핀테크·웨어러블 열풍에 새 먹거리로 떠올라

[컴퓨터월드] 핀테크, 사물인터넷, 웨어러블 디바이스, O2O(Online to Offline) 서비스 등 새로운 가치를 만들어내는 IT 기술의 발전과 함께 온라인 거래가 활발해지고 있다. 이에 모바일기기나 PC 등에서 무단 결제와 기기의 부정한 사용을 막기 위한 본인인증의 중요성이 강조되고 있다.

지금까지 본인인증을 위해 가장 일반적으로 사용되는 방식은 비밀번호였다. 비밀번호 입력 방식은 그러나 보안이나 편의성 등에 한계가 있었다. PC나 모바일 기기가 악성코드에 감염되면 비밀번호가 유출될 수 있고, 복잡한 비밀번호는 사용자가 잊어버리는 문제가 발생할 수 있다. 이런 상황에서 비밀번호 입력의 한계를 극복할 수 있는 ‘생체인증’ 방식이 주목받고 있다.

생체인증 기술은 개개인의 신체 고유 정보를 활용해 인증하는 방식으로 사용자의 몸 자체가 새로운 비밀번호가 된다. 비밀번호 입력 등 기존 인증수단과 같이 보안성이나 편의성 등에 대해 문제가 발생할 수 있는 위험성이 낮다. 비밀번호를 입력이나 열쇠 휴대등의 번거로움도 피할 수 있으며 제3자가 인증하는 것을 방지할 수 있다. 이밖에 스마트폰, PC 등 기기에 카드번호나 비밀번호, 주민등록번호 등 개인 정보를 입력할 필요가 없어 훨씬 안전하다.

현재 생채인증 기술은 지문, 홍채를 비롯해 목소리, 정맥 등으로까지 확대되고 있다. 여기에 기존의 인증방식과 생체정보를 입력해 본인을 확인하는 다중 생체인증 기술이 확산되면 생체정보 유출의 위험성은 크게 줄어들고 정확도는 높아질 것으로 예상된다. 아울러 최근 시장이 커지고 있는 핀테크, 웨어러블 기기 등 서비스와 함께 생체인증 역시 빠르게 성장할 전망이다. 생체인증 기술이 IT 시장에 미치는 영향은 무엇인지 알아본다.

▲ 애플의 모바일 결제 시스템인 ‘애플페이’

▲ 오는 9월부터 서비스가 시작되는 ‘삼성페이’

지문·홍체·정맥이 비밀번호로
생체인증은 인간의 신체를 이용해 인증 수단으로 사용하는 것이다. 현재는 지문, 홍채, 안면, 정맥 등이 주로 사용되고 있다. 사용자 편리성을 높이기 위해 하체보다는 상체에 집중한 점과 인증에 쓰이는 신체 부위 면적이 넓지 않다는 게 지금까지의 생체인증 특징이다.

가장 널리 쓰이는 것은 지문 인식이다. 한국인터넷진흥원(KISA)의 발표에 따르면 지문 인식은 전체 생체인증 시장의 약 60%를 차지하고 있다. 애플의 아이폰, 삼성전자 갤럭시S, 팬택 베가 등 스마트폰에 지문 인식 기술이 탑재돼 사용자가 스마트폰에 손가락을 갖다 대면 화면 잠금이 풀리는 방식이다.

현재 지문 인식은 가장 널리 사용하는 기술답게 기술 성숙도가 높다. 에릭슨 컨슈머랩 조사에 따르면 스마트폰 사용자의 52%가 비밀번호 대신 지문을 인증 수단으로 사용하기를 원한다고 답할 정도로 반응도 좋다. 하지만 지문이 닳아 거의 없어진 사람이나 땀이 많이 나는 사람은 지문 인식이 어렵다는 단점이 있다.

사람마다 고유한 특징을 지닌 눈의 홍채 패턴이나 망막 모세혈관의 분포로 신원을 확인하는 홍채 인식은 성장 가능성이 큰 분야다. 홍채는 식별 특징이 270여개로 40여개의 식별 특징을 가진 지문보다 식별이 훨씬 정확하며 보안성도 뛰어나다.

