본문 바로가기

광고

광고닫기

광고

본문

광고

경제 금융·증권

스마트폰 잃어버린 당신, 은행에 신고했나요?

등록 2017-02-12 16:38수정 2017-02-12 19:22

지문 하나로 계좌이체까지…모바일뱅킹 생체인증 활용 ‘대세’
생체정보 저장소는 ‘스마트폰’, 소유자 관리 책임 커져
스마트폰 분실로 생체정보 유출시 소비자-은행-제조사 다툼 가능성
*이미지를 클릭하면 확대됩니다
“저희 은행은 이용자의 지문 정보를 보관하지 않습니다. 스마트폰에 등록된 지문의 관리, 사용에 대한 책임은 이용자 본인에게 있으므로 본인의 지문 정보가 유출되지 않도록 각별히 유의해주십시오. 만약 저장된 지문 정보가 유출되었다고 판단되면 즉시 지문 등록을 해지해야 합니다. 특히 음주나 수면시 타인에 의해 지문이 도용되지 않도록 유의해야 합니다.”

스마트폰에 지문만 갖다대면 본인인증이 돼 모바일뱅킹에 로그인할 수 있도록 한 어느 은행의 ‘지문인증 유의사항’이다. 유의사항이 말하는 바는 간명하다. 은행은 직접 지문 정보를 수집, 관리하지 않고 ‘스마트폰에 등록된 지문 정보’를 활용해 일치 여부만 확인하니 지문 정보 유출로 인한 사고 책임은 스마트폰 관리자인 ‘이용자 본인’에게 있다는 것이다.

그렇다면 금융 소비자들은 생체인증 시대에 이렇게 무거워진 ‘소비자의 책임’을 잘 알고 있을까? 지난해 말 국가인권위원회가 낸 ‘바이오 정보 수집, 이용 실태조사’ 보고서를 보면, 성인 1000명 중 44.4%가 금융거래에 생체인식 기술을 사용하는 것을 반대했다. 보고서는 ‘시민들이 다른 경우에 비해 특히 금융거래 목적의 생체인식 기술 사용에 대해 조심스러웠다’고 밝혔다. 절반 이상이 생체인식 정보의 도용·위조 가능성을 우려했고 3명 중 1명이 수집된 생체 정보의 유출을 걱정했다.

많은 금융 소비자들이 금융 거래에서 생체인증 활용을 우려하지만 생체인증을 통한 모바일뱅킹을 확산시키려는 은행들의 질주는 거침이 없다. ‘금융 소비자’인 내가 스마트폰을 잃어버렸고, 그로부터 생체정보가 유출되거나 생체인증이 조작돼 금융 사고라도 발생했을 때는 어찌 되는 것일까? 시중 은행 6곳, 이동통신사 2곳, 스마트폰 제조사 2곳에 그 답을 물었다.

■ 모바일뱅킹 생체인증 어디까지 왔나 시중은행이 운영하는 모바일뱅킹 애플리케이션과 생체인증 기술의 접목은 최근 금융권에 불어닥친 ‘핀테크(금융+기술의 합성어)’ 바람을 타고 빠른 속도로 진행되고 있다. 현재까지 생체인증만을 통해 가장 폭넓은 금융 거래를 할 수 있는 곳은 우리은행과 한국씨티은행이다.

우리은행은 지난 2일 모바일뱅킹에서 지문 인증만 하면 공인인증서나 보안카드, 일회용비밀번호생성기(OTP) 번호 등을 입력할 필요가 없도록 생체인증 서비스를 도입했다. 지문으로 로그인한 뒤 계좌이체할 때도 손가락만 한 번 더 대면 이체가 실행된다. 지난해 은행과 카드 등의 모바일 앱을 통합한 한국씨티은행은 기존에 등록한 ‘자주 쓰는 계좌’로 이체할 경우 지문만 갖다대면 500만원까지 이체할 수 있다. 신한은행은 지문만으로 50만원까지 이체를 허용하는 ‘빠른이체’ 서비스를 운영 중이다.

나머지 은행들은 아직까지 지문 등 생체정보가 공인인증서만 대체하도록 하고 보안카드 등 별도 보안번호를 입력하도록 하는 경우가 많다. 이 경우 생체인증의 최고 장점인 ‘편리성’이 떨어져 모바일뱅킹으로 금융 거래를 하는 데 드는 시간은 기존과 비슷하다. 보다 엄격한 보안을 위한 보수적인 접근인 셈이다.

하지만 시중 은행 6곳에 물은 결과, 가까운 미래에 모든 은행이 생체인증 방식 도입을 확대할 계획인 것으로 나타났다. 우선 홍채 인식 스마트폰인 삼성 ‘갤럭시 노트7’의 판매 중단 영향으로 잠시 주춤한 홍채인증 서비스가 본격적으로 확대될 전망이다. 이밖에도 은행들은 움직임·서명 등의 행동정보 인증이나 음성과 홍채의 복합인증, 목소리 인증, 손바닥 정맥 인증 등이 활용될 것이라 예측했다. 올해 두 곳의 인터넷전문은행까지 출범하면 이같은 ‘편의성’ 경쟁은 확대될 전망이다.

