금융 당국과 은행권이 내부 정보접근 통제 강화의 일환으로 생체인증 도입 의무화를 추진한다. 그동안 은행들이 제각각 도입하던 지문인증, 안면인식 등 생체인증이나 개인 소유기기를 이용한 인증 도입을 강제화한다.
11일 금융권에 따르면 금융 당국은 지난해 11월 발표한 '국내은행 내부통제 혁신방안'의 일환으로 생체인식 적용과 범위를 구체화한 내부통제 시스템 전략을 수립했다. 이에 따라 오는 3월까지 비밀번호를 대체하는 생체인증이나 개인 소유기기 기반 인증을 골자로 하는 금융사 내부 인증방식 고도화에 나선다. 은행을 대상으로 먼저 적용하고 전 금융업권으로 확대할 방침이다.
그동안 금융권에서는 내부 정보 접근이 취약, 대형 사고가 잇따라 발생했다. 직원이 고객 정보를 탈취하거나 민감한 정보를 유출·판매하는 등 사회적 문제로 대두되기도 했다.
생체인증은 지문·홍채 등 기존 일반화된 방식 외 안면인식 등 새로운 바이오인증을 포함한다. 모바일OTP, 신분증 등 개인이 소유하는 기기 기반 인증도 사용할 수 있다.
금융 당국 관계자는 “지금까지 내부통제를 위한 시스템 인증 적용이 의무화되지 않았고, 적용 업무 범위나 방식도 은행마다 달랐다”면서 “생체인증이나 개인 소유기기 기반 인증 도입을 의무화하고 적용 업무범위를 명문화해 내부통제 시스템을 강화하는 것이 목표”라고 말했다.
현재 주요 은행은 내부 업무에 지문, 안면인식, 개인 스마트폰을 이용한 인증 등 다양한 방식을 채택하고 있다. 개인 PC 로그인에 비밀번호와 함께 안면인식을 적용하거나 결재 시 전용 단말을 이용한 지문인식을 활용해 왔다.
하지만 본점과 영업점 간 적용 범위가 다르거나 IT, 준법, 인사, 영업 등 다양한 내부 업무에 균일한 내부통제 시스템을 마련하지 못했다.
일부 은행은 선제 대응에 나섰다.
하나은행의 경우 업무용 PC와 스마트폰에서 모두 안면인식 기반으로 내부통제 시스템을 적용, 운용하고 있다. 비밀번호를 여러 번 입력해야 하는 경우 싱글사인온(SSO) 기반으로 안면인식 한 번이면 별도로 비밀번호를 입력하지 않아도 접속되도록 했다.
NH농협은행과 농협중앙회는 임직원이 윈도 로그인과 업무통합 로그인 시 패스워드나 인증서를 사용했지만 최근 이를 싱글사인온 기반 안면인식으로 통합하는 방식으로 전환하고 있다.
생체정보를 안전하게 저장·관리하기 위해 암호화와 분산저장기능을 갖췄다. 대시보드에서 사용자와 인증 시스템을 모니터링할 수 있다. 농협정보시스템과 유니온커뮤니티가 이같은 생체인증을 이용한 사용자 인증체계 고도화 시스템을 함께 구축했다.
은행권 내부 정보 접근 플랫폼으로 생체인증이 떠오르면서 관련 업계의 성장 기대감이 크다.
한 금융사 정보보호최고책임자(CISO)는 “한국은 금융 분야에서 일부 생체인증을 도입하고 있지만 아직은 초기 단계”라면서 “이번 은행권 생체인증 의무화로 금융 보안을 강화하고 후방 IT산업에도 큰 기회가 될 수 있다”고 말했다.
[표]은행·중소서민 권역에서 발생한 금전사고 유형별 발생 현황 (단위: 건, 억원) (자료=금융감독원)
배옥진기자 withok@etnews.com