안전하나 해킹위험도 존재, 털릴 경우 더 위험해
사람들이 지문을 찍고 식당에서 계산하거나 눈을 갖다 대고 현관문을 연다. 예전에는 영화에서나 보던 장면이 현실화, 대중화하고 있다. 휴대폰이나 현관문 등 개별 기기 단계에서 사용되던 생체인증 기술이 대중화 단계에 이르렀다.
간편 결제, 인터넷전문은행 등 모바일 핀테크 산업이 발달하면서 생체인식 기술은 대중화의 전기를 맞았다. 마이크로소프트가 출시한 새 인터넷브라우저가 엑티브 엑스(Active X)를 지원하지 않은 것도 계기가 됐다.
한국인터넷진흥원(KISA)은 공인인증서에서 비밀번호 인증이 필요 없는 지문 인식 인증 방식을 1월부터 시범운영한다. 삼성, LG를 포함한 기업들은 2014년 FIDO(Fast Identity Online)라는 국제표준을 공개하고 FIDO 인증 제품을 상용화하고 있다.
생체인증은 사용자 입장에서 빠르고 편리하다는 점에서 각광받고 있다. 일련번호처럼 조합이 쉽지 않고 사용자만의 고유한 정보가 담겨있다는 것 또한 장점이다.
그러나 생체인증 기술이 해킹으로부터 안전한 지에 대한 우려도 존재한다. 일각에선 이 기술이 해킹당할 경우 오히려 비밀번호나 인증서 방식보다 타격이 클 수 있다고 지적한다.
◇ 생체인증, 한번 털리면 더 위험
모바일 생체인증은 스마트폰 바이러스 감염에 취약하다. 모바일 인증이 안전하다는 전문가도 스마트폰 자체가 해킹당하면 방법이 없다는 데 동의한다. 해커가 하드웨어를 복사하는 게 힘들면 하드웨어에 직접 침투할 수 있다.
한 업계 관계자는 “앱을 통해 스마트폰에 침투하지 못하게 하려면 앱을 운영하는 곳에서 관리를 잘 해야 한다”며 “앱 보안을 맡은 회사에서 생체 정보를 제대로 암호화하고 보안체계를 갖추는 게 중요하다”고 말했다.
최근에는 상대적으로 안전하다고 알려진 애플 iOS 앱이 바이러스에 감염된 사례가 발생하기도 했다.
현재 금융 당국에서 구상하는 시스템이 위험하다는 주장도 나온다. 한국은행은 시중은행과 지문 데이터를 분산 저장해 관리하는 방식에 대해 논의 중이다. 잘려진 데이터 각각을 해킹해 활용하는 방법이 있기 때문이다.
한 보안 전문가는 생체인식 데이터를 ‘비(非)중앙집중형’으로 관리해야 한다고 주장한다. 그는 “데이터를 분산 보관한다고 해도 한 기관에서 통합 관리한다면 중앙집중형 관리나 마찬가지”라고 평가했다.
그는 생체정보 자체를 변경하는 게 불가능하기 때문에 한번 해킹 당할 경우 더 위험하다는 주장도 했다. 그는 “지문이나 홍채 정보가 해킹 당했다고 손가락, 눈을 바꿀 수는 없는 거 아니냐”면서 “생체 정보가 털릴 때를 대비해 지문을 아이디로 하고 패스워드 숫자를 따로 설정하는 방안 등이 도입돼야 한다”고 강조 했다.
◇ 안전하다는 지문 인식, 한 물 갔다는 의견도
또다른 단점도 지적되고 있다. 우선 지문인식 기능이 있는 최신 휴대폰사용자만 이용이 가능하다. KISA에서 PC 사용자 용 인증방식을 제공한다 해도 지문인식 리더기와 관련 소프트웨어가 필요하다. 때문에 일반인 수준에서 PC 지문인식이 안 된다.
하지만 더 큰 결점도 있다. 또다른 액티브액스의 과오를 범할 가능성이 있다는 것이다. 한 핀테크 전문가는 “기존 공인인증서 방식 자체는 나쁘지 않았으나 앞으로 발전 여지를 생각하지 않고 개발했던 게 문제”라면서 “FIDO도 표준화 규격으로서는 좋으나 이미 선진국 금융기관들은 ‘블록체인’ 방식으로 넘어가고 있다”고 설명했다.
블록체인은 가상화폐 ‘비트코인’ 보안 방식이다. 각각의 블록을 연결했다는 뜻의 이 결제정보 인증 방식은 여러 사용자가 진짜라고 동의한 거래 내역만 블록으로 분산해 저장한다.
FIDO 규격은 호환성에 중점을 두고 있다. 때문에 분산 운영이 힘들고 한 기관이나 시스템이 뚫리면 이 현상이 연쇄작용을 일으킬 수 있다는 단점이 있다.
민보름 기자 dahl@sisabiz.com