국내 생체인증 기술에서 홍채 인식이 차지하는 비중은 2011년 2.8%에서 2016년 17%까지 확대될 것으로 예측된다. 홍채 인식은 카메라 기반 기술로 아직까지 전용 모듈이 필요하다는 단점이 있다. 스마트폰에 내장된 일반 카메라로는 홍채의 미세한 구분점을 인식하기 어렵기 때문이다. 관련 업계는 스마트폰용 홍채인식 모듈 개발에 박차를 가하고 있다.

정맥 인식은 지문 인식과 홍채 인식의 장점을 결합한 기술로 꼽힌다. 지문 인식처럼 간편하면서도 오차율은 0.0001% 이하로 정확도가 매우 높다. 정맥 인식은 손등·바닥, 손목의 정맥 모양으로 본인 여부를 확인하는 방식이다. 최근에 센서 가격이 낮아지면서 태블릿PC와 노트북에도 정맥 인식 기술이 탑재되는 추세에 있다.

이밖에 안면 인식은 눈썹 간 거리, 얼굴 뼈 돌출 정도 등 특징을 통해 사용자를 파악한다. 다른 기술과 달리 기기에 바짝 접촉하지 않아도 인식이 가능해 편리하다. 하지만 안경 쓴 얼굴과 안 쓴 얼굴을 잘 구별하지 못하는 등 세세한 얼굴 변화에 제대로 대처하지 못한다는 점이 한계로 지적된다.

▲ 애플은 매번 인증을 해야 하는 번거로움을 덜 수 있는 애플워치를 출시했다.

핀테크의 확실한 인증수단
애플은 지난해 9월 아이폰 6 시리즈와 애플워치를 처음 발표하는 자리에서 새로운 모바일 결제 시스템인 ‘애플페이’를 공개했다. 애플페이는 스마트폰의 NFC(근거리무선통신)와 생체인증 기술을 이용한 결제 시스템으로 애플 앱스토어를 비롯해 다양한 오프라인 매장에서 이 서비스를 통해 결제할 수 있다.

앱스토어 상에서 앱을 구매한 후 아이폰에 지문을 스캔하면 결제가 이뤄지는 기존 서비스와 별개로 오프라인 매장에서 쇼핑을 마친 뒤 계산대 앞에서 핸드폰을 NFC 칩이 내장된 신용카드 결제 단말기에 태그한 뒤 아이폰 내에서 지문 인식을 통해 본인인증을 하면 결제가 완료되는 시스템이다.

당시 애플은 매번 지문으로 본인인증을 해야 하는 번거로움을 없앨 수 있는 애플워치도 함께 내놨다. 아이폰 5 시리즈와 아이폰 6 시리즈 사용자는 아이폰과 애플워치를 연동해 손목에 시계를 찬 상태로 태그하기만 하면 오프라인 상점에서 애플페이로 결제를 할 수 있다.

이와 함께 삼성SDS는 지난 4월 갤럭시 S6 시리즈와 함께 ‘삼성페이’를 첫 공개했다. 삼성페이는 최근 인수한 루프페이의 기술을 활용해 신용카드 정보 및 마그네틱 신호 정보를 저장하고 지문인식 시스템을 이용해 사용자 인증을 진행한 이후 마그네틱 신용카드를 리더기에 결제 시 나오는 자기장을 만들어내 결제를 완료한다.

애플페이, 삼성페이 등은 최근 떠오르고 있는 핀테크 기술 중 하나다. 이들 기술의 특징은 지문정보, 즉 생채정보 인증 기술을 이용해 사용자 인증을 진행한다는 것이다. 생체인증 기술이 핀테크에 있어 확실한 인증 수단으로 자리 잡고 있다는 것을 보여주는 대목이다.

