스페셜 리포트
은행거래, 홍채 인증으로 가능해져…한 번 유출되면 평생 '무용지물' 한계도
또 1999년 개봉된 영화 ‘쉬리’에서는 국가 정보기관에 출입하기 위해 주인공이 손등 정맥으로 보안 인증을 하는 장면도 나온다. 이는 혈관 인식 시스템으로 생체 내부에 자리한 혈관 패턴의 분포 특성을 인식, 개인을 식별하는 기술이다. 이처럼 영화 속에나 등장하던 생체 인증 기술이 이제 우리의 실생활에 들어왔다.
삼성전자의 스마트폰 ‘갤럭시 노트7’에 홍채 인식 기능이 탑재되면서 생체 인증에 대한 관심이 높아지고 있다. 홍채는 동공 주위에 자리한 조직으로 수축과 이완을 거듭한다.
이 때문에 홍채 정보는 한 번 성장기에 형성되면 평생 변하지 않는 데다 좌우 측 눈이 서로 다르다. 또 홍채가 같을 확률은 5억 분의 1로 낮고 식별 특징이 266개에 이르는 것으로 알려져 40여 개에 불과한 지문 인식 패턴보다 보안성이 높다.
◆ 갤럭시 노트7, 홍채 인증 기능 탑재
이 때문에 높은 수준의 보안성을 필요로 하는 금융권을 중심으로 생체 인증 도입이 속도를 붙이고 있다. 특히 금융감독원이 8월 11일 홍채·지문·정맥 등 생체 인증 방식의 모바일 뱅킹을 통해 거래 내용 조회와 50만원 이하 소액 송금을 허용하기로 하면서 많은 은행들이 생체 인증 서비스를 도입할 것으로 보인다.
KEB하나은행과 우리은행은 이미 홍채 인식 기술이 탑재된 삼성전자 갤럭시 노트7 기기를 이용해 홍채 인증만으로 로그인은 물론 이체와 송금 등 각종 금융거래를 할 수 있는 서비스를 내놨다.
또 생체 인증을 통해 자동화기기(ATM)에서 현금을 인출할 수 있는 기능도 출시됐다. 우리은행과 IBK기업은행은 입출금, 계좌 조회 시 카드나 통장 없이도 홍채 인증만으로 거래할 수 있는 ‘홍채 인증 ATM’을 선보였다.
우리은행은 5개 전략 점포(본점 영업부·명동금융센터·강남교보타워금융센터·연세금융센터·상암동지점)에 이 기기를 설치해 운영 중이다. IBK기업은행은 임직원용 기기 2대를 시범 운영하고 있다.
신한은행은 정맥 인증을 통해 비대면 실명 확인 후 통장을 개설할 수 있는 ‘디지털 키오스크’를 선보이며 수도권을 중심으로 24대의 기기를 설치했다.
지금까지 생체 인식 기술은 정부와 연구소 등 일부에서만 활용돼 왔지만 최근 들어 지문과 홍채 인식 등 생체 인식 서비스가 가능한 프리미엄급 스마트폰이 보급되며 생체 인증 산업에 활기를 불러오고 있다.
미국에서는 생체 인증을 활용해 정부 기관·공항·학교 등의 보안 시스템을 운영하고 있다.
미국 애틀랜타시의 트럼프마리나 카지노에서는 9200명의 사기도박 전과자 얼굴을 데이터베이스화해 사기 범죄를 막고 있다. 이 기술은 카지노에 출입하는 모든 사람의 얼굴을 카메라로 스캔해 전과자와 비교하고 이들의 출입을 차단하거나 관찰하는 식으로 범죄를 예방한다.
또 애리조나 주의 한 중학교에서는 생체 인식 기술을 성범죄 예방에 활용하고 있다. 이 장비는 학교 출입문에 설치된 카메라에 찍힌 얼굴의 특징을 분석해 해당 인물이 범죄자인지 여부를 판단한다. 만약 범죄자와 인상착의가 유사하면 학교 내의 보안을 강화하고 경찰에 신고하는 등의 방법으로 범죄를 예방한다.
한국과학기술정보연구원에 따르면 올해 세계 생체 인식 시장 규모는 117억 달러에 이를 것으로 추정된다. 이는 2012년 62억 달러보다 2배이상 증가한 수치다. 한국 시장도 올해 2억6500만 달러로 2012년 1억5100만 달러보다 1억 달러 이상 확대될 것으로 전망했다.
