[시큐리티월드 김성미 기자] 바이오인식이 안전과 편리함을 무기로 일상생활에 깊숙이 들어오고 있다. 그동안 시장을 주도해 온 지문인식 외에 얼굴인식과 홍채인식, 정맥인식 등 다양한 기술이 도입되며 영역을 확대하고 있다. 금융권에서도 바이오인식을 도입해 안전하고 편리한 사용자 환경을 마련하는 데 앞장서고 있다.

\r\n\r\n

금융결제원(이하 금결원)은 지난 연말부터 금융고객의 안전한 바이오인증 서비스 이용을 위한 ‘바이오정보 분산관리센터(이하 분산관리센터)’를 가동하며 이를 주도하고 있다. 현재 은행과 증권사, 보험사, 카드사, 우체국, 서민금융회사 등 국내 59개 금융회사가 사업에 참여하고 있다. 센터 지원을 맡은 임찬혁 금결원 차세대인증실 차세대인증업무팀장을 만났다.
\r\n

\r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

금융권을 중심으로 바이오정보 활용이 확대되고 있는데 현황은 어떤지요
\r\n우리나라의 바이오금융은 2000년 초반에 도입이 추진됐지만 활성화되지 못했습니다. 2015년에 들어 기술의 발전과 바이오인증이 가능한 스마트폰 보급 등에 힘입어 본격적인 서비스가 출시되고 있습니다.

\r\n\r\n

금융회사 창구는 물론 판매점 POS, 디지털 키오스크와 CD/ATM 등 비대면채널, 모바일 거래(뱅킹·결제·주식거래·보험청약 등)에서 다양한 바이오금융 서비스가 등장하고 있습니다.

\r\n\r\n

신한·우리·기업·국민·부산은행 등이 지문·장정맥·지정맥·홍채 등의 바이오인증을 이용한 디지털 키오스크나 ATM을 이미 출시했습니다.

\r\n\r\n

NH투자증권은 영업점에서 바이오인증만으로 입·출금이나 주식거래가 가능한 서비스를 올 1월부터 시작했습니다.

\r\n\r\n

롯데카드는 장정맥을 이용해 실물 신용카드 결제를 대체하는 카드 리스 결제 서비스를 2017년 중 빅마켓 등 계열 유통점에 국내 최초로 적용할 계획에 있습니다. 범 금융권에서 바이오금융이 확산되고 있습니다.
\r\n
\r\n하나뿐인 바이오정보이기에 보안에 더욱 신경써야 할 것 같습니다
\r\n바이오인증은 개인마다 고유한 정보의 유일성 외에도 영구히 변하지 않는 영속성을 바탕으로 합니다. 따라서 금융회사가 보관하는 바이오정보(등록 템플릿)가 유출된다면 정보 변경을 통한 재등록은 불가능합니다. 그래서 바이오정보의 안전한 관리가 바이오인증 이용을 위한 가장 큰 숙제입니다.

\r\n\r\n

고객 입장에서 보면 금융회사에 보관된 바이오정보가 본인이 동의한 목적 외에 이용되는 오남용 문제도 우려되는 부분입니다. 이에 따라 금융회사는 바이오정보 유출 방지 방안 마련과 함께 투명한 바이오정보 관리체계를 도입해야합니다.

\r\n\r\n

이를 위해 금융결제원은 지난 11월 바이오정보 해킹·유출 위험과 고객의 프라이버시 침해를 원천적으로 방지하는 바이오정보 분산관리 금융표준을 개발하고, 이 표준에 기반을 둔 센터를 구축해 지난 12월부터 운영함으로써 금융회사의 안전한 바이오인증 도입을 지원하고 있습니다.
\r\n
\r\n분산관리센터 역할과 기능에 대해 말씀해 주십시오
\r\n분산관리센터는 분산관리 금융표준에 기반해 바이오정보 조각을 보관하고 거래 시점에 바이오정보 조각의 결합 인증을 지원하거나 대행하는 업무를 수행합니다.

\r\n\r\n

자체 인증 시스템을 구축하지 않은 금융회사는 분산관리센터에 위탁해 바이오정보 결합 인증을 효율적으로 처리할 수 있습니다. 센터는 상기 분산관리 기반 금융 서버방식 외에도 고객 스마트폰 등 개인 디바이스를 바이오인증에 이용할 수 있도록 FIDO 기술 규격 기반 개인매체 방식도 지원합니다. 자체 FIDO 서버를 구축하지 않은 금융회사는 분산관리센터에 위탁해 처리할 수 있습니다.

