[알아봅시다] 금융권 바이오 인증

홍채·지문 등 바이오 정보, 조각·분산 관리로 안전성 'UP'
금융거래 땐 정보 결합으로 인증해
작년 금융결제원 분산관리센터 오픈
정보 유출되도 단독 인증은 '불가능'

최근 스마트폰을 활용한 지문, 홍채 인증과 오프라인에서의 손바닥·손가락정맥 인증까지 금융권에서 바이오인증을 활용한 본인인증 서비스 도입이 활발히 이뤄지고 있습니다. 본인 인증은 데이터베이스에 저장된 등록정보와 새롭게 입력된 정보를 비교해 한 사람의 진위를 판별하고 본인임을 증명하는 절차를 의미합니다. 바이오인증기술은 다양한 인증방법 중 사용자의 신체·행동적 특성을 이용해 본인을 인증하는 기술을 통칭합니다.

금융권의 잇따른 바이오인증 도입에 고객들은 개인의 바이오정보가 안전하게 보관되는 것인지에 대한 관심이 높습니다. 영구히 변하지 않는 개인정보로 유출 시 해당 바이오인증 이용을 할 수 없는 특성이 있으며, 바이오인증의 과도한 사용이나 사생활 감시 등 목적 외 이용에 대한 우려가 크기 때문인데요.

이러한 문제를 해결하기 위해 한국은행은 금융정보화추진협의회를 통해 바이오정보를 인증에 사용할 수 없는 조각으로 분할해 일부는 금융회사 서버에 보관하고 나머지 조각은 분산관리를 통해 제3의 기관에 보관하며 거래시점에 바이오정보 조각을 결합해 인증하는 기술을 작년 12월 표준으로 제정했습니다.

이를 통해 바이오정보는 인증이 불가능한 조각으로 분할 관리돼 설령 유출되더라도 사용할 수 없게 됐으며, 금융회사나 분산관리기관 단독으로는 바이오인증이 불가능해 목적 외 이용 우려를 해소한 것입니다.

금융사가 아닌 분산관리를 하는 제3 기관의 대표적인 사례가 금융결제원인데요. 금융결제원은 작년 12월 말 분산관리센터를 오픈하고 참여기관의 모집을 시작했습니다.

바이오정보 분산관리업무는 바이오정보를 서버에서 관리·인증하는 금융표준 기반의 △금융서버방식과 바이오정보를 스마트폰 등 개인매체에서 관리·인증하는 FIDO 국제규격 기반의 △개인매체방식으로 구분됩니다. FIDO는 온라인환경의 바이오인식기술을 활용하기 위한 국제기술규격을 의미합니다.

참가기관은 금융서버방식의 경우 자사인증·위탁인증 업무 중 하나를 선택 이용하며, 개인매체방식은 공동FIDO이용·개별FIDO연계 업무 중 하나를 선택해 이용하게 됩니다.

금융서버방식은 금융회사가 제공하는 CD/ATM, 디지털 키오스크, 창구, 고객센터를 통해 홍채, 손바닥정맥, 지문 손가락정맥, 얼굴, 음성 등 바이오인증을 사용합니다. 개인매체방식은 안드로이드나 iOS 기반의 스마트폰 매체를 통해 지문·홍채 등 단말기 사업자가 기본 탑재한 센서가 지원하는 인증기술 및 기관별 추가 도입 기술을 활용하는 것입니다.

금융서버방식은 자사인증과 위탁인증으로 나뉩니다. 참가기관에서 바이오정보를 수집한 뒤 이를 분할해 조각을 분산 관리센터에 전송해 등록하고, 인증시점에 조각을 분산관리센터에서 받아 참가기관이 운영하는 독자인증시스템에서 결합 및 인증하는 방식이 자사인증입니다.

위탁인증은 참가기관에서 바이오정보를 수집한 분산관리센터로 전송하면 센터에서 분할해 조각을 참가기관으로 전송해 등록하게 되고, 참가기관은 인증시점에 조각을 분산관리센터가 위탁받아 운영하는 공동인증시스템에서 결합 및 인증하는 방식입니다.

개인매체방식 역시 FIDO서버 미구축 기관의 경우 분산관리센터 내 공동 FIDO 서버를 이용하는 공동 FIDO 이용을, FIDO서버 독자구축 기관은 센터가 제공하는 추가정보를 통해 인증 보안성 강화 및 부인방지를 위한 제3자 검증·증명 기능을 이용하는 두 가지 방식으로 관리됩니다.

금융결제원은 인증중계 및 인증이력 등의 관리를 통해 참가기관 간 호환인증 및 금융거래 부인방지 기능을 지원하고 바이오인증 성능평가 등 부대업무를 제공하는 역할도 맡고 있습니다.

성능평가는 바이오정보 분산관리시스템이 바이오인증 허브로 기능하므로 금융회사 바이오인증의 최소 수준 정확도 및 안전성 확보를 위해 실시합니다. 안전한 분산관리와 호환 가능 여부를 평가하는 △분산관리 적합성 시험과 인증기술 안전성이 금융업무에 적합한지 여부를 평가하는 △바이오인증 성능시험으로 구분해 관리하고 있습니다.2017년 7월 초까지 금융결제원 분산관리센터에 참가하는 기관은 총 59곳입니다. 은행 15곳, 인터넷전문은행 2곳 서민금융 4곳, 증권사 20곳, 보험사 15곳, 카드사 2곳, 기타 1곳 등 전체 금융 업권에서 참여하고 있습니다. 또 신규 참가를 위해 보험사, 저축은행 등 8곳의 금융기관이 절차를 밟고 있습니다.

59개의 참가기관 중 서비스를 제공 중이거나 출시가 임박한 금융사는 총 24곳입니다. 금융서버방식이 4곳, 개인매체방식이 19곳, 금융서버방식과 개인매체방식 모두를 사용하는 기관이 1곳입니다. 다른 35개 기관은 서비스 개발 및 실시를 준비 중인 금융기관입니다. 앞으로 바이오인증 서비스를 제공하는 금융회사가 점점 더 늘어나게 되는 것이죠.

지금까지 금융결제원의 바이오인증 성능평가를 통과한 기업은 총 6곳입니다. 슈프리마, 시큐센, 유니온커뮤니티(지문)와 한국후지쯔(손바닥정맥), LG히다찌(손가락정맥), 오이지소프트(얼굴) 등이 그 주인공이죠.

현재 성능평가를 받고 있거나 곧 진행할 회사는 총 7개입니다. 아이리스아이디, 이리언스, 아이리텍·아이리시스(홍채), 파워보이스(음성), 위닝아이(장문), 코리센(손가락정맥) 등이 대상인데요.

이들 기업이 모두 성능평가를 통과하게 되면 분산관리센터에서 지원하는 바이오인증 기술은 기존 지문, 손바닥·손가락정맥, 얼굴 등 4개에서 홍채, 음성, 장문(손바닥무늬)까지 포함한 7개로 확대될 전망입니다.

박종진기자 truth@dt.co.kr

자료: 금융결제원 제공