FIDO 인증 획득 기업이 늘어나면서 생체인식을 활용한 인증이 대세로 떠오르고 있지만, 생체정보 유출시 심각한 피해를 입을 수 있다는 우려에서 자유롭지 못하다. NFC 기술을 이용한 2팩터 인증, 보안칩을 이용한 하드웨어 인증 기술 등이 주목을 받으면서 다양한 활용 사례를 만들어가고 있다. 차세대 인증으로 부상하고 있는 기술을 살펴본다.<편집자>
생체인증, 강력하고 편리한 비밀번호
국내에서 가장 먼저 FIDO 인증을 획득한 그룹에 속한 라온시큐어는 생체정보를 간편인증·비대면 본인인증에 사용할 수 있도록 지원하는 ‘터치엔 원패스’를 공급한다. 터치엔 원패스는 생체인식이 비밀번호를 대체할 수 있는 인증 서비스를 제공하며, 신한은행, 부산은행, 신한카드, 현대카드 등에 금융권과 이동통신사 그리고 다양한 산업군에서 FIDO 생체 인증 기반 ‘터치엔 원패스’를 구축해 사용하고 있다.
이외에도 결제, 게임 및 포털 본인인증, 인터넷전문은행 비대면 본인인증 등 다양한 서비스에 적용 가능하며, 스마트폰, 스마트카, 스마트홈 등 기기 접근제어 시 본인인증이 필요한 사물인터넷(IoT) 전반에 적용할 수 있다.
SGA솔루션즈의 ‘트러스트채널 FIDO’는 국내 이동통신사와 코스콤에 공급됐으며, 에이티솔루션즈와 핀테크 공동사업을 진행하면서 차세대 인증 시장을 공략하고 있다. SGA솔루션즈는 공동 사업을 통해 스마트OTP와 IC카드의 공인인증을 FIDO인증 수단으로 도입해 FIDO 인증 사업을 확대해 나갈 예정이다.
한컴시큐어는 FIDO UAF, U2F 인증을 모두 획득했으며, 기존의 개인 소지 기반 인증서 서비스에서 모바일, 생체인증, 클라우드가 접목된 편리하고 강력한 인증 솔루션을 개발하고 있다. 무설치 HTML5 기술로 개발된 공인인증 서비스 ‘애니사인 라이트’와 클라우드 기반 ‘제큐어 프리사인’, 생체인증 기반 ‘제큐어패스’가 대표적인 제품이며, IoT 기기와 스마트카에 적용되는 인증 기술도 개발하고 있다.
차현성 한컴시큐어 부장은 “한컴시큐어는 오랜 기간 PKI 기술을 기반으로 한 인증서비스를 개발·공급해왔으며, 이 기술을 바탕으로 높은 보안성과 편의성을 보장하는 FIDO 인증 간편인증 서비스를 개발할 수 있었다”며 “생체인식 기술 기업과 긴밀한 협력을 맺고 이 시장을 적극 공략할 것”이라고 말했다.
공인인증서 서비스를 제공하는 기업들이 생체인식 기술을 결합하면서 한 차원 높은 간편인증 서비스를 발빠르게 제공하고 있다. 한국정보인증은 삼성페이 지문인증 서비스를 제공하고 있으며, 우리은행과 협업해 생체기반 공인인증서를 발급하고 있다.
한편 금융결제원은 금융서비스에 생체정보가 안전하게 사용될 수 있도록 금융권 공동 바이오인증 정보 분산관리센터 설립을 준비하고 있다. 이 센터는 개인의 생체정보를 제 3 기관에 원격 보관하기 위한 것으로, 사용자 생체정보를 금융사와 금융결제원이 나눠 보관한다. 만약 한 기관이 생체정보를 유출당한다 해도 나머지 정보가 없으면 생체인식이 불가능해 유출로 인한 피해를 줄일 수 있다.
생체인식 이용해 공인인증서 안전하게 사용
갤럭시 노트7의 홍채인식 기술이 화두가 됐을 때 일반에 잘못 알려진 것 중 하나가, 홍채인식이 공인인증서를 대체한다는 것이었다. 정확히 말하면 생체인식은 공인인증서의 비밀번호로 사용되는 것으로, 공인인증서는 사라지지 않는다.
박상환 KISA 차세대인증보안팀장은 “공인인증서는 매우 높은 수준의 보안성과 편리성을 제공하는 인증 제도이다. 공인인증서를 사용하지 않으면 사용자는 은행별, 서비스 기관별로 각각 다른 인증서를 발급받아야 해 사용이 매우 불편해 질 것”이라며 “KISA는 공인인증서를 사용자들이 보다 편리하고 안전하게 이용할 수 있는 다양한 방법을 안내하고 있으며, 생체인식이 그 방법 중 하나로 제안되는 것”이라고 말했다.
KISA는 생체인식 기술을 이용해 공인인증서를 안전하게 사용할 수 있도록 지원하는 ‘간편 공인인증서 인터페이스 가이드라인’을 만들어 배포했다. 단말 제조사와 공인인증기관, 보안 토큰업체와 함께 작성한 이 가이드라인에는 스마트폰의 트러스트존, USIM, 금융IC카드 등 보안매체에 저장된 공인인증서를 PC 또는 노트북에서 액티브X 등 별도 프로그램 설치 없이 웹 표준 기술 환경으로 사용하는 기술적 요구사항을 담았다.
공인인증서에 대한 부정적인 시각이 많지만, 이론적으로 공인인증서는 보안성과 편리성을 모두 충족하는 인증 방식이다. 모든 국민에게 단일한 인증제도를 강요하고, 인터넷 익스플로러만을 사용하도록 했으며, 공인인증서 유출 문제를 개인의 관리 소홀로 돌리는 등 정책적인 부분에서 문제가 있었을 뿐, 기술적으로는 안전하다는 것이 업계의 평가이다.
KISA는 공인인증제도가 가진 고질적인 문제를 해결하기 위해 액티브X 없이 설치되는 공인인증서 기술을 개발하도록 했으며, 웹브라우저 혹은 트러스트존·하드웨어 보안영역(SE), USIM 등 안전한 보관소에 보관하는 기술을 통해 공인인증서 유출 문제를 해결하도록 했다. 공인인증서 비밀번호를 복잡하게 설정하도록 해 공인인증서 유출시 비밀번호를 안전하게 지키도록 했으며, 생체인식 등 추가인증 혹은 강력한 비밀번호를 설정하도록 했다.
박 팀장은 “현재 금융거래는 공인인증서 외에 다른 방법으로도 인증과 거래확인이 가능하다. 그 외의 공공 서비스는 규제가 풀려야 하는 부분이 있어 단시간에 해결되기는 어렵지만, 공인인증 제도의 문제를 해결하고 보다 안전하게 인증 서비스를 이용할 수 있도록 지속적인 노력을 진행하고 있다”며 “공인인증서가 채택한 인증 기술은 중국 알리페이도 적용하고 있으며, 다른 국가에서도 관심을 갖고 있다. 다른 나라에서 가장 높은 보안 수단으로 공인인증서 제도를 검토하고 있는 만큼, 우리나라에서도 부정적인 시각을 걷어내고 다양한 분야에서 활용될 수 있도록 노력할 것”이라고 설명했다.
