[금융에 부는 보안 바람 - 은행] 모바일뱅킹에 ‘간편+안전’…KB국민, 화자인증도

[한국금융신문 정선은 기자] “편리냐, 보안이냐”. 비대면 뱅킹이 확대되고 있는 은행권에서는 ‘두 마리 토끼’ 잡기를 시도하고 있다. 대면인증 완화 이후 고객들에 다양한 인증수단을 제공하기 위해 생체(바이오)인증을 도입하고 분산관리를 통해 보안성 강화 노력도 기울이고 있다. 비대면 한계를 극복하기 위해 본인 명의 스마트폰으로만 은행 거래를 할 수 있도록 안전장치도 마련하고 있다.

9일 금융결제원에 따르면, 지난해 12월 출범한 바이오정보 분산관리 센터에는 은행, 증권 등 60곳 가량 금융사가 참여하고 있다.

바이오정보 분산관리센터 서비스는 두 가지인데 이중 바이오정보를 조각으로 나눠서 분산관리 센터와 금융회사 서버에 분할 보관하는 금융서버 방식은 특징적이다. 일반적으로 활용되는 방법은 국제 바이오인증 표준인 FIDO(Fast Identity Online)에 기반해 스마트폰 내 안전영역(Trust Zone)에 보관하는 방식이 있다.
금융서버 방식 서비스는 디지털 키오스크·자동화기기(ATM)·영업점 창구·가맹점 POS 등 매체 없이 금융 거래를 할 때 특화돼 있으며, 지문·홍채뿐만 아니라 정맥·얼굴·음성 등 바이오 정보 활용 범위도 보다 넓다.

예컨대 정맥 인증의 경우 표피 아래 사람마다 고유한 혈관을 이용하는 방식이다. 표면으로 노출된 정보가 아니므로 위조나 복제가 어렵다. 복잡하게 정맥이 교차해서 지문·홍채 등과 비교할 때 보안성도 높은 것으로 평가된다.

은행권에서는 신한은행이 올 4월에 시중은행 최초로 바이오 정보 일부를 금융결제원에 분산 보관하고 해킹과 위·변조 위험으로부터 안전한 관리를 시도했다. 신한은행은 지난 2015년 12월 국내 최초로 스마트라운지(옛 디지털 키오스크)를 도입해 손바닥 정맥 인증을 활용한 점포를 선보였다.

KB국민은행도 손바닥 정맥을 이용한 바이오 인증을 도입해 본인 확인을 할 수 있도록 운영하고 있다. 공인인증서 사용의 번거로움으로 부각된 바이오인증은 은행권에 새로운 인증방식 선택권으로 확대되고 있다.

금융감독원에 따르면, 공인인증서 대체인증으로 모바일 바이오인증을 도입한 은행은 지난 8월말 기준 24곳으로 작년 10월말(4곳) 대비 6배 급증했다. 인증 방식으로는 지문인증, 홍채인증이 보편적으로 활용되고 있는데 둘다 도입한 은행이 KEB하나·신한·전북·KB국민· 대구·부산·경남·IBK기업·케이뱅크·SC제일은행 등 10곳에 이른다. 신한은행과 KB국민은행의 경우 손바닥 정맥 인증까지 도입됐다.
신한은행의 경우 글로벌 모바일뱅킹에도 바이오인증 서비스를 적용했다. 올 9월 신한베트남은행은 비밀번호 입력, 보안매체 등록 등 절차없이 지문, 홍채 등 바이오정보를 활용해 간편하게 모바일 뱅킹을 이용할 수 있는 서비스를 출시했다. 지방은행 중에서 BNK금융그룹은 올 7월에 모바일은행 ‘썸뱅크’에서 생체인식 공인인증 서비스인 ‘BNK바이오패스’를 생체(지문)인증이 가능한 모든 스마트폰으로 확대했다.

KEB하나·신한·전북·KB국민·SC제일·대구·부산·경남·IBK기업·케이뱅크 등 은행 10곳은 공인 인증서 없이 스마트폰에서 홍채 인증을 통해 자금 이체가 가능한 서비스도 제공하고 있다.

