[금융에 부는 보안 바람 - 증권] 모바일 주식거래 수요증가에 인증도입 활발

[한국금융신문 고영훈 기자] 모바일 비대면 거래가 늘어나면서 이에 맞춰 증권사들이 다양한 금융보안시스템을 선보이고 있다. 올해 보안 인증 도입은 상당한 활기를 띠었다.

9일 금융투자업계에 따르면 4차 산업혁명 시대 도래에 따라 전세계적으로 다양한 분야에서 금융보안이 핵심 이슈로 떠오르고 있다. 특히 올해는 생체인증을 도입한 증권사들이 많은 한 해였다.

금융감독원은 올해까지 13건의 생체인증 방식을 추가 도입할 예정이라고 밝혀 비대면 보안 기술 확장을 예고했다. 특히 증권사는 5건의 대체인증 수단이 추가될 예정이다.
보안프로그램 강제 설치도 최소화하고 있다. 홈페이지의 전체 메뉴 중 보안프로그램을 설치하는 메뉴의 비율이 작년 10월말 평균 55.6%에서 지난 8월 기준 47.3%로 하락했다. 같은 기간 증권사는 40.2%가 감소했다. 은행, 카드, 보험, 증권 권역 총 95개사 금융사들은 공인인증서 이외에 다양한 인증수단 도입을 활성화하고 있다. 작년 10월만해도 생체인증 도입수단이 없었던 증권업계는 올해 8월까지 16건의 대체인증 수단을 적용했다.

NH투자증권은 금융업계 최초로 전국 영업점에서 손바닥 정맥만으로 금융거래를 할 수 있는 서비스를 도입하며 앞선 핀테크 기술을 선보였다. 손바닥 정맥 인증은 혈관의 굵기와 모양 등을 비교해 신분을 분별하는 기술이다.

고객이 영업점을 방문해 신분증이나 카드, 통장 같은 매체없이 창구에 비치된 기기에 손바닥을 올리면 입금과 출금, 주식과 금융상품 거래 등을 할 수 있다. 영업점에 방문한 고객이 한 번 정맥 정보를 등록하면 이후에는 제한없이 이용할 수 있다.

◇ 첨단 생체 인증 기술 기반 안전 보안체계 적용

신분증이나 증권카드를 소지하지 않은 상태에서도 자유롭게 금융거래를 이용할 수 있어 본인 확인 시간을 절약할 수 있다. 또한 증권카드나 통장을 분실했을 때도 재발급 시간과 비용을 아낄 수 있다. NH투자증권은 다른 인증 수단으로 개인식별번호(PIN) 인증과 모바일 OTP도 도입했다. 금융보안도구인 OTP가 결합된 형태의 체크카드인 QV 테이블 체크카드도 출시했다.
삼성증권은 지난해 8월 지문인증과 간편비밀번호 서비스를 시작한데 이어 올해 4월 삼성 패스의 홍채인증 서비스를 모바일앱에 도입했다. 홍채인증기능이 탑재된 삼성전자 갤럭시 S8 등의 기기를 통해 이용할 수 있으며 삼성증권이 제공하는 홍채인증 서비스는 삼성전자 삼성 패스에 적용된 첨단 생체 인증 기술을 기반으로 한 안전한 보안체계를 적용했다.

홍채인증 서비스 도입으로 기존 공인인증서, 간편비밀번호 인증 외에도 홍채인증을 통해 모바일 금융거래를 안전하고 편리하게 이용할 수 있다. 모바일앱에서 이용메뉴를 통해 이체 거래시 보안카드, OTP 없이 홍채인증만으로 거래가 가능하다.

지난 4월 대신증권도 손가락 지문을 이용한 생체인증 방식을 모바일에 도입했다. 바이오 인증은 모바일트레이딩 시스템인 사이보스터치와 크레온모바일을 이용하는 개인 고객이라면 이용할 수 있다. 키움증권은 지난 8월부터 홍채인증 주문·이체 서비스를 도입했다. 홍채인증 기능이 있는 갤럭시S8, 갤럭시S8+을 이용하는 고객이라면 공인인증서 대신 등록된 홍채정보로 주식 주문과 이체 등 가능하다. 키움증권 모바일앱인 ‘영웅문S’에서 홍채인증 서비스에 가입하고, 본인 홍채정보를 등록하면 된다. 공인인증 방식과 지문인증, 홍채인증 중 하나를 선택할 수 있다.

키움증권 관계자는 “도입된 홍채인증은 키움증권의 다른 서비스에도 확대를 고려하고 있다”고 말했다.
유안타증권은 지난해 간편인증 로그인 서비스를 도입해 4자리 비밀번호 입력으로 빠른 로그인 시스템을 선보였다. 지난 7월에는 모바일트레이딩시스템(MTS) 티레이더M에 지문인증 서비스를 적용해 편의성을 높였다. 금융거래 시 거치게 되는 복잡한 본인확인 절차를 한 단계로 축소해 로그인부터 주식, 금융상품매매, 이체까지 가능하게 했다. 유안타증권 관계자는 고객이 보유한 스마트폰에서 지문 정보가 인증되고 처리된다며 금융결제원에서 인증 결과를 검증하기 때문에 안전하며 지문정보는 증권사에 저장되지 않는다고 설명했다.