■ 생체인증 방식 보안 믿을 수 있나 은행들이 도입한 생체인증 방식은 이용자의 생체정보 입력값을 고객 스마트폰에 저장돼 있는 생체정보와 비교해 일치 여부를 확인하는 ‘파이도(FIDO, Fast IDentity Online) 방식’이다. 이를 이용하려면 이용자는 우선 지문이나 홍채 등 생체정보를 인식할 수 있는 스마트폰을 구입해 생체정보 인증을 받아둬야 한다. 스마트폰에 입력한 생체정보는 스마트폰 안의 보안영역에 암호화돼 저장된다.

이 방식의 장점은 지문 정보가 은행에 저장되지 않는다는 점이다. 은행과 이동통신사 쪽은 과거와 같은 개인정보 대량 유출 사태를 걱정할 필요가 없다고 말한다. 이 기관들은 “스마트폰 보안영역에 저장된 생체정보를 해킹할 수도 없고, 해킹한다 해도 생체정보를 재구성할 수 없다”는 스마트폰 제조사의 설명을 인용하고 있다.

하지만 하루 평균 5천만건 이상(지난해 3분기 기준)의 모바일뱅킹 거래가 이뤄지고 모바일 보안 위협이 증가하는 가운데 ‘100% 보안’을 장담할 순 없다. 금융보안원 관계자는 “파이도 방식의 생체인증은 은행에 이용자들의 생체정보가 모이지 않아 대량 유출의 위험은 적지만 그만큼 스마트폰 분실 시 책임 소재가 이용자에게 가게 된다”며 “보안이라는 것이 막으면 뚫리고 하는 것이다. 최근 해외 콘퍼런스에서 스마트폰 내 ‘보안영역’의 취약점도 발견돼 해킹이 어렵긴 해도 100% 불가능하다고 말할 수 없다”고 말했다.

지난해 금융보안원은 생체인증 과정에서 크게 8가지 방식의 보안 취약점이 나타날 수 있다고 분석했다. 센서를 통해 생체정보를 취득하는 입력부, 입력된 생체정보의 특징 정보를 추출하는 특징 추출부, 그 특징을 저장하는 저장소, 저장된 정보와 새로 입력된 정보를 비교해 인증 여부를 결정하는 특징 정합부 사이에서 정보를 유출하거나 조작할 수 있다는 것이다.

실제 국내에서 3D프린터를 이용해 실리콘 위조 지문을 제작해 인감증명서 등을 발급받은 사례가 있었고, 독일 해커 조직이 유명 정치인의 사진을 활용해 홍채를 복제하기도 했다. 지난해에는 미국 미시간주립대 연구진이 스캔한 지문을 일반 프린터로 출력해 최신 스마트폰의 지문인증을 우회한 사례를 발표하기도 했다.

■ 바꿀 수도 없는 생체정보, 유출되면 어떻게? 지문이나 홍채 등 생체 정보는 내가 바꾸고 싶다고 바꿀 수 있는 정보가 아니다. 일단 은행과 이동통신사, 스마트폰 제조사는 현재 생체인증 방식이 생체 정보와 스마트폰 기기 정보를 결합해 암호화한 것이어서 새로운 스마트폰에 새로 생체 정보를 입력하면 인증값이 달라지니 얼마든지 서비스를 이용할 수 있다고 설명한다.

하지만 금융권의 대량 개인정보 유출 사태로 주민등록번호를 바꾸려는 소란이 일었듯 생체정보 유출이 가져올 미래 모습도 아직 단정하긴 어렵다. 오병일 정보인권연구소 이사는 “생체인식 정보의 활용이 많아질수록 그 가치는 높아질 것이며 탈취 시도도 많아질 것”이라며 “한번 유출된 생체정보는 다른 곳에서 악용될 소지가 높아 유출에 따른 피해는 갈수록 커질 것”이라고 지적했다. 현재 은행들은 “생체인증을 활용해 모바일뱅킹을 이용하는 사람이라면 스마트폰을 잃어버리자마자 즉시 은행에 신고해 생체인증을 통한 거래를 중단해야 한다”고 강조한다. 스마트폰을 잃어버렸다고 실의에만 빠져있다가는 괜한 책임을 지게 될지 모를 일이다. 또 생체인증이 뚫려 금융 사고가 발생할 경우 보상 책임을 두고 이용자와 은행, 스마트폰 제조사 사이의 법정 다툼이 벌어질 가능성도 있다.

