비밀번호 대신하는 ‘생체인식’

똑같은 지문 가질 확률 10억분의 1

위험성 줄이고 편리성은 높이려 도입

손가락 대면 계좌이체·카드결제 끝나

노출 땐 수정 불가 ‘치명적 단점’

위조 지문으로 범죄에 활용 사례 나와

다중 인증 시스템 도입해 보안성 강화

공인인증서 폐기 맞물려 활용 확산

국민 5명 중 1명 금융서비스 때 사용

일부 국가 생체정보 담은 신분증 보급

10억분의 1. 똑같은 지문을 가진 사람을 만날 확률이다. 전 세계 인구가 77억명이니 확률적으로 나와 같은 지문을 가진 사람이 지구 상에 7∼8명쯤 있는 셈이다. 사실상 살아생전에 지문이 같은 사람을 만나기는 불가능하다. 사람마다 지문이 다르다는 사실은 370여년 전인 1648년 영국 왕립협회에 의해 밝혀졌지만, 이후 오랜 기간 일반인이 지문을 쓸 일은 별로 없었다. 불과 20여년 전만 해도 범죄 혐의로 수사기관의 조사를 받지 않는 이상, 주민등록증을 만들거나 각서를 쓸 때 말고는 지문을 쓸 일이 없었고, 지문 인식기는 철저한 보안을 필요로 하는 연구소 등에서 볼 수 있는 신문물이었다.

최근래 10년도 되지 않아 사정은 크게 달라졌다. 많은 사람이 매일 수십번씩 스마트폰에 지문을 찍고, 돈을 송금하거나 카드 결제를 한다. 최근 공인인증서 폐기와 함께 생체 정보 활용은 더욱 늘어날 것으로 예상된다. 오늘날 손가락은 ‘금고 열쇠’ 역할을 하고 있다.

스마트폰 바람 타고 대중화

금융권에서는 2000년대 초 우리은행이 현금자동입출금기(ATM)에 지문인식 기술을 내장, 통장이나 카드 없이 지문과 비밀번호만으로 은행 업무를 처리할 수 있도록 했다. 이후 몇몇 금융사들이 지문인식 기술을 도입했지만 반응은 시원찮았다. 생체정보를 금융기관에 제공한다는 데 대한 불안감, 느린 단말기 보급 속도 등으로 이용자가 많지 않았다.

국내에서 금융권의 생체정보 기반의 인증 시스템 도입 논의가 본격화된 시기는 2014년으로 정책 당국이 대포통장을 활용한 보이스피싱 등 금융 범죄를 막기 위해 적극적 도입을 추진했다. 그러나 업계와 전문가들은 이런 정부 대책보다는 기술 발전이 생체인식 기술 저변화를 가져온 원인으로 보고 있다.

지문인식 기술은 애플이 2013년 자사의 스마트폰인 아이폰5S에 탑재했고, 이어 2014년 2월 삼성전자가 갤럭시S5에 적용하며, 빠르게 확산하기 시작했다. 이때부터 사람들은 스마트폰 이용을 위해 거부감 없이 지문을 쓰기 시작했고, 국내에서는 삼성전자가 2015년 8월 비밀번호나 지문인식 등을 활용하는 모바일 결제 서비스인 삼성페이를 도입하며, FIDO(Fast Identity Online)가 금융서비스로 급속 확산한 것으로 분석된다. 지난해 8월 기준 삼성페이 가입자는 1900만명으로, 누적 결제금액은 80조원이나 된다.

생체 인증은 보안 사고를 줄이고, 편리함을 배가하기 위해 도입됐지만, 완벽한 보안을 보장하는 것은 아니다.

한 방송 드라마에서는 남편을 약으로 쓰러트린 후 지문을 몰래 찍어 자신의 통장으로 10억원을 계좌 이체한 뒤 희희낙락하는 장면이 나온다. 이런 일이 쉽게 가능한 것은 아니지만 개인 정보를 함께 알고 있다면, 몰래 이체가 불가능한 것은 아니다.

대부분의 시중 은행은 기본적으로 다중 인증 시스템을 도입하고 있다. 계좌 이체를 위해서는 계좌비밀번호를 입력하고 추가로 6자리 핀 번호나 지문 등 생체인식을 하는 방식이다. 일일 이체 금액 한도를 설정할 수 있고, 비밀번호를 모른다면 거액 계좌 이체는 불가능하다.

