FIDO 인증 획득 기업이 늘어나면서 생체인식을 활용한 인증이 대세로 떠오르고 있지만, 생체정보 유출시 심각한 피해를 입을 수 있다는 우려에서 자유롭지 못하다. NFC 기술을 이용한 2팩터 인증, 보안칩을 이용한 하드웨어 인증 기술 등이 주목을 받으면서 다양한 활용 사례를 만들어가고 있다. 차세대 인증으로 부상하고 있는 기술을 살펴본다.<편집자>

사용자 행위 인식 기술로 생체인식 위험성 배제

공인인증서가 보안에 취약한 것은 공인인증서 하나로 금융거래, 공공기관의 온라인 민원 서비스, 세금납부, 연말정산 등 수많은 서비스가 가능하기 때문이다. 공인인증서가 저장된 NPKI 폴더는 쉽게 복사해 이동할 수 있으며, 비밀번호만 알아내면 다른 사람이 얼마든지 공공·금융 서비스를 이용할 수 있다.

보안을 위해서는 공인인증서를 안전한 저장소에 저장해야 하며, 강력한 비밀번호를 설정하고, 정기적으로 바꿔야 한다. 현재 공인인증서 비밀번호는 숫자, 영문자, 특수문자를 포함해 10자리 이상 입력해야 하는데, 비밀번호 조합이 너무 복잡해 기억하기 어렵기 때문에 생체인식 기술과 같은 간편한 비밀번호 대체 방법이 제안된다.

비밀번호를 복잡하게 만드는것은 브루트포스 공격처럼 무작위로 비밀번호를 대입하는 공격으로부터 보호하기 위한 것이다. 6자리 패스워드는 0.000025초면 깰 수 있지만, 복잡한 문자, 숫자 조합의 8자리 비밀번호는 2일 이상, 9자리는 7개월 정도 걸린다.

생체인식 외에 다른 방법으로도 비밀번호 대체가 가능하다. OTP, 스마트폰-NFC카드 등 사용자가 가진 2개의 매체를 이용한 인증 등이 그 대안이 될 수 있다. 스마트폰-NFC카드는 간편한 본인확인 수단으로도 사용될 수 있어 핀테크 서비스의 차세대 인증 기술로도 소개된다.

생체인식 기술 중 행위인식 기술로 비밀번호를 대체하는 방법도 제안된다. 생체정보는 유출되면 심각한 피해가 발생한다는 문제가 있다. 사람의 행위와 습관은 그 사람만의 고유한 특징을 패턴화하기 때문에 유출된다 해도 다른 사람이 무단으로 사용할 수 없다.

생체행위인식 기술은 수기서명을 이용한 인증 기술이 제안된다. 시큐브, KTB솔루션 등이 제안하는 수기서명 인증은 사용자가 사인을 하는 행위를 분석해 본인인증을 수행한다. 본인인증 과정에서 추가인증을 위해 제안된다.

시큐브는 수기서명인증 ‘퀵사인’의 FIDO 인증을 획득했으며, QR코드 인증과 모바일 간편인증을 접목해 PG 서비스 사업을 전개하고 있다. 일반 사용자를 위해서는 간편결제 서비스를 제공할 계획이며, B2B 서비스로 결제 플랫폼을 제공한다는 계획이다.

사용자 소지기반 인증 기술로 간편성·보안성 높여

현재 생체인증이 차세대 인증 기술로 가장 주목할 만한 기술로 꼽히지만, 생체정보 유출로 인한 위험을 배제할 수 없다. 생체인증처럼 간편하면서 보안성이 높은 또 다른 기술들도 빠르게 확산되고 있다.

그 중 하나가 스마트카드를 이용하는 것이다. NFC 기능이 있는 스마트폰과 스마트카드를 가까이 대 인증을 수행하는 것으로, 본인이 가진 2개의 매체를 이용한 강력인증에 속한다. 현재 스마트카드를 이용하는 스마트OTP와 간편결제 서비스가 상용화 된 상태이다.

에이티솔루션즈의 스마트OTP는 KB국민은행 ‘스마트원’ NH농협은행 ‘OTP 거래연동 서비스’ 등에 사용되고 있다. NFC카드는 OTP보다 소지가 간편하고 배터리가 필요 없어 반영구적으로 사용된다.

NFC카드와 스마트폰을 가까이 댄 후 비밀번호만 입력하면 결제가 이뤄지는 ‘NFC 간편결제’는 한국NFC가 제공한다. NFC 간편결제는 인터파크, 아모레퍼시픽몰 등에서 삼성카드를 이용해 결제할 수 있으며, 10월 4개 신용카드가 추가될 예정이다.

황승익 대표는 “간편결제 서비스 재이용률이 10%도 되지 않는데, NFC간편결제는 62%의 높은 재이용률을 보이고 있다. 한 번 경험한 사람은 계속 사용한다는 것을 의미한다. 카드번호 입력할 필요가 없어 키 입력을 통한 개인정보 탈취 우려가 없어 보안도 강화된다”고 밝혔다.

한국NFC는 이 기술을 본인확인에도 적용하고 있다. 신용평가기관과 함께 진행하는 신용카드 본인인증 서비스는 연내 정식 출시될 예정이며, 이동통신사의 본인확인 서비스보다 저렴한 비용으로, 안전하게 진행될 수 있다.

한국NFC가 신용카드 본인인증 서비스를 시작한 이유는, 휴대폰이나 아이핀이 없는 재외국민, 어린이, 외국인 등은 이동통신사의 본인인증 서비스를 사용하지 못한다는 문제를 해결하기 위한 것이다. 알뜰폰을 이용하는 사람도 통신사를 통한 본인인증에 제약이 있으며, 공인인증서를 이용한 본인확인은 유료 공인인증서를 발급받아야 해 비용부담의 제약이 있다. 아이핀을 발급받기 위해서는 휴대전화가 있어야 하기 때문에 휴대폰 없이는 본인확인이 어렵다.

우리나라 본인확인 기관은 이동통신 3사와 신용평가사 3곳이지만, 이통3사가 본인확인 서비스를 독점하고 있는 상황이다. 통신사는 본인확인 서비스 한 건당 40원씩, 연 550억원의 수익을 올리는 것으로 알려진다. 본인확인을 위해 부담되는 비용도 문제이지만, SMS 탈취 공격이 늘어나고 있다는 점도 문제다.

황 대표는 “현재 규제에 신용카드를 이용한 본인확인 서비스도 가능한 것으로 되어있으며, 방송통신위원회, 금융위원회 등과 1년 이상 협의한 끝에 정식 서비스 출시가 가능하게 됐다”며 “신용평가기관이 서비스 기관 신청하면 12월부터 서비스 할 수 있게 될 것이다. 이통사의 본인확인 서비스보다 저렴한 가격으로, 보다 안전하게 서비스를 제공할 수 있을 것”이라고 말했다.

그는 이어 “현재 국내 본인인증의 문제는 이동통신사에 지나치게 의존하고 있으며, 불필요하게 많은 분야에서 복잡한 인증 절차를 요구한다는 것”이라며 “다양한 핀테크 서비스가 등장하기 위해서는 다양한 인증방법을 제공해 업무 특성과 중요도, 다양한 고객 환경에 맞게 선택할 수 있어야 한다”고 말했다.