[기고]핀테크 시대, 생체인증 과연 안전한가

아이폰 터치 ID 지문인식으로 생체인증에 대한 관심이 고조되고 있지만 다른 한편에서는 그로 인한 보안 우려 역시 증대되고 있다. 지문인식뿐 아니라 홍채, 음성, 심장박동, 걸음걸이 등 나만이 가지고 있는 유일한 생물학적 특성으로 인증을 하는 생체인증은 비밀번호를 기억할 필요도 없이 편리하고 간단하게 나를 확인하는 강력한 인증수단이다.

그러나 이러한 편리성 못지않게 신체적 변화에 의한 불편함도 있다. 아울러 엄격하게 관리되고 통제되지 않으면 심각한 상황을 초래할 수도 있다. 지문은 손가락을 다치거나 지문이 닳아서 사용할 수 없게 되는 일도 있다. 홍채, 음성, 심장박동, 걸음걸이와 같은 다른 생물학적 특성도 비슷하다.

다른 생체정보도 쉽게 복사될 수 있다. 보안에서 간과하지 말아야 할 것은 인간이 만든 암호체계는 인간의 능력으로 언젠가는 해킹된다는 점이다.

2차 세계대전 때 독일에서 고안한 이니그마라는 암호체계를 결국 풀어내는 영국 천재 수학자들을 그린 얘기다. 강력한 암호체계로 결단코 깨지지 않을 것이라고 누구도 자만해서는 안 되는 일이다.

만약에 생체인식 시스템 자체가 소스단계에서 해킹돼 나의 디지털 생체 ID가 돌아다닌다고 하면 어떻게 할 것인가. 비밀번호가 노출됐을 땐 바꾸면 그만이지만 생체정보는 세상에 오직 하나인데 지문이나 홍채를 새로 만들 수도 없고 바꿀 수 없는 치명적인 약점이 있다. 소스단계에서 해킹이 됐을 때 생체인증 시스템 전체가 붕괴되는 사태를 맞아야 한다.

생체정보는 쉽게 복사돼 비밀이 보장되지 않고 변경할 수가 없기에 생체인증이 핀테크 지불결제의 본인확인을 위한 기본 인증수단이 되거나 유일한 인증수단이 되어서는 안 된다. 생체인증만으로 본인인증을 하고자 하면 큰 문제에 봉착하게 될 것이다.

많은 보안 전문가들은 안전한 본인인증을 위해서는 패스워드(비밀번호)를 기본적인 보안인증 수단으로 하고 생체인증을 부가적인 보안수단으로 사용할 것을 권하고 있다.

누구나 개인의 스마트기기를 휴대하는 스마트시대에는 개인화 된 스마트 기기를 보안에 이용하면 더 안전한 보안인증시스템 구축이 가능하다.

즉, 패스워드(Something you know), 개인화된 기기(Something you have), 그리고 보조적인 수단으로 생체정보(Something you are)가 부가적으로 결합되면 보다 더 강력한 보안 인증 수단이 될 것이다. 서비스수행기관(금융기관, 인증기관)과 E2E 보안이 보장되는 개인화된 스마트기기의 가변키패드(OTP)에서 OTP 위치정보 암호화로 비밀번호 인증을 하고 필요시 생체인증 시스템을 추가한다면 간편성을 유지하면서도 완벽한 ‘부인방지’는 물론이고 ‘중간탈취’의 위험이 없는 핀테크 지불결제 보안인증시스템이 보장된다.

요즘 핀테크 열풍이 불면서 온 세계가 간편성을 표방하는 모바일결제가 피할 수 없는 현실이 돼 있다. 그러나 간편성을 내세워 금융결제의 보안에 조금이라도 문제가 발생하면 사상누각이 될 것이다.

생체정보는 내 머릿속에 있는 것이 아니고 내 마음대로 변경할 수 없는 나 자체인 것(Something you are)으로 비밀이 보장되는 인증수단이 아니라는 생체인증의 한계를 정확히 인식해야 한다.

박경양 하렉스인포텍 대표 park@moca.co.kr