IT업계와 금융권을 중심으로 핀테크 열풍이 확산되면서 생체인증과 관련된 시장 역시 급속도로 확장되고 있다. 그동안 건물 및 사무실 출입통제나 출퇴근 관리 등에 활용됐던 생체인증 기술이 모바일 기기로 영역을 확장하고 있는 것이다.

이처럼 생체인증 시장이 확산되고 있는 진원지가 핀테크라고 해도 과언이 아니다. IT 기기를 활용한 금융거래 시 가장 중요한 점은 편의성과 보안성인데 생체정보는 개인별 고유정보이기 때문에 본인인증을 할 때 보안성과 편의성이 탁월할 수밖에 없다. 많은 업체들이 생체인식에 주목하고 있는 이유도 여기에 있다.

시장조사기업 AMI가 올해 초 발표한 ‘세계 모바일 생체인증 시장분석 보고서’에 따르면 생체인증 시장은 매년 90%씩 성장, 오는 2020년 연 333억달러(약 36조원) 규모로 커질 것으로 내다봤다. 스마트폰과 태블릿PC, 웨어러블 기기 등 모든 스마트 모바일 기기에 생체인증 모듈이 탑재되면서 시장이 커진다는 분석이다. 시장 확대이상으로 업체간 시장경쟁 또한 가속화되고 있다. 실제 시장에서는 스마트폰, 웨어러블 기기 등 모바일 기기와 결합한 신기술 개발 경쟁이 치열하게 전개되고 있다.

▲ AMI가 발표한 ‘세계 모바일 생체인증 시장분석’

웨어러블 기기와 동반성장
생체인증 기술은 핀테크외에 웨어러블 기기에도 적용될 것으로 보인다. 시장조사기관에 따르면 스마트폰과 더불어 웨어러블 기기에 지문인식과 같은 생체인증 기술이 탑재되는 비율은 지난 2014년 5% 불과했지만 오는 2016년이면 30%로 대폭 늘어날 전망이다. 몸에 부착하는 웨어러블 기기는 대개 키보드가 없어 비밀번호 입력이 어려운 만큼 생체인증 기반으로 발전할 것이라는 게 전문가들의 일치된 의견이다.

지난 2013년 캐나다의 벤처기업 바이오님은 심전도를 측정해 본인 여부를 인증하고, 인터넷으로 연결된 아파트와 자동차의 문, PC에 사용자 개인정보를 전달하는 기능을 갖춘 스마트 밴드 ‘나이미(nymi)’를 선보였다. 사용자는 나이미 착용 후 심전도 센서에 손가락을 대고 인증하면 별도의 비밀번호 입력 없이 PC에 로그인하거나 자동차, 아파트의 출입문을 열 수도 있다. 또 매장의 결제기에 밴드를 터치해 결제할 수 있다.

많은 글로벌 IT 기업들도 웨어러블 기기에서의 생체인증 기술을 개발하고 있다. 애플은 지난해 애플워치를 첫 공개한 이후 지금까지 세계 곳곳에 해당 제품을 출시하고 있다. 구글은 구글글래스에 홍채인증과 망막인증을 구현하기 위한 특허를 출원했고, 구글글래스 차기 버전에서 이들 생체인증 기능을 탑재할 계획이다.

이와 관련해 한 업계 관계자는 “웨어러블 기기의 시장이 커질수록 생체인증 기술 역시 빠르게 성장할 것”이라며 “사용자 경험의 편의성 측면에서 웨어러블 기기와 생체인증의 결합은 혁신적인 변화를 기대할 수 있을 것”이라고 예상했다.

이밖에도 전통적인 보안산업에서 생체인증은 사물인터넷(IoT) 시대를 이끌 기술로 전망되고 있다. 지문을 이용해 문을 열고 닫는 잠금장치에서 나아가 보안구역 출입, PC나 핵심설비 사용제한 등에 적용하면 과거보다 훨씬 편리하게 관리할 수 있어 기업의 업무 생산성을 높일 수 있다는 게 업계의 시각이다.