\r\n\r\n

고객은 주거래 금융회사에 바이오인증 기술별로 바이오정보(인증등록정보)를 한 번만 등록하면 분산관리센터 참가 금융회사의 모든 바이오인증 채널을 이용할 수 있습니다. 센터가 호환인증을 지원해 바이오인증 서비스의 편리성과 범용성을 확보했기 때문입니다.

\r\n\r\n

센터 이용기관은 은행, 서민금융, 증권, 카드, 보험 등 59개 금융회사입니다. 지난 4월말 기준 14개 금융회사가 센터와 연동해 바이오인증 서비스를 제공하고 있습니다. 나머지 45개 금융회사는 서비스를 준비하고 있으며, 10여개 금융회사가 신규 참가를 추진 중입니다.
\r\n
\r\n바이오정보 분산관리 금융표준은 무엇인지요
\r\n바이오인증이란 바이오정보에서 추출해 보관된 특징점 정보(등록 템플릿)와 거래 시점에 새로 추출된 특징점 정보(인식 템플릿)를 비교해 한 사람의 진위 여부를 판별하는 절차입니다. 바이오정보(등록 템플릿)의 안전한 관리를 위해 방화벽 등 다중의 보안 체계를 갖춘다고는 하나 고객의 개인정보가 대량 유출되는 가장 큰 원인은 서버 해킹이 아니라 내·외부 공모를 통한 개인정보 복제 유출이 전체 사고의 약 80%를 점유하기 때문에 내부 유출에도 대응 가능한 방안 마련이 필요합니다.

\r\n\r\n

바이오정보 분산관리 금융표준은 국내 17개 은행과 23개 인증기술업체가 참여하는 워킹그룹과 한국바이오인식협의회, 한국정보통신기술협회(TTA)의 바이오인식 프로젝트그룹(PG505) 등 전문가의 의견을 반영해 개발됐습니다. 고객의 바이오정보(등록 템플릿)를 2개로 분할해 거래 금융회사와 분산관리센터가 각각 보관하고 거래 시 분할된 정보를 합쳐서 인증하는 방법을 표준화한 것입니다.

\r\n\r\n

금융회사와 분산관리센터가 등록 템플릿 조각만 보관하는 구조로 등록 템플릿이 조각으로 분할될 때 특징점 정보가 훼손돼 유출 시에도 이용이 불가능합니다. 암호화된 상태에서 분할돼 복원이 불가능해 등록 템플릿으로 이용할 수 없게 되는 것이지요. 고객이 유출된 조각을 삭제하고 새로운 템플릿 조각 재발급을 희망할 경우에는 분할된 조각을 결합해 즉시 새로운 방식과 사이즈로 재분할 등록할 수 있습니다. 바이오정보 등록시 고객이 동의한 공식 프로세스 외의 이용은 원천적으로 불가능하며, 인증기록이 금융회사와 분산관리센터에 중복 관리돼 투명한 관리체계를 유지할 수 있습니다.
\r\n
\r\n자체 성능 평가도 하고 있는 것으로 압니다
\r\n분산관리 기반 바이오인증의 정확성과 안전성을 확보를 위해 바이오인증기술의 분산관리센터 수용적합성·안전성 및 성능을 평가하는 성능평가업무를 수행합니다. 지난 4월말 기준 지문(슈프리마, 시큐센, 유니온커뮤니티), 얼굴(오이지소프트), 손가락정맥(LG히다찌), 손바닥정맥(한국후지쯔) 등 6개 기업이 기준을 충족해 평가를 완료했습니다.
\r\n
\r\n향후 국내 금융 시장 변화를 예상해 보신다면
\r\n바이오인증은 뱅킹과 결제 등의 분야에서 고객 인증수단으로 유용해 바이오금융에 대한 전망은 낙관적입니다. 외신들은 2020년경에는 바이오인증이 기존 인증 수단을 상당한 수준 대체하고, 금융권의 핵심 업무로 바이오금융이 정착될 것으로 전망합니다.

\r\n\r\n

센터는 바이오금융 활성화에 대비해 2018년까지 금융회사의 바이오인증 도입 지원을 통한 인프라 구축에 주력하고, 2019년부터 바이오금융이 본격 활성화될 수 있도록 다양한 부가업무를 제공하는 것을 검토하고 있습니다.

\r\n\r\n

우선 올해 안에 바이오인증을 활용한 금융회사간 CD 공동망과 연계를 추진하고, 고객이 바이오정보를 한 번만 등록하면 온·오프라인은 물론 모바일 등에서도 이용할 수 있는 통합인증체계를 구축할 계획입니다. 또한, 다양한 인증기술을 결합한 복합 바이오인증(Multimodal) 지원 등 서비스 범위와 기능도 확대해 갈 방침입니다.