생체정보 호환 표준안 잰걸음

한은·금결원 표준안 심의 단계
‘영구복제’ 우려 관리역할 중요

[한국금융신문 정선은 기자] # 미국 연방인사관리처(OPM)는 지난해 6월 해커 공격으로 전·현직 공무원의 지문정보 560만건이 유출되는 사고가 발생했다. 개인 신상정보와 금융정보 등이 유출돼 신용정보 도용뿐 아니라 자칫 공무원 행세까지 가능해 미국 정부의 우려를 높였다.

금융권에 생체(바이오) 인증 도입이 확산되면서 편의와 보안을 위해 표준안 마련이 속도를 내고 있다. 기존 공인인증서나 일회용비밀번호(OTP) 대비 편리함이 전제돼야 생체인증 기술 산업이 활성화 될 수 있는데다, 생체인증 정보를 관리·감독할 신뢰할 만한 기관 도입이 필요하다는 지적도 나오고 있어서다. 위와 같은 생체인증 위·변조 사례에 금융권의 적극적 대응도 가시화될 전망이다.

18일 금융업계에 따르면, 한국은행 금융정보화추진협의회 산하 표준화위원회에서 금융기관간 생체정보 상호 호환을 위한 표준화 작업이 추진되고 있다.

한국은행 금융결제국 관계자는 “금융결제원 주도로 생체인증 업체간 호환성 협의가 진행 중”이라며 “현재 금융정보화추진협의회에서 심의 중인 안건이 의결되면 표준안이 활용될 근거를 마련하는 것”이라고 설명했다.

생체인증은 지문·정맥·홍채·얼굴·음성 등 인간의 고유한 생체정보를 통해 개인을 식별하거나 인증하는 것이다. 최근 스마트폰을 활용한 모바일뱅킹이 늘면서 은행, 증권사에서 생체 정보 활용 인증이 늘고 있다. 손바닥 정맥을 이용한 디지털 키오스크, 홍채인증 자동화기기(ATM) 등이 사례다.

하지만 아직 금융기관마다 생체 인증기술이 다른데 호환은 되지 않는 상황이다. 이번 표준안에는 자동화기기(ATM)에서 생체정보 인증을 받을 때 금융사 간 주고 받는 메시지와, 고객의 생체정보를 여러 조각으로 분리해서 별도 보관하는 방법 등을 표준화하는 내용이 담길 예정이다. 한 곳에 생체정보가 집중되면 해킹 사고가 발생했을 때 대량 정보유출 위험이 있고 프라이버시 침해 등이 우려되기 때문이다.

현재 한국은행 금융정보화추진협의회에서 추진 중인 ‘생체정보 분산관리 표준(안)’에 따르면, 고객의 생체정보를 분할해서 한 조각은 금융기관 서버나 스마트폰 등 개인 디바이스에 보관하고, 나머지 조각은 별도 인증센터에 보관하다가 거래 시점에 생체정보 조각을 결합해 인증하는 기술을 적용한다. 인증센터에 접속하는 금융기관이 생체정보를 공동 이용할 수 있도록 지원한다.

생체정보 인증은 디지털 키오스크, 홍채인증 자동화기기(ATM) 등 ‘서버저장 방식’과 단말기에 저장되는 ‘FIDO 방식’으로 분류된다.

금융권에 ‘생체 인증’ 바람이 불면서 보안이라는 절대조건도 재차 강조되고 있다. 중앙은행과 금융당국에서 개인정보 유출, 위조와 복제 등에 대한 경계감으로 고삐를 죄고 있는 것이다.

한국은행은 지난달 26일‘바이오인증기술 최신동향 및 정책과제’ 보고서에서 “일반 인증수단들은 사고발생 시 재발급이 가능하지만, 생체정보는 한 번 유출되면 재발급이 매우 제한되고 유출된 정보는 영구적으로 악용될 가능성이 있다”고 지적했다.

금융당국도 핀테크 산업 활성화로 보안 이슈를 재점검하고 있다. 진웅섭 금융감독원장은 지난 2일 ‘금융경영인 조찬강연회’에서 “금융회사들이 핀테크 관련 리스크 관리를 강화해야 한다”며 “특히 생체정보 위조·유출 가능성에 적극 대응해야 할 것”을 강조했다. 또 진웅섭 원장은 “핀테크 관련 IT 리스크를 경영진이 직접 통제 관리할 것”을 제안했다.

금융보안원도 지난 3월 ‘바이오 정보 사고사례 및 대응방안 조사’ 보고서에서 생체인증 정보 유출, 위조 위험 등에 대한 대응방안을 제시했다. 금융보안원은 “생체정보가 유출되더라도 폐기하고 새로운 생체정보를 재발급할 수 있는 시스템 도입 검토가 필요하다”고 강조했다. 또 지문과 홍채를 함께 인증하는 등 다중 생체인증도 언급됐다.

‘제도적 장벽’이 제거되면서 금융권의 생체인증에 대한 관심이 고조되고 관련 산업 활성화에 대한 기대감도 높아지고 있다. 금융위원회는 지난해 말 ‘금융실명법’, ‘전자금융거래법’상 비대면 실명확인을 허용하기로 했다. 실명확인 때 두 가지 방법 이상으로 이중확인이 필수인데 여기에 생체인증을 ‘기타 인증 방식’으로 포함한 것이다.

정훈 KB금융지주 경영연구소 연구위원은 “생체인식 정보의 ‘수집-관리-폐기’에 이르는 전 과정에서 철저한 보안으로 고객 신뢰를 쌓아야 할 것”이라고 강조했다.

정선은 기자 bravebambi@fntimes.com