삼성SDS는 생체인증 기술을 활용한사용자 인증 서비스를 개시했고, 글로벌통합인증센터도 구축 중에 있다. 삼성SDS 관계자는 “상반기 중 사내 인트라넷 망에 적용하고 삼성그룹 관계사와 해외기업으로 확대해 시장을 선점할 계획”이라고 설명했다.

▲ 사용자 개인정보를 전달하는 기능을 갖춘 스마트 밴드 ‘나이미’

▲ 비밀번호 없는 인증기술 생태계 위한 기업들의 연합 ‘FIDO 얼라이언스’

생체정보로 공인인증
생체인증은 유출의 위험이 컸던 기존 비밀번호 입력 방식에서 벗어나 복잡한 인증절차 없이 간편하게 활용 가능하다. 이같은 이유로 비대면 금융거래를 위한 핀테크, 인터넷 뱅킹, 스마트 뱅킹 등 분야에서 활용도가 높은 기술로 평가받고 있다. 지불결제 분야 외에도 단말기 로그인 등 다양한 분야에서 활용될 수 있을 것으로 기대된다.

주요 글로벌 업체들은 지난 2013년 비밀번호 없는 인증기술 생태계를 만들기 위한 기업들의 연합 ‘FIDO(Fast IDentity Online) 얼라이언스’를 출범하고, 생체인증 및 온라인 간편인증 관련 국제 표준안 마련을 주도하고 있다. FIDO 얼라이언스는 지난해 말 생체인증 관련 첫 국제 표준안으로 FIDO 인증을 마련했다. 여기에는 삼성을 비롯해 구글, MS, ARM, 이베이, 알리바바, VISA 등 2000여 개 글로벌 기업이 참여했다.

글로벌 기업들이 생체인증기술 표준화에 힘을 싣기 시작함에 따라 국내에서 공인인증서 인프라를 그대로 활용하면서도 더 쉽고 편하게 모바일뱅킹, 온라인쇼핑몰 결제 등을 활용할 수 있게 하는 기술이 등장할 수 있을 지 주목되고 있다.

이전까지 문제로 지목됐던 공인인증서 구현용으로 액티브X 기반 플러그인 설치, PC 및 스마트폰 내 공개된 영역에 인증서와 개인키를 저장, 공인인증서 사용을 위해 입력하는 비밀번호의 노출 위험성을 한 번에 해결할 수 있기 때문이다. 생체인증 기술이 공인인증서와 같은 기존 인증 기술과 복합적으로 활용하는 다중 인증 방식을 통해 보안성과 사용 편의성을 모두 제고할 수 있는 방안으로 제시되고 있는 것이다.

이와 관련, 최근 KISA는 ‘FIDO인증기술과 공인인증서 연계기술개발’에 대한 입찰공고를 냈다. 생체인증과 공인인증 기술을 함께 사용할 수 있는 방안을 마련하겠다는 것이다. 이전까지 인터넷 및 모바일뱅킹 이체, 온라인쇼핑몰 결제를 위해서는 개인키와 인증서를 스마트폰 내에 공개된 영역에 저장해 꺼내 쓰는 방식을 썼다. 이에 따라 보안성에 허점이 많았던 것이 사실이었다.

공인인증서 로그인, 이체 및 결제 등에 쓰이는 비밀번호가 일반 포털사이트 로그인에 사용되는 비밀번호와 같은 경우가 많아 만약 공격자들이 특정인을 대상으로 포털사이트에서 어떤 비밀번호를 쓰는지 알아낸 뒤 공개된 저장소의 공인인증서, 개인키를 탈취해 이체 및 결제를 시도하는 게 가능하다는 설명이다.

​생체인증과 공인인증서의 결합은 이러한 위험성을 대폭 줄일 수 있을 것으로 전망된다. KISA 관계자는 “생체인증 기술을 사용하면 비밀번호를 별도로 입력하지 않아도 돼 편리한데다 보안성도 뛰어나다”며 “스마트폰 등 모바일 기기를 통한 인증 등에 활용할 수 있도록 FIDO 표준을 준용한 서비스를 개발할 계획”이라고 강조했다.