고객이 많은 일부 대형사들은 보안 시스템이 오류를 일으키면 안되기 때문에 신중한 입장이다. KB증권이 하반기 지문인증을 준비하고 있으며 미래에셋대우는 오는 12월 서비스를 시행할 예정이다. KB증권, 한국투자증권, 메리츠종금증권은 연내 홍채인증 서비스를 도입한다.

◇ 조만간 16개 증권사 블록체인 컨소시엄 상용화

지난 6월 국제해킹조직이 국내 시중은행에 이어 한국거래소, 증권사 14곳 등에디도스(DDOS·분산서비스거부) 공격을 하겠다고 협박했다. 별 피해는 없었지만 해킹 공격에 대한 보안 경각심을 줄 수 있는 사건이었다. 보안인증은 금융결제원의 공동 FIDO(Fast Identity Online) 방식으로 제공한다. FIDO인증은 스마트폰 단말기에서 생체정보가 인증, 처리되는 방식으로, 금융결제원에서 매체의 생체정보 결과값을 검증 및 인증한다. 최근에는 2.0을 통해 웹브라우저까지 확장하고 있다.

지난해 16개 증권사들이 모여 구축한 블록체인 컨소시엄 역시 이달 상용화를 앞두고 있다. 블록체인 컨소시엄은 지난달 모바일트레이딩시스템(MTS) 블록체인 인증 통합 연계 테스트를 진행했다. 이달부터 대고객 서비스가 실시되는데 블록체인은 공공거래 분산형 장부(Distributed Ledger)라고 부르며 가상화폐로 거래할 때 일어날 수 있는 해킹을 막는 기술이다. 인증분야 공동플랫폼을 구축하고, 2018년에는 청산결제 자동화, 이후에는 장외·채권, OTC 파생상품 거래 등으로 확대해나간다. 대체거래시스템(ATS)과 자금세탁방지(AML)도 도입할 게획이다. 2차 과제로 개인정보노출자 사고예방시스템 개선을 추진한다.

금융결제원 바이오정보 분산관리센터 FIDO 부문 개발사인 라온시큐어는 지난 8월 금융기관들이 금융결제원 공동 FIDO를 최소 비용으로 쉽고 빠르게 자사 서비스에 적용할 수 있는 ‘터치엔 RS(Relay Service) for 원패스’를 출시했다. 금융결제원 공동 FIDO 연동 시 기술 이해 및 자체 개발이 필요한 전문규격 방식을 솔루션으로 손쉽게 연동할 수 있도록 지원하는 공동 FIDO연동 솔루션이다.

금융보안원은 안전한 전자금융거래를 위한 금융보안 표준화를 효과적으로 추진하기 위해 산·학·연 전문가로 구성된 금융보안표준화협의회를 구성했다. 지난 9월 20일 1차 회의를 개최하며 13개 금융보안 표준화 과제를 선정했다.

급증하는 사이버 보안 문제를 개별 기업이 대응하기에는 한계가 있으며, 산업전체가 표준화 된 대응체계를 마련하는 등 공동 노력이 필요하다. 2016년 미국의 인터넷을 마비시켰던 딘(Dyn)사에 대한 대규모 디도스 공격은 사물인터넷 기기의 취약점을 이용했다. 관련 기기에 대한 산업계 보안표준이 있었다면 피해를 최소화할 수 있었다.

◇ 내년 금융권 공동 블록체인 플랫폼 표준 개발 추진

금융권 공통 블록체인 플랫폼, 금융 빅데이터 비식별 처리 기능 등 7개 과제는 활용도와 시급성 등을 감안해 중점 과제로 채택했다. 내년까지 표준개발을 우선 추진하고, 그 밖에 6개 과제에 대해서는 기한을 정하지 않고 신속하게 표준화를 추진하기로 결정했다. 사이버 공격은 전 세계적으로 막대한 경제적 피해를 유발하는 등 현실적 위협으로 발전하고 있다. 2015년 미래창조과학부(현 과학기술정보통신부)는 사이버 침해사고로 인한 국내 경제피해 규모를 연간 3조6000억원으로 진단했다.

과거에는 자료유출 방지 등의 기밀성, 자료변조 방지 등 무결성, 서비스 연속성 보장 등 가용성 측면에서 내부 데이터 보호에 집중하게 됐다. 미래에는 내부 데이터 보호 뿐 만 아니라 사람과 환경을 보호하기 위해 개인정보, 안전, 신뢰성 측면까지 고려해야 된다.

보험개발원은 최근 리포트를 통해 근미래의 보안 대비 중점에 대해 역설했다. 자체 보안패치 기능 필수 탑재와 정기 자동검사 수행으로 취약점에 대한 선제 대응이 필요하다고 봤다. 초기설정 패스워드 복잡성 적용, 기기 연결시 사용자 인증 절차 등 기본적인 보안조치를 넘어 정보 저장과 전송 단계 등 데이터 유통 전 과정을 재점검, 암호화 등 보안기술 적용해 정보유출에 대비해야 한다는 의견이다.

지문, 홍채 등 인증 수단이 탈취되는 경우 재설정 불가로 2차 피해 우려가 없다. 비밀번호 정보 유출시 변경이 가능하지만, 생체인증 정보는 불가능하다. 빅데이터 구축시 개인정보 비식별화 조치 활용 데이터 수집시 위치, 건강 등 민감한 정보가 포함될 수 있어 정보주체 확인이 불가능하도록 비식별 조치가 중요하다.



고영훈 기자 gyh@fntimes.com