[ET단상]생체 인증 시대, 편의성과 보안성이 중요하다

최근 금융업계에는 고객의 편의성을 높이는 게 최대 화두다. 금융규제 개혁과 함께 결제 과정을 간소화하는 핀테크 간편결제 서비스가 우후죽순 생겼다. 최근에는 비대면 실명 인증이 허용되면서 은행 창구를 찾지 않의도 계좌 개설을 비롯한 다양한 금융 서비스를 이용할 수 있다.

비대면 실명인증은 영상통화나 생체 정보 등을 바탕으로 직접 얼굴을 맞대지 않고도 개인을 식별해 내는 과정이다. 기존의 비대면 거래는 공인인증서가 본인 인증 수단으로 이용됐다. 공인인증서는 액티브X를 추가 설치하는 복잡한 과정을 요구하며, 타인이 악의로 도용하거나 위임 여부를 제대로 확인할 수 없다는 문제점이 있다.

이러한 비대면 인증 수단의 단점을 해소하기 위해 사용자가 별도로 기억해야 하는 정보는 물론 토큰 등 별도의 장비 없이도 본인 신체의 고유 정보를 이용하는 생체인증 기술이 새로운 수단으로 떠올랐다.

시장에서는 생체 인증이 조만간 비밀번호를 대체할 것으로 보고 있다. 이미 해외에서는 애플 페이가 지문을 통한 생체 인증을 도입했다. 국내에서도 신한은행이 손바닥 정맥 인증으로 무인 거래 시범 서비스를 시작했다.

금융기관이 생체인증 도입 경쟁에 나서고 있는 가운데 생체 데이터 보안 문제가 제기되기도 한다. 생체인증은 액티브 X의 악몽에서 벗어날 편의성을 제공하는 기술인 건 분명하다. 하지만 편리한 만큼 이중 삼중의 보안 대책도 필요하다. 생체 정보는 평생 바뀌지 않을 뿐만 아니라 유출된다고 하더라도 바꿀 수 없는 고유 정보이기 때문이다. 대규모 사이버 공격으로 유출된 개인정보가 생체 정보라면 그로 인한 피해는 상상을 초월한다.

이 때문에 금융기관은 생체인증 서비스나 솔루션 도입에 기능과 성능뿐만 아니라 유출 위험 등 보안성도 확보해야 한다. 즉 생체정보 보호가 가능할 정도로 보안성을 충분히 갖췄는지 심도 있게 고려해야 한다. 생체 정보에 대한 명확한 이해가 선행돼야 한다는 의미다.

생체 정보는 통상 비정형 데이터 형태다. 비정형 데이터는 데이터베이스(DB)와 같이 정해진 구조에 저장된 데이터가 아닌 일반 데이터다. 이미지나 문서 파일, 녹취 파일, 영상 파일 등 데이터를 통칭한다. 이에 따라서 생체 인증 시스템을 안전하게 구성하려면 비정형 데이터 보호 기술은 필수다.

데이터 보안 솔루션에서 데이터 암호화 일반 솔루션은 칼럼 단위로 암호화를 지원하는 경우가 많다. 그러나 기존의 칼럼 기반 암호화로는 비정형 데이터로 이뤄진 생체 정보의 보호 효과를 볼 수 없다. 반대로 커널 레벨 파일 단위의 암호화 기반 보안 솔루션은 여러 종류의 DB는 물론 로그 파일, 이미지, 영상, 음향 등 비정형 데이터까지도 암호화할 수 있다. 이에 따라 생체인증 보안을 위한 해결책으로 자리 잡고 있다. 생체인증 솔루션 기업은 이러한 전문 비정형 데이터 암호화 솔루션과의 연동도 고려해 볼 필요가 있다

정보기술(IT)업계에서는 흔히 편의성과 보안성은 양립하기 어렵다고 한다. 편의성을 추구하면 보안성은 오히려 약화된다는 의미다. 생체인증 기술이 편의성과 보안성이라는 두 마리 토끼를 잡으려면 생체 데이터의 이해는 기본이다. 이를 토대로 효과적인 보안 대책을 마련할 수 있다.

이문형 한국보메트릭 대표 moonlee@vormetric.com