​이와 관련해 업계의 한 관계자는 “제3자가 도용할 수 있는 비밀번호 대신 접근제어를 위해 자신만 지니고 있는 생체정보를 사용할 수 있게 하는 것은 사용자 편의성이나 보안면에서 효과적”이라며 “이 과정에서 개인키, 지문정보 등은 모두 안전한 저장소를 통해 관리돼야 하는 것도 하나의 과제”라고 설명했다.

국내 업계에 새로운 먹거리
핀테크, 웨어러블 기기 등의 발전과 함께 생체인증 기술이 주목받으면서 국내 생체인증 시장 역시 폭발적인 성장세가 예상되고 있다.

큰 폭 성장이 확실시되고 있는 생체인증 시장을 현재 외국 업체들이 주도하고 있어 국내 업체들의 기술개발이 시급하다는 우려의 목소리도 많다. 특히 외국 기업들이 주도하고 있는 모바일 생체인증 시장에 국내 벤처업계도 기술력으로 승부를 해 새로운 먹거리로 만들어야 한다는 것이다.

아직까지 생체인증에 필요한 주요 기술은 외국 업체들이 주도하고 있다. 애플은 2012년 어센텍을 인수하면서 지문인식 센서를 공급받고 있다. 다른 글로벌 업체 역시 미국의 시냅틱스와 스웨덴의 FPC 제품을 활용하고 있다.

많은 국내 업체들도 생체인증 시장 확산에 발 빠르게 대응하고 있다. 지문인식 솔루션 기업인 크루셜텍은 세계 최대 스마트폰 시장인 중국 시장 공략을 위해 화웨이와 오포 제품에 자사 지문인식 모듈을 탑재했다. 또 결제시스템 기업인 다날과 함께 설립한 바이오페이라는 회사를 통해 지문인식 결제서비스도 준비하고 있다.

터치스크린 기술 업체인 트레이스는 ‘지문인식 일체형 터치스크린 모듈’을 개발해 별도의 지문인식 센서를 탑재하지 않고도 지문인식 기능을 사용할 수 있도록 했다. 트레이스 관계자는 “터치스크린 기반의 지문인식이 상용화되면 화면 어느 곳에서나 지문을 인식할 수 있다”며 “금융결제를 위해 비밀번호를 누를 때에도 지문인식 설정이 가능해 보안성이 더욱 강화될 것”이라고 강조했다.

슈프리마 역시 모바일 시장 진출을 타진하고 있다. 슈프리마는 최근 생체인증 장치와 얼굴 검출 방법에 대한 특허를 취득했다. 이 특허는 얼굴 인식 장치에서 얼굴 영역을 검출하는 기술에 관한 것으로, 다중 학습된 검출기를 결합해 얼굴 오검출을 크게 줄여주는 방법이 제안돼 있다.

전자자동제어 기기 제조업체인 퍼스텍은 얼굴인식과 관련한 기술력을 보유하고 있다. 스마트게이트와 공동으로 생체인증카드를 개발 중인데 과거 모바일에서 얼굴인식을 통해 로그인하던 방식을 웹에서 구현 가능하도록 했고, 이를 출입시스템, 감시시스템 및 스마트폰 등에 응용할 계획이다.

이밖에도 KG이니시스는 지난 4월 간편결제 서비스인 ‘Kpay’에 FIDO 생체인증 솔루션을 도입했다. Kpay에 도입된 삼성SDS의 FIDO 생체인증 솔루션은 별도로 암호를 설정할 필요없이 지문 인식을 통해 원 터치만으로 사용자 확인이 가능한 인증 수단이다.

단말기를 분실해도 사용자의 생체정보 없이는 타인이 부정 사용할 수 없어 분실이나 도용, 해킹 위험이 없다. 또 사용자 본인임을 확인할 수 있는 기본 정보만 단말기 내 독립적인 보안 공간에 따로 저장되기 때문에 생체 정보의 유출·위조가 불가능하다.

