퇴근 후 지하철에서 스마트폰을 보던 A씨는 이번 주 안에 기저귀를 주문해야 한다는 사실을 깨닫고, 바로 쇼핑 앱을 실행하여 장바구니에 담은 후 간편결제를 실행하고 엄지손가락을 대어 지문인증을 하여 결제를 완료한다. 결제완료 및 배송정보는 바로 메시지나 톡으로 전달된다.
요즈음 흔히 볼 수 있는 풍경이다. 여섯 자리 비밀번호를 넘어서서, 이제 지문인증을 통한 원터치 결제도 상용화되고 있다. 머지 않아 이체거래와 같은 인터넷뱅킹도 지문인증으로 가능해질 것이다.
스마트폰의 지문인식 기술은 아이폰6와 갤럭시노트4에서 처음으로 대중화되었는데 이제는 다양한 금융거래에서의 본인인증방식으로 응용되고 있다. 지문인식 뿐만 아니라, 정맥, 홍채 등 다양한 생체정보를 이용한 기술, 나아가 이를 보완하기 위한 동적 서명인식기술까지, 모바일 기기에 다양한 기술이 활용되면서 인증기술은 하루가 다르게 발전하고 있다.
지문인증 관련 기술은 여러 가지가 있으나, 최근에는 디바이스 기반 인증 방식인 FIDO 방식이라고 하는 공개키 암호화 기반 인증기술에 기반한 방식이 널리 사용되고 있다. 즉, (1) FIDO 등록절차, 즉 단말기에 등록한 지문과 동일한 지문인증을 통하여 개인키/공개키 쌍을 생성하고 그 공개키를 서버에 등록하는 절차와 (2) FIDO인증절차, 즉 단말기 지문인증을 통하여 본인인증 후 개인키를 이용한 전자서명, 전자서명된 메시지의 공개키 검증의 프로세스에 따르게 된다.
삼성전자의 스마트폰에서 구동되는 삼성페이의 지문인증을 시작으로, 이와 같은 지문인증을 통한 금융거래는 앞으로 계속 활성화될 조짐이다. 즉, 디바이스 자체의 본인인증 뿐만아니라, 금융거래 앱 상에서의 본인인증도 지문인증으로 대신하는 프로세스, 즉 공인인증서를 통한 인증을 대체하는 기능이 이미 상용화되었다. 모바일 금융거래를 위하여 스마트폰을 PC에 연결하고 인증서 내보내기/불러오기부터 하여야 하는 불편한 절차가 편리한 지문인증으로 대체되는 것이다. 업계에서 예상하는 바와 같이, 이번에 일회용 비밀번호(One Time Password) 사용의무까지 폐지된다면, 사실상 지문인증 하나로 인터넷뱅킹을 통해 송금을 하고, 주식거래를 하는 것도 얼마든지 가능하게 되는 것이다.
생체인증 기술과 법적 이슈
이와 같은 생체인증기술의 이용과 관련하여, 사실 금융관련 법령에서의 제도적인 장애물은 거의 존재하지 않는다. 생체정보는 전자금융거래법상 접근매체로서, 통상적인 다른 접근매체와 같이 적정한 관리 하에 인증프로세스로 사용할 수 있다. 아울러, 지난 법 개정으로 공인인증서 사용의무를 폐지하여 기술중립성을 구현하였기 때문에, 금융회사 자체 보안성 검증 및 판단에 따라 이러한 인증프로세스를 선택하여 구현할 수 있다. 또한 개인정보 및 신용정보 보호의 관점에서도 고객으로부터의 사전동의 등 필요한 요건을 갖추고 기술적으로 요구되는 안정성을 확보하여 관리하면 그 이용에 특별히 문제는 없다.
하지만, 예상과 달리, 생체인증과 관련하여 필자가 가장 많이 받는 질문은 바로 법률적으로 생체인증에 부인방지의 효력이 인정될 수 있는지 여부이다. 부인방지는 해당 거래 당사자가 본인의 행위임을 부인할 수 있는 가능성, 즉 타인의 명의도용거래의 가능성을 방지하는 것을 의미한다. 그런데 전자서명법에서는 공인인증서에 기초한 전자서명에만 부인방지의 추정효를 부여하고 있다. 따라서 공인인증서가 사용된 거래에 대하여는 자기가 한 것이 아니라고 주장하는 이용자가 도용사실을 증명해야 하는 것에 반해생체인증을 통한 거래는 금융회사가 이용자 본인의 행위였음을 증명해야 하는 차이가 있다.
실제 FIDO 방식 인증기술은 기술적인 부인방지의 효과가 탁월한 것으로 알려져 있으므로 현실적으로 얼마나 차이가 있을지는 미지수이다. 그러나, 결국 생체인증기술 또한 타인 지문등록, 도덕적 해이(moral hazard)에 따른 명의자와 범죄자의 결탁 범죄를 모두 통제할 수는 없다.때문에, 결국 금융회사 스스로가 이러한 리스크를 판단하여 생체인증프로세스의 도입 여부를 결정할 수 밖에 없다. 공인인증서 외의 생체인증 등 다양한 방법의 인증방식에 대하여도 높은 기술 수준이 인정되는 경우 부인방지의 효력을 부여하는 방향으로의 입법적인 논의가 필요한 시점이다.
생체인증이 과연 완벽한지 여부에 대하여도 많은 논란이 있다. 영화 ‘마이너리티 리포트’에 나오는 타인의 안구를 이용한 홍채인식 장면까지 떠올리지 않더라도, 실리콘 복제 지문이나 고화질 촬영을 통한 홍채정보의 도용가능성은 이미 보고된 바 있다. 그리고 이러한 문제점 때문에, 비대면 인증에 대하여 우려의 목소리 내지 신중론도 나오고 있는 것도 사실이다.
그렇지만, 급속도로 발전하는 생체인증을 포함한 인증기술은 금융서비스의 혁신을 위하여 보다 적극적으로 지원되고 채용될 필요가 있다. 물론, 기술적인 한계 또는 예측하지 못한 취약점에 의하여 부정사용 등 부작용도 발생할 수 있다. 하지만, 그러한 리스크는 어찌 보면 애당초 ’방지’하여야 하는 것이 아니라 ’통제’하여야 하는 것일지도 모른다.
대면신분증확인 및 인감증명의 시대에도 신분증위조와 인감위조를 통한 사고는 항상 존재했다. 대면인증은 안전하고 비대면인증은 위험하다는 이분법적 인식에서 벗어나, 그러한 기술혁신의 과정에서 유발되는 리스크를 어떻게 통제하고 소비자 권익을 보호할 것인지의 관점으로 접근할 필요가 있다. 또한 개인정보보호법, 신용정보법 등 관련 법령과 규제 리스크와 고객과의 분쟁 관련 리스크를 컴플라이언스의 관점에서도 유의할 필요가 있다. 보다 적극적이고 혁신적인 시장의 움직임과 감독당국의 지원을 기대해 본다.
이준희 financeitlaw@gmail.com MSX컴퓨터로 BASIC을 배우고 PC를 조립해보던 청소년 시절을 보냈다. 10년 가까이 금융전문 변호사로 활동하다 2010년부터 김앤장법률사무소에서 전자금융과 금융정보보호, 핀테크 업무를 총괄하는 금융IT팀의 책임변호사로 활동하고 있다. 국내외 유수 금융회사 뿐만 아니라 다수의 IT/온라인서비스 회사와 혁신적 스타트업에 이르기까지 다양한 고객군에 대하여 법률자문과 컨설팅서비스를 제공하고 있다.