이은우 변호사는 “전자금융 거래에서 이용자의 손해에 대한 금융회사의 책임 범위를 규정한 전자금융거래법에서 가장 중요하게 보는 것이 ‘고객의 고의나 중대한 과실’이 있었냐 여부”라며 “보이스피싱 등 기존 금융 관련 소송에서 ‘고객의 중대 과실’이 매우 폭넓게 인정돼 피해 보상을 못 받는 것을 보면 스마트폰 분실자가 은행에 신고를 안 했다가 생체인증을 통한 금융 피해를 입었을 때 보상받기 어려울 수도 있다”고 말했다.

임지선 기자 sun21@hani.co.kr

지문·얼굴에서 홍채·정맥으로 발전…초기부터 오류·보안 불안 지적

<스마트폰 생체인증 어디까지>

생체인증이란 자동화된 장치로 개인의 신체적, 행동적 특성을 통해 신원을 확인하는 방식을 뜻한다. 생체인증에 활용할 수 있는 신체 특징은 지문, 홍채, 얼굴 모양, 정맥, 망막, 손모양 등이 있고 행동 특징은 목소리, 글씨체, 걸음걸이 등이 있다. 최근 스마트폰에 생체인식 기술이 접목되면서 모바일뱅킹, 간편결제 등 금융 영역에서도 활용 범위가 넓어지고 있다.

스마트폰에 최초로 지문인식 기능을 탑재한 스마트폰은 2011년 4월에 출시된 모토롤라의 ‘아트릭스’였다. 이후 2013년 9월 애플이 지문인식 기술을 내장한 ‘아이폰5s’를 출시하면서 본격적인 스마트폰 지문인식 시대가 열렸다. 삼성전자는 2011년 10월 ‘갤럭시 넥서스’에 얼굴인식을 도입했고 2014년 2월 출시한 ‘갤럭시S5’부터 지문인식 기술을, 지난해 8월 출시했다 판매를 중단한 ‘갤럭시노트7’에 홍채인식 기능을 탑재했다.

모바일뱅킹 생체인증은 스마트폰 제조사의 ‘생체인식 기술 역량’에 많은 부분을 기대고 있다. 하지만 초창기 스마트폰 제조사의 기술은 완벽하지 않았다. ‘아이폰 5s’는 손가락을 갖다 대는 방향이나 날씨에 따라 지문인식을 하지 못하거나, 고해상도로 촬영한 손가락 사진을 활용했더니 지문인증에 성공하는 등 보안 결함이 발견됐다. 얼굴모양 인증을 적용한 ‘갤럭시 넥서스’ 역시 사용자의 사진을 통해 잠금을 해제할 수 있어 보안에 문제를 드러냈다.

한편 2014년 이재득 금융결제연구소 전문연구역이 쓴 보고서를 보면, 본인인데도 인식을 못 하는 ‘본인거부율’과 본인이 아닌 사람을 본인으로 인식하는 ‘타인수락률’을 종합했을 때 홍채인식의 정확도(각각 최대 0.1%와 0.0001%)가 가장 높은 것으로 나타났다. 이어 손바닥정맥, 지문, 음성, 얼굴 순이다.

임지선 기자

◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani/

항상 시민과 함께하겠습니다. 한겨레 구독신청 하기
언론 자유를 위해, 국민의 알 권리를 위해
한겨레 저널리즘을 후원해주세요

광고

광고

광고

경제 많이 보는 기사

‘트럼프 트레이드’에 원-달러 환율, 2년 만에 1400원 돌파 1.

‘트럼프 트레이드’에 원-달러 환율, 2년 만에 1400원 돌파

네이버 ‘지금배송’ 나선다…쿠팡 ‘로켓배송’에 도전장 2.

네이버 ‘지금배송’ 나선다…쿠팡 ‘로켓배송’에 도전장

‘트럼프발 쇼크’…코스피 2500선↓·환율 1400원↑ 3.

‘트럼프발 쇼크’…코스피 2500선↓·환율 1400원↑

트럼프 가족모임에도 낀 ‘특급공신’ 머스크…‘IT 차르’ 등극하나 4.

트럼프 가족모임에도 낀 ‘특급공신’ 머스크…‘IT 차르’ 등극하나

한양대학교, QS 아시아대학평가 20위권 첫 진입...글로벌 경쟁력 강화 5.

한양대학교, QS 아시아대학평가 20위권 첫 진입...글로벌 경쟁력 강화

한겨레와 친구하기

1/ 2/ 3


서비스 전체보기

전체
정치
사회
전국
경제
국제
문화
스포츠
미래과학
애니멀피플
기후변화&
휴심정
오피니언
만화 | ESC | 한겨레S | 연재 | 이슈 | 함께하는교육 | HERI 이슈 | 서울&
포토
한겨레TV
뉴스서비스
매거진

맨위로
뉴스레터, 올해 가장 잘한 일 구독신청