시장이 커지면서 글로벌 기업은 물론 국내 기업들도 생체 인증 개발과 사용에 힘을 싣고 있다.
애플은 2012년 지문 인식 솔루션 업체 어센텍을 3억5600만 달러에 인수해 2013년 9월 지문 인식 센서를 탑재한 아이폰 5S를 출시했고 2015년 9월 출시한 아이폰 6S 등에는 새로운 터치 지문 인식 기술인 ‘포스터치’를 적용하기도 했다. 또 애플페이를 출시하면서 지문을 통한 간편 결제가 가능하도록 만들었다.
구글은 2015년 출시한 ‘안드로이드 6.0’과 ‘안드로이드 페이’에 지문 인식 기능을 정식 추가해 안드로이드 OS에 처음 생체 인식 기술을 지원했다. 이를 통해 구글 플레이 스토어 애플리케이션 결제와 안드로이드 페이 등에서도 지문 인식을 사용할 수 있게 됐다.
마이크로소프트는 음성인식 ‘코타나’와 지문·얼굴 인식으로 로그인하는 ‘윈도헬로’ 등 생체 정보를 ‘윈도10’에 적용했다. 코타나는 음성을 인식할 뿐만 아니라 이를 해석해 검색과 정보까지 제공한다. 또 윈도10을 통해 얼굴·홍채·지문 등 생체 인식 기능이 탑재된 제품도 출시될 예정이다.
미국 방위산업체 L1은 미국의 아이덴틱스(지문 인식 업체), 영국의 이리디안(홍채 인식 업체), 프랑스의 비사지(얼굴 인식 업체)를 인수·합병(M&A)했고 최근에는 프랑스 사프란을 흡수하며 시장 지배력을 키우고 있다.
영국의 대표적 홍채 인식 전문 업체인 HRS는 얼굴·정맥·지문·행동 인식 등 다양한 분야의 생체 정보를 포괄하는 출입자 관리 시스템을 제공하고 일본 어드밴스미디어는 주파수 성분과 시간 변화 분석을 통해 음성을 판별해 내는 기술을 개발했다.
중국 최대 전자 상거래 업체 알리바바 역시 얼굴 자체를 비밀번호처럼 활용하는 결제 시스템 ‘스마일 투 페이’를 선보였다.
또 고객 편의를 위해 생체 인증 서비스를 도입한 회사들도 있다. 먼저 SK텔레콤은 2014년부터 ‘보컬 패스워드’라는 화자 인증 기술을 이용한 목소리 인증 서비스를 제공 중이다.
이 서비스는 일반적인 목소리 모사와 달리 말하는 속도, 습관, 음성 주파수 등을 통해 인증하는 방식이다. 이 서비스를 통하면 기존 사용자가 본인 인증을 받기 위해 고객센터에 주소·생년월일 등 개인 정보를 말해야 하는 번거로움을 줄일 수 있다.
KT도 최근 생체 인증으로 휴대전화 본인 확인이 가능한 ‘KT 인증’ 애플리케이션을 선보였다.
이용자 본인만 사용할 수 있는 개인 식별 번호(PIN), 지문, 목소리를 등록한 뒤 휴대전화 결제 등 본인 인증 수단으로 사용할 수 있도록 했다. LG유플러스는 오는 10월 지문 인식 등 생체 인증이 가능한 ‘유플러스 인증’ 서비스를 내놓을 예정이다.
SK C&C도 미래에셋대우와 함께 실명 확인과 공인인증서를 대체할 솔루션을 지난해 개발했다. ‘후아유(Who Are U)’를 줄여 ‘WAU’라는 이름으로 내놓은 이 솔루션은 아이디·비밀번호·공인인증서 대신 얼굴과 음성 인식만으로 금융 소비자들의 신분을 확인할 수 있다.
삼성SDS도 지난해 온라인이나 모바일 결제 때 공인인증서 대신 지문으로 본인을 확인할 수 있는 간편 결제 서비스를 선보였다.
보안업계에서는 지문이나 홍채처럼 타고난 특징 외에도 서명이나 음성, 보행 자세 등을 보안 기술로 활용하기 위한 연구가 계속되고 있다. 특히 홍채 인식보다 편리하고 보안성이 뛰어난 생체 인증 시스템을 찾기 위해 신체 여러 부위와 행동들을 연구 중이다.
그중 서명은 글을 쓰는 획수와 시간, 방향, 글을 쓰는 방법 등 행동 패턴을 보안에 활용하기도 한다.
