KEB하나은행, 신한은행 등 은행들이 보안업계에서 논란을 일으키고 있는 지문인증 시스템의 상용화 작업에 박차를 가하고 있다.

핀테크 기술로 편의성과 보안성을 확보하겠다는 은행들의 장밋빛 계획과 달리 보안 전문가들은 금융 범죄에 노출될 수 있다고 경고하고 있다.

은행업계 모바일 뱅킹 지문인증 경쟁

11일 은행업계에 따르면 KEB하나은행이 모바일 뱅킹 지문인증 경쟁의 포문을 열었다. 이 은행은 지난 2월 지문인증 서비스를 국내 최초로 도입했다. 스마트폰 뱅킹을 이용할 때 공인인증서를 내려 받고 비밀번호를 입력하던 기존의 복잡한 방식에서 벗어났다. 지문인증만으로 로그인부터 계좌이체, 상품가입, 대출신청 등 대부분 거래가 가능하다.

KEB하나은행은 지문을 휴대전화에 직접 접촉하는 방식에서 사진촬영 같은 비 접촉 방식으로 발전시킬 예정이다. 비 접촉 방식이 시행되면 별도의 센서 없이도 지문인증이 가능하다. 운영체제와 휴대전화 기종에 상관없이 서비스를 누릴 수 있다.

신한은행은 모바일 플랫폼 써니뱅크 이용자를 대상으로 기존 간편 로그인 방식에 보안성을 강화한 지문인증 로그인 서비스를 실시하고 있다. 써니뱅크에 적용된 지문인식 기술은 생체인증 국제 표준인 파이도(FIDO)에 따라 구축됐다. 써니뱅크 로그인 방식에 추가인증 수단으로 선택할 수 있다. 신한은행은 기존 공인인증서를 활용해야 했던 로그인, 상품가입, 자금이체 거래 부분에서 스마트폰을 통한 지문인증 등 생체인증 서비스를 점진적으로 확대 적용할 방침이다.

부산은행도 올해 초 모바일 뱅킹 ‘썸뱅크’에 지문인증 기능을 접목시켰다. 비밀번호 입력 없이 지문으로 본인 여부를 인증할 수 있다. KB국민은행과 우리은행도 모바일 뱅킹을 중심으로 지문인증 서비스 개발에 착수했다.

지난달 말 개정된 전자금융거래법 시행령 및 감독규정이 시행된 까닭에 지문인증은 은행업계 전체로 확대될 공산이 크다. 그간 전자금융감독규정은 모바일·인터넷 뱅킹을 통한 계좌이체에 보안카드를 포함한 일회용 비밀번호를 반드시 사용하도록 했다. 수정된 규정에서는 보안카드 및 OTP 사용의무가 폐지됐다. 금융회사가 보안성과 편의성을 고려해 자율 판단에 따라 다양한 핀테크 기술을 적용할 수 있도록 했다.

문제는 지문인증 기술의 보안성에 대한 의구심이 전문가들 사이에서 제기되고 있다는 점이다.

“지문을 복제하기는 매우 쉽다”

올해 초 스페인 바르셀로나에서 열린 정보통신기술(ICT) 박람회 ‘모바일월드콩그레스(MWC) 2016’에서 보안기업 브이칸시 대표 제이슨 차이킨은 “지문을 복제하기는 매우 쉽다”며 스마트폰 지문인증 기능의 취약한 보안성을 꼬집었다. 당시 그는 현장에서 1분도 안되는 시간만에 취재진의 지문을 채취해 스마트폰 보안을 해제했다.

차이킨은 최근 미국 IT매체 더 버지(The Verge)와의 인터뷰를 통해 시연 모습을 공개했다. 우선 엄지 손가락을 치과에서 본을 뜰 때 사용하는 몰드에 올려 둔다. 몰드가 굳으면 손가락을 떼고 그 위에 지점토를 눌러 지문의 형상을 찍어낸다. 이 방식을 악용하면 누구나 손쉽게 스마트폰 지문인증 장치를 해제할 수 있다고 그는 주장한다.

앞서 지난 2014년에는 독일 해커집단 CCC(Chaos Computer Club)가 맥주병에서 수거한 지문으로 모형 틀을 만들어 스마트폰 잠금을 해제하는 데 성공했다. 손가락 사진에서 지문을 분석, 컴퓨터에서 지문을 재현하는 방식도 선보였다. 본인 의사와는 무관하게 누군가에게 지문을 채취 당할 수 있다는 의미다. 특히 모바일 뱅킹은 금융 거래가 이뤄지는 만큼 치명적인 피해를 입을 수 있다고 보안업계 관계자들은 입을 모은다.

은행들은 지문인증 시스템 활용방안을 고심하는 눈치다.

업계 관계자는 “보안성과 편의성이라는 두 마리 토끼를 동시에 잡기가 쉽지 않다”며 “무엇보다 보안성이 최우선이지만 (지문인증이) 기존의 복잡한 인증 방법의 대안으로 거론되고 있어 편의성을 무시할 수 없다”고 말했다.

그는 “각 은행들이 지문인증 시스템 활용법을 다각도에서 고민하고 있다”면서도 “민감한 사안이어서 (아이디어가) 당장 현실화되기는 어려울 것”이라고 설명했다.