KG이니시스 관계자는 “FIDO 생체인증 솔루션을 이용해 결제 인증 사업뿐 아니라 본인 실명 인증, 온라인 2차 인증 사업까지 추진해 다양한 사업 모델을 구축하고, 생체인증 솔루션을 필요로 하는 고객에게 차별화된 인증 서비스를 제공할 수 있도록 서비스해 나갈 것”이라고 설명했다.

▲ 비밀번호 없는 인증기술 생태계 위한 기업들의 연합 ‘FIDO 얼라이언스’

숙제는 보안성 강화
생체인증은 향후 전망도 밝은데다 보안성과 편의성을 모두 잡을 수 있어 모든 업체가 주목하고 있는 분야이다. 하지만 생체인증 기술이 모든 문제를 해결할 수 있는 만능 해결책은 아니다. 오히려 더 큰 위험을 초래할 수도 있다는 시각도 있다. 신용카드 비밀번호나 주민등록번호 등을 요구하진 않지만 그보다 중요한 신체정보를 담고 있는 만큼 조심해야 한다는 의미다.

생체정보는 위조가 어려운 가장 확실한 인증수단인 반면, 패스워드나 PIN과 달리 변경이 불가능해 제3자에 의한 도용 시 심각한 문제를 야기할 수밖에 없다. 다시 말해 비밀번호가 노출됐을 때 바꾸면 위험을 줄일 수 있지만 생체정보가 노출된다면 이에 대한 위험은 상상을 초월한다는 것이다.

이에 대해 한 업계 관계자는 “생체정보와 같이 중요한 개인정보를 통해 서비스하는 기업이나 이와 연결된 금융기관, 의료분야 등은 철저한 예방책을 마련해야 한다”며 “편의성만 생각해 생체인증 기술을 확산시킬 게 아니라 보안성 강화를 위한 대책을 강구하는 게 우선이다”고 강조했다.

현재 오나벽하진 않지만 이와 관련한 노력도 어느 정도 이뤄지고 있다. 생체정보를 저장하는 위치가 서비스 사업자가 소유한 서버에서 개인이 소유한 기기로 옮겨지고 있고, 생체 정보를 안전하게 보관할 수 있는 기술도 발전하고 있다.

실제로 애플은 아이폰 사용자의 지문 정보를 자사 서버에 보관하지 않고 사용자의 아이폰 내 보안 구역에 저장시킨다. 터치 ID 지문인식 센서에 지문이 입력되면 저장된 지문 정보와의 일치 여부를 확인하고 토큰으로 불리는 1회성 비밀번호를 생성해 서비스 사업자에게 전송하는 형태로 인증을 진행해 사실상 지문 정보 자체는 어디에도 전송되지 않는다.

이와 관련해 업계 관계자는 “생체정보가 개인정보처럼 퍼지게 되면 비밀번호보다 불안해지는 상황을 야기할 수 있다”며 “이를 위해 생체정보를 보호목적으로 하는 보호입법이 시급하고, 수집 및 저장된 생체정보는 철저한 보호와 규제가 필요하다”고 강조했다.

또 다른 관계자 역시 “인증 기술에서 가장 핵심이 되는 게 암호화와 키 관리인데, 빠르고 정확한 인증만큼이나 이 과정에서 인증 정보를 얼마나 안전하게 보호할 수 있는지가 가장 중요하다”고 설명했다. 아울러 “생체인증 기술에 대한 보안성을 높이기 위해 여러 개의 생체정보를 동시에 이용하는 방식이 필요하다”고 덧붙였다.

사용자들이 보안성과 편의성에 대해 높은 요구를 하는 만큼 생체인증을 활용한 기술들은 앞으로도 계속 개발될 것이다. 향후 생체인증 기반의 다양한 서비스들이 선보여지더라도 더 많은 취약점은 드러나지 않도록 기술의 발전을 이끌 수 있는 안전한 장치가 마련돼야 할 것으로 보인다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지