공인인증서 OUT…지문 하나면 OK

마트에서 물건 살 때 지갑이 필요 없다. 모바일뱅킹으로 계좌이체를 할 때 OTP(일회용비밀번호생성기)를 찾을 필요 없다. 이제 내 손바닥이 신용카드이고 내 손가락 지문은 곧 OTP인 시대다. 금융사가 앞다투어 생체인증 기술을 금융거래에 접목한 서비스를 선보이고 있다. 고객 편의와 보안성을 동시에 잡을 수 있어서다.

지문·홍채·정맥·목소리. 금융거래에 이미 쓰이고 있거나 실용화 예정인 생체인증 기술은 다양하다. 이 중에서도 본인인증 수단으로 가장 널리 활용되는 건 지문이다.

우리은행은 2일 아이폰용 모바일 뱅킹에 ‘지문인증 서비스’를 탑재했다(삼성 단말기는 2월 말 적용). 기존에도 공인인증서를 지문으로 대체한 모바일 뱅킹 서비스는 있었다(KEB하나은행, 농협은행). 우리은행은 한발 더 나아가 공인인증서는 물론 보안카드나 OTP까지 지문인증으로 대체한다. 따라서 계좌이체나 상품 신규 가입 등 모바일 뱅킹의 모든 서비스를 지문인증만으로 이용할 수 있다.

서비스 이용 전에 한 번만 모바일 뱅킹에서 지문정보를 등록하면 된다. 지문인식기능이 있는 아이폰5S, 갤럭시S6 이상 단말기여야 한다. 지문인증은 빠르고 단말기 비용도 저렴하다. 다만 손가락에 지문이 없거나 다쳤으면 이용하지 못한다는 단점도 있다. 지문을 위조할 가능성도 있다.

이 때문에 최근 금융사들이 관심 갖는 생체인증 기술이 손바닥 정맥이다. 손바닥 정맥혈관의 굵기와 모양, 선명도를 확인해서 본인 여부를 판별하는 기술이다.

롯데카드는 3월 중 롯데마트와 빅 마켓 오프라인 매장에서 손바닥 정맥 인증기술을 활용한 ‘핸드 페이’ 시범서비스를 선보일 예정이다. 고객은 실물 카드는 물론 스마트폰도 소지할 필요가 없다. 그저 전용 단말기에 손바닥을 대서 정맥을 스캔하면 자신이 보유한 롯데카드로 결제가 이뤄진다. 사전에 손바닥 정맥 정보를 등록해두면 손바닥이 곧 신용카드가 되는 셈이다. 롯데카드 관계자는 “서비스를 시범 운영한 뒤 반응이 좋으면 다른 유통 계열사 가맹점으로도 확대할 계획”이라고 말했다. 다만 정맥 스캔 단말기 비용이 높은 편이라 모든 가맹점으로 확산하는 데는 시간이 걸린다.

손바닥 정맥 인증 기술을 국내에서 가장 먼저 적용한 건 신한은행이다. 신한은행이 2015년 말 스마트라운지라는 이름의 신형 자동화기기(ATM)에 손바닥 정맥 인증을 도입한 뒤 1년간 총 1만 명 넘는 고객이 정맥 정보를 등록했다.

최근 NH투자증권도 전국 영업점에서 손바닥 정맥만으로 금융거래를 할 수 있는 서비스를 도입했다. 신분증이나 증권카드, 통장이 필요 없이 창구에 있는 기기에 손바닥을 올려 본인 인증을 하면 모든 금융거래를 할 수 있다. 처음 한 번만 정맥인식기에 손바닥을 올린 뒤 4번에 걸쳐 정맥을 인식시키는 과정을 거쳐 등록하면 된다.

이 회사 관계자는 “전 금융업계 최초로 금융결제원의 바이오정보 분산관리센터를 이용해 손바닥정맥 정보를 금융결제원에 분산 저장했다”며 “바이오 정보 유출 걱정 없이 편리하게 이용할 수 있다”고 설명했다. 정맥은 거의 복제가 불가능한데다 단말기에 손을 가까이 대기만 하면 돼서 사용할 때 거부감이 적다는 게 장점이다. 손바닥 정맥이 복잡하게 교체하기 때문에 기기가 잘못 인식할 오류 가능성도 매우 작다.

목소리 고유의 패턴을 이용한 생체인증 기술 상용화도 앞두고 있다.

비씨카드는 올 상반기 중으로 모바일 결제프로그램에 보이스 인증서비스를 탑재할 계획이다. 스마트폰으로 카드 결제를 할 때 비밀번호를 눌러서 입력하는 대신 ‘내 목소리로 결제’라고 말하면 결제가 이뤄진다. 개인별 특유의 목소리 성문·성조를 이용해 본인 여부를 판별한다.

감기에 걸려서 목소리가 쉬었어도 이러한 패턴은 변함이 없기 때문에 얼마든지 인식할 수 있다. 처음에 목소리를 등록할 땐 ‘내 목소리로 결제’라는 말을 7번 정도 반복해서 녹음하면 된다.

비씨카드 관계자는 “지문인증은 기능이 탑재된 스마트폰만 가능하지만 목소리 인증은 모든 스마트폰 기종에서 가능하다”며 “소액(30만원 이하) 모바일 결제에 적용할 것”이라고 설명했다.

우리은행과 기업은행은 스마트ATM기에 홍채 인증 방식을 적용했다.

국내엔 아직 없지만 중국 알리바바가 온라인 쇼핑몰 결제시 도입한 얼굴인증(스마일 투 페이) 기술도 나와있다.

생체인증은 편리성과 보안성을 모두 잡을 수 있다. 해킹과 복제를 통한 보안공격을 방지하기 위한 기술이 계속 개발되고 있다. 예컨대 상대적으로 복제 가능성이 있는 지문에 대해선 열을 가해서 땀이 나는지를 체크하는 방식으로 위조 여부를 가려낸다.

과거엔 고해상도사진을 대면 홍채로 인증하는 오류도 있었지만 센서기술 발전으로 이젠 잡아낼 수 있다. 또 NH투자증권처럼 금융회사와 금융결제원이 바이오정보를 나눠서 저장한 경우엔 한쪽 서버가 해킹에 뚫렸다고 해도 빼낸 반쪽짜리 정보는 쓸모가 없다.

그렇다해도 100% 안전하다고는 누구도 장담하지는 못한다. 금융보안원 황종모 보안기술연구팀 차장은 “해커들이 계속 보안의 취약점을 찾고 있기 때문에 데이터 조작과 유출 등의 가능성이 없지 않다”며 “금융회사와 바이오인증사, 단말 업체가 모두 보안 취약점에 대응하기 위한 노력을 기울여야 한다”고 말했다.

출처 : 중앙일보