◇생체인증 악용한 범죄 우려 = 생체인증 기술은 안전하고 편리한 보안 인증 수단이다. 하지만 이를 활용한 범죄가 늘어나면서 기술적으로 해결해야 할 숙제가 남아있다.
올해 2월에는 지문인식을 통해 출퇴근을 관리하는 시스템을 속여 수당을 받아 챙긴 소방관 2명이 적발됐다. 이들은 야근을 한 것처럼 속여 수당을 타내기 위해 ‘가짜 손가락’을 만들었다. 실리콘을 이용해 손가락 본을 뜬 후 부하 직원들을 시켜 근무하지 않은 시간임에도 근무 도장을 찍게 한 것이다.
이러한 범죄는 초보적인 단계에 속한다. 업계에서는 이러한 범죄를 막고자 손가락을 대면 약한 전류를 흘려보내 실제 사람의 손인지 확인하는 등의 과정을 거친다.
안면인식 기술에서는 얼굴의 굴곡, 심지어는 패턴을 확인하기도 한다. 예를 들어 얼굴만 갖다 대는 것이 아니라 얼굴을 대고 고개를 끄덕거리는 등의 사전에 설정된 행동을 보여야 인식하는 경우다.
문제점도 있다. 지문이 손상되는 상처를 입었을 경우에도 보안 인증을 해제하지 못하기 때문이다. 얼굴 인식의 경우에는 노화, 성형, 체형 변화 등에 따른 업데이트 문제도 걸림돌로 남아있다.
◇생체인증 정보 유출되면 = 생체인증 기술이 해커의 사이버 위협에 공격받아 노출되면 더 큰 보안문제를 유발할 수 있다. 생체인증 기술은 기본적으로 사람의 생체정보를 이용한 인증 시스템이다. 사람이 각각 가지고 있는 인체 고유의 특성을 활용하기 때문이다. 패스워드나 PIN번호 등은 외부에 노출될 경우 언제든지 변경할 수 있지만, 생체정보는 바꿀 수 없기 때문에 유출되면 사용하지 못하도록 아예 폐쇄할 수 밖에 없는 불편함이 있다.
이에 비씨카드와 삼성페이 등은 국제 규격에 따라 인증과 결제시 별도로 암호화된 코드를 인증서버에 저장해 일치 여부를 확인하는 방법을 채택했다. 하지만 서비스 출시가 임박한 다른 업체에서는 별도의 보안 규정을 아직 확정하지 못한 경우도 있다.
일각에서는 일반 개인정보가 암호화 등을 통해 철저히 관리했음에도 몇 번의 유출 사고를 겪은 만큼 생체인증 정보 유출도 우려된다고 지적하고 있다. 또한 생체정보 유출에 대비한 소비자 피해 규정 가이드라인을 재정비해야 한다는 지적도 나오고 있다. 이에 한국은행과 금융결제원은 공동으로 개발한 ‘바이오인증 표준 기술규격’을 통해 보안성을 확보하기로 했다.
◇편의성과 보안성… 동전의 양면 = 생체인증 방식은 기본적으로 편리하게 사용할 수 있어야 한다. 기존 비밀번호를 입력하거나 수많은 단계의 복잡한 인증절차 없이 생체인식만으로 간편하게 활용하기 위해 개발했기 때문이다. 따라서 비대면 금융거래를 위한 인터넷뱅킹, 스마트 뱅킹, 핀테크 등의 분야에서 다양하게 활용이 가능하다.
하지만 편의성과 보안성을 동시에 충족시키기는 어렵다. 비밀번호를 간소화하는 등 편의를 중시하면 보안성이 떨어진다. 또한 보안을 강화하면 비밀번호 입력 절차가 복잡해서 편의성이 약화된다. 금전이 오고 가는 금융거래 서비스에서는 어느 한쪽만 강화해서는 성공을 예상하기 어렵다.
이를 해결하기 위해 최근 한국전자통신연구원(ETRI)과 삼성SDS, 크루셜텍, 라온시큐어 등은 FIDO(Fast IDentity Online) 인증을 위한 제품 호환성 테스트를 통과했다. 간편인증과 결제 솔루션 상용화에 박차를 가하고 있는 모습이다. 한국전자통신연구원은 FIDO 기술을 국내 기업들이 쉽게 이용할 수 있도록 연내 기술 이전을 통해 널리 보급함으로써 국내 생체인증 환경 개선과 글로벌 표준화에 기여한다는 방침이다.