KB국민은행의 경우 지난달 26일 은행권 최초로 화자인증(목소리 인증)을 도입해 본인확인과 송금가능한 대화형 뱅킹 플랫폼 ‘리브똑똑(Liiv TalkTalk)’을 정식 오픈했다. '리브똑똑’은 보안 솔루션 탑재에 초점을 맞췄다. 리브똑똑에서 나눈 대화 내용은 해외 아마존 클라우드 서버(AWS)에 저장돼 사생활이 보호되며, 국내 최초로 미국 정보표준 FIPS 140-2 인증을 획득한 보안 솔루션 ‘TAP’을 도입해 암호화된 메시지를 주고 받을 수 있다.

KB국민은행 관계자는 “‘리브똑똑’은 해킹이 불가능한 수준으로 보완성을 강화해 개인뿐만 아니라 비즈니스용 플랫폼으로도 이용이 가능해졌다”며 “앞으로도 클라우드, 인공지능, 챗봇 등 차세대 기술과 연계하여 다양한 비즈니스 확장이 가능하도록 할 것”이라고 말했다.
유효기간을 연장하고 갱신해야 하는 등 불편이 있는 개별 공인인증서에서 나아가 블록체인 기술을 이용한 은행권 공동 사설인증 서비스도 추진되고 있다. 내년 상반기에 시범서비스를 도입하는 것을 목표하고 있다.

비대면 한계를 보완하기 위해 ‘1인 1모바일’을 도입하기도 했다. 인터넷전문은행 카카오뱅크는 보안성을 높이기 위해 본인 명의 휴대폰 한 대에서만 앱(app) 구동이 가능하도록 했다.

카카오뱅크는 먼저 개발 초기부터 필요 최소한의 보안기능을 선별해내는 작업을 진행했다. 이 과정에서 인증서 기술과 같이 꼭 필요하지만 사용하기 불편한 기술은 개발팀과 상의해 사용자 편의성을 극대화시켰다는 설명이다.

카카오뱅크 관계자는 “심플하고 편리한 사용성을 유지하되 전자금융거래 안정성 확보를 위한 보호조치를 구현했다”고 말했다.

NH농협은행도 지주 공동 모바일 플랫폼인 ‘올원뱅크’에서 역시 본인 명의 휴대폰 한 대에서만 뱅킹을 이용할 수 있도록 했다. 농협은행 관계자는 “올원뱅크, 스마트 뱅킹 등 비대면 채널 고객 편리를 최우선으로 하되 휴대폰 고객인증 강화, 이상거래탐지시스템(FDS) 등을 통해 전자금융 사고를 봉쇄하는데 주력하고 있다”고 설명했다.

모바일 뱅킹이 대세로 자리잡으면서 비대면 보안에 대한 관심도 점점 커지고 있다. 금융보안원의 ‘금융회사의 안전한 비대면 인증을 위한 연구’ 리포트에서 김현민·이진호 연구원은 “특히 인터넷전문은행은 다양한 비대면 확인 방식을 활용해 서비스가 이루어지므로 정보기술(IT)의존도가 매우 높을 수밖에 없다”며 “해킹에 의한 고객 정보 유출, 금전적 사고에 따른 손실은 직접적 금전손실은 물론 인터넷전문은행 신뢰도에 큰 타격을 주므로 기존 금융기관보다 보안이 차지하는 비중이 크다”고 설명했다.

‘금융권 모바일 보안기능 현황과 전망’ 리포트에서 조현호 금융보안원 연구원도 “비대면 실명확인이 가능해지고 모바일 전용 금융 서비스 등 다양화되면서 보안 위협이 증가하고 있어 신속 대응이 필요하다”며 “금융회사의 보안 인력 확보와 역량 강화, 최신 위협 동향 습득과 지속적인 교육, 서비스 이용자에 대한 사고 예방 캠페인 등 여러 활동을 통해 금융회사와 이용자의 보안 수준이 높아져야 할 것”이라고 말했다.



정선은 기자 bravebambi@fntimes.com