다면, 스마트폰과 연계시킨 생체인식 기반의 금융서비스 모델은 얼마든지 만들어 낼 수 있는 장점이 있다.
◆금융권 주도의 생체인증 표준화 전략도 필요 = 비대면채널시대로의 전환을 서두르고 있는 금융권이 독자적인 생체보안 전략을 강화하지 않고, 이 역할을 스마트폰 제조사에 사실상 넘기는 현상은 분명 논란의 소지를 안고 있다.
스마트폰이 아니면 더이상 금융회사의 독자적인 생체인식 기반의 금융서비스를 기대할 수 없는 상황으로 흘러간다면 곤란하다.
따라서 지금이라도 금융회사의 '사회적 역할'에 대한 질문이 필요해 보인다. 비대면채널 시대에선 '스마트폰에만 등록한 생체정보'외에 본인 확인을 위한 다양한 수단이 더욱 필요할 수 있기 때문이다. '금융권 주도의 생체인증 표준화 노력은 앞으로도 지속돼야한다'는 목소리가 높은 이유다.
지난 2011년 4월, 동일본 대지진이 발생하자, 이 지역 주민들은 신분증 등을 분실해 은행에서 돈을 인출하기가 어려웠다.
그러자 당시 일본의 지방은행인 오가키쿄리쯔은행은 카드나 통장 없이도 금융자동화기기(ATM) 거래가 가능한 인증수단으로서의 생체인증을 검토했다. 이후 지문이나 안면, 홍채, 정맥인증 등 고객 신체의 일부가 카드를 대체하도록 조치했다. 이 은행은 손바닥정맥 인증 솔루션을 선택한 생체인증 ATM를 운용하고 있다.