구글은 행동 패턴을 이용한 생체 인증 방식을 개발 중이다. ‘프로젝트 아바커스(Project Abacus)’는 사용자의 자판 터치 습관, 현재 위치, 음성 패턴, 얼굴 인식 등을 조합해 스마트폰 주인이 맞는지 확인한다.
또 두개골 진동 패턴을 통한 암호도 개발 중이다. 독일의 한 대학은 안경 형태의 컴퓨터를 이용해 사용자 두개골의 진동을 감지한다. 사람의 두개골 진동은 독특한 신체 특징을 가져 식별률이 97%에 이른다.
심전도를 이용하는 손목 밴드도 있다. 밴드를 통해 사용자의 심전도가 체크되고 이 기기가 개별 기기와 블루투스를 통해 연결돼 실제 이용자를 인증하는 방식이다.
하지만 최근 생체 인증 열풍에 우려 섞인 시각을 보내는 전문가들도 있다. 특히 공인인증서나 보안카드보다 안전도가 뛰어나고 편리하지만 해킹이나 3D 프린터 복사 등의 문제가 발생할 수도 있기 때문이다.
지문 인식은 이미 일부 공무원이 실리콘으로 지문을 본떠 부당 초과근무 시간을 채우다 적발되기도 했는가 하면 같은 수법으로 인감증명서를 허위 발급받아 50억원대 부동산의 명의를 임의로 변경한 사례도 있다.
게다가 국내에선 주민번호 등록 시 지문 정보를 함께 제공하기 때문에 정부 기관이 해킹되면 지문 정보까지 노출될 가능성이 높다.
실제로 지난해 미국 인사관리처에 보관된 공무원 지문이 중국 해커 집단에 탈취돼 공무원 개인 정보 2200만 건, 지문 정보 560만 건이 유출된 바 있다.
또 독일 해커 단체는 구글을 통해 수집한 고화질 사진을 바탕으로 블라디미르 푸틴 러시아 대통령의 홍채를 공개했다. 이들은 사진과 3D 프린터를 이용했다.
이 때문에 생체 인증 시스템을 도입한 금융사들은 금융사 서버에 개인 정보를 저장하는 대신 스마트폰 등 개인 단말기에 정보를 저장했다가 불러오는 방식을 취한다.
특히 주민번호나 보안카드 등과 달리 생체 정보는 생존하는 동안 영구적이기 때문에 한 번 노출되면 해당 생체 정보는 더 이상 사용할 수 없게 되는 문제점도 있다.
이런 중요성 때문에 무분별한 생체 정보 수집과 보관 등을 법으로 명확히 규정해야 한다는 지적도 나오고 있다.
한 보안 업체 관계자는 “국내에서는 이미 전 국민의 주민번호는 물론 개인 공인인증서까지 해킹되고 있는 상황”이라며 “생체 정보도 반드시 해킹되지 않는다고 확신할 수 없다”고 말했다.
특히 그는 “법으로 생체 정보에 대한 수집이나 보관, 책임 소재를 명확히 해야 한다”면서 “개개인의 생체 정보가 해킹되면 주민번호 유출과는 비교할 수 없는 재앙이 될 것”이라고 밝혔다.
[생체 인식 기술은…]
생체 인식 기술은 신체 특성 또는 행위 특성을 자동적으로 측정해 신원을 파악하는 것으로 정의된다.
국내의 생체 인식 포럼에서는 행동적·생물학적(해부학적·생리학적) 특징의 관찰에 기반 한 사람의 인식으로 정의하고 있다.
또 신체 정보는 인간의 신체에서 직접적으로 정보를 추출하는 것으로 지문 인식, 홍채 인식, 망막 인식, 손 모양 인식, 안면 인식의 방법이 있다. 행위 특성을 이용하는 방법은 음성인식·서명 등이 이용된다.
영화 ‘킹스맨’에는 걸음걸이로 신원을 인증하는 보안 시스템이 등장하는데, 이런 보행 인식 기술도 이미 활용되고 있다.
또 고대 이집트에서는 사람의 키를 측정해 개인의 신원을 확인하기도 했고 1960년대 후반과 1970년대 초반의 생체 인식 기술 장비는 사람의 손가락 길이를 측정해 인증에 사용하기도 했다.
[한경비즈니스=김태헌 기자] kth@hankyung.com
시간 내서 보는 주간지 ‘한경비즈니스’ 구독신청 >>
© 매거진한경, 무단전재 및 재배포 금지