하지만, 소액 이체나 결제는 손쉽다. 인터넷은행 카카오뱅크는 설정에 따라 최대 1회 1000만원 이하, 케이뱅크는 300만원 이하의 금액이라면 지문이나 핀번호 등의 입력만으로 이체가 가능하다. 시중 은행들도 편의성 강화를 위해 일부 이 같은 서비스를 도입했다.

생체정보 복제 시도가 있고, 실제 성공한 전례도 있다. 2015년 경북지역 소방공무원이 실리콘으로 제작한 위조지문을 지문단말기에 인식시켜, 초과근무수당을 타낸 적이 있다. 해외에서는 2013년과 2014년에 고해상도 사진을 이용해 실리콘으로 위조지문을 제작한 후 아이폰 지문인식 잠금장치를 해제하는 시범을 보이기도 했다.

정보기기 제조사들은 기술 개선으로 이러한 취약점을 차단하고 있지만, 해킹과 보안은 창과 방패처럼 항상 진화하며 맞선다. 특히, 생체정보의 경우 비밀번호와 달리 한번 노출되면 이를 수정할 수 없다는 치명적인 위험을 안고 있다. 한국은행은 연구보고서에서 ATM에 부착된 위장 카드리더기를 통해 신용카드 번호를 무작위로 수집한 범죄처럼, 위장 바이오센서를 통해 생체정보를 무작위로 빼내는 범죄 위험을 경고한 바 있다.

보안 위험 있지만… 기술 활용 활발

그럼에도 생체인식, 그중에서도 특히 지문인식 기술의 활용은 이미 피할 수 없는 흐름이다.

금융결제원에 따르면, 현재 1000만명이 금융서비스에 지문인식 기술을 사용하고 있다. 우리나라 경제 인구 2800만명의 3분의 1이 넘는다. 최근 출시되는 스마트폰은 지문인식이나 얼굴인식 등 바이오 인식 기술을 거의 모두 탑재하고 있다.

지문 등 생체정보 사용이 느는 데 대해 금융보안원은 ‘기억해야 하는 것’(비밀번호), ‘소지해야 하는 것’(보안키)보다는 자신의 신체 일부를 활용한 인증이 편리할 수밖에 없기 때문이라고 해석했다. 미 금융소프트웨어 업체인 인튜이트에 따르면, 생체인식 기술 사용 시 로그인에 걸리는 시간은 20% 감소하는 것으로 나타났다. 더욱이 신종 코로나바이러스 감염증(코로나19)의 창궐로 비대면 활동이 늘면서, 신분 증명 기술은 점차 중요해지고 있다.

이러한 흐름은 당장 공인인증서비스의 폐기와 함께 더욱 강화될 전망이다. 실제 생체 인증은 금융 결제 서비스뿐 아니라 차량 문이나 현관문 개방 용도로 쓰이는 등 사회 전반으로 활용도가 커지고 있다. 일부 국가의 경우 생체정보를 담은 신분증인 ‘바이오 eID 카드’를 보급하고 있다.

생체 인증 자체의 보안성은 간단한 비밀번호보다 높다는 게 보안 업계의 일반적 견해다. 비밀번호나 생체 인증 정보 중 1가지만 사용한다면, 비밀번호가 더 보안 사고에 취약할 수 있다.

보안 전문가들은 설령 스마트폰을 분실한다고 해도 여기서 지문인식 정보를 추출하기는 어렵다고 말한다. 생체정보 악용 범죄가 발생한다면 디지털화된 생체정보 자체 유출보다는 드라마에서처럼 면식범에 의한 도용이거나, 지문이나 홍채 등의 무늬를 복사기처럼 그대로 재현했을 가능성이 크다.

보안 전문가들은 생체정보와 물리적 비밀번호를 함께 이용하는 복합 인증 방식을 통해 금융 사고를 예방할 필요가 있다고 조언한다. 금융서비스 로그인은 지문으로 하되 이체는 비밀번호로 한다거나, ARS 등 추가 인증 절차를 추가할 수 있다. 또 불필요하게 이체·결제 한도를 높이지 말라고 권고한다. 이름, 주민등록번호, 연락처 등 이용자 식별 정보를 노출하지 않는 것도 중요하다. 해킹방식이 나날이 진화하는 만큼 금융 사고를 막기 위한 보안 기술 발달과 강화도 요구된다.

엄형준 기자 ting@segye.com