check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[김정혁-금융보안 칼럼③] 다가오는 바이오 금융, 윤리적 보안이 대안

생체인증기술의 진화와 활용에 앞서 관리주체의 도덕성이 투명해야

길민권 기자 mkgil@dailysecu.com 2017년 09월 15일 금요일

▲ 영화 <Olympus Has Fallen>의 한 장면
▲ 영화 Olympus Has Fallen의 한 장면
백악관 전산망을 해킹해 기밀정보를 인질삼아 비트코인을 요구하거나 전자지갑에 거액의 자금이체를 요구한다. 테러리스트들이 백악관에 침투해 대통령을 랜섬삼아 군사적 이해관계를 관철하거나 핵미사일을 발사한다. 모두 다 비현실적인 헐리우드 소재일수도 있지만 최근 북한의 급발진 도발행위는 여러 가지 불길한 상상을 만들어 내고 있다. 그동안 백악관이 점령당하고 초토화되는 블록버스터는 흥행 보증수표이면서도 근육질 배우들의 몸값을 높이는 등용문이었다. 지난 2013년 개봉한 'Olympus Has Fallen' 영화에서는 북한의 테러리스트가 백악관을 장악하고 정부 수장들을 무차별적으로 사살한다.

테러리스트는 주한미군과 동해상의 함대 철수 그리고 핵미사일을 통제하는 암호코드 탈취가 목적이다. 4년이 지난 지금 북한의 계속되는 핵실험과 미사일 발사의 종착역이 어디인지 가늠해 볼 수 있다. 국제사회의 이목을 집중시키고 철통보안을 자랑하는 워싱턴의 보안시스템을 간단히 무력화 시키는 O2O 융합테러는 긴장을 유발하기 충분하다. 핵미사일을 발사하기 위해서는 암호코드와 대통령의 생체정보가 필요하다. 보안을 위한 생체정보가 테러집단의 표적이 될 경우 얼마나 큰 고통이 따르는지 실감난다. 세상에서 가장 무서운 음식이 산채비빔밥이다. 생체정보 또한 산채로 인증해야 함으로 악용될 경우 공포스러운 현실이 된다. 연수중인 청년경찰 두명이 장기적출 범죄조직과 맞서야 했던 이유는 가출여성들의 생명을 담보한 생체를 보호하고 시민의 안전을 위한 행동이다.

▲ 영화 '청년경찰'의 한 장면
▲ 영화 '청년경찰'의 한 장면
이제 온라인 간편결제와 모바일페이를 벗어나 바이오페이 시대가 다가오고 있다. 실생활에서도 출입통제와 신원확인, 출입국관리, 원격진료 그리고 전자투표 등 바이오 기반 활용사례가 증가하고 있다. 그동안의 온라인과 모바일시스템 보안체계로 감당하기 힘든 새로운 보안영역이 필요하다. 바로 윤리적 보안(Ethical Security)이다. 기존 인증체계의 대안으로 떠오른 바이오인증은 분실 우려가 없고 별도 암기나 보관이 불필요하고 양도나 대여가 불가능하다. 하지만 영화 '청년경찰'에서 보듯이 상업적 범죄집단과 비양심적 엘리트가 공모할 경우 바이오 정보는 치명적이다.

바이오 정보의 편리성과 보안성을 활용하기 이전에 생체정보를 관리하는 주체들의 윤리적 보안이 기술적 보안시스템보다 우선시 되어야 한다.

얼마전 인감증명서 발급을 위해 가까운 주민센터를 방문했다. 신분증을 제시했지만 지문인증이 필요하다는 창구 직원의 요청으로 지문인식기에 손가락을 꾹 눌렀다. 내 인감을 행정기관에 등록하고 법적 계약이 필요한 경우 인감증명서를 발급 받아야 한다. 본인이 사용할 도장이 진품이라는 것을 증명하기 위한 인감증명서를 발급 받는데 지문인증이 왜 필요할까. 행정기관에서 발급한 주민등록증이나 운전면허증의 진위확인과 중요 서류에 대한 보안을 강화하는 절차라고 여겼다.

하지만 계속되는 지문인증 실패에 서로 난감해졌다. 공항에 설치된 민원발급기에서는 지문인증으로 주민등록등본을 받아볼 수 있었지만 주민센터 지문인식기에서는 작동이 되지 않는다. 깨물어서 안 아픈 손가락이 없다지만 제대로 된 손가락이 하나도 나타나지 않아 당황스러웠다. 결국 엄지에 인장을 묻히고 자필서명 하고서야 귀한 인감증명서를 손에 넣을 수 있었다. 최초 지문을 등록한 인식기와 현재 설치된 지문인식기 모델이 동일하진 않겠지만 과거의 지문정보를 최신 인식기에 인증을 못하거나 타인의 지문으로 오인한다면 어떤 결과가 올까.

인식률이 떨어지는 지문 대신 홍채나 정맥 인증으로 교체하려면 막대한 예산이 소요된다. 편의성과 경제성을 고려한 블록체인 기반의 전자인감 인프라를 검토해볼 시기이다. 핀테크 활성화와 인터넷전문은행 출범에 즈음하여 비대면 실명확인이 허용되었다. 아직 금융실명제도가 확고하게 존재하지만 비대면 계좌개설이 가능해졌다. 은행에 비해 점포수가 적은 제2금융권은 환영하면서도 생체정보 활용과 관리에 무척 신경이 쓰인다. 신분증 사본 전송이나 영상통화 또는 지문이나 홍채 인증 등 다양한 방법으로 비대면 계좌개설이 차츰 늘어나고 있다.

이러한 생체를 활용한 바이오인증에는 기본적으로 두가지 오류가 존재한다. 바이오정보의 정확성을 측정하는 지표로도 사용되기도 하는 본인거부율과 타인수락률이다. 본인이 등록한 바이오정보를 인식 못할 경우 영업점을 방문해야 하는 불편을 초래한다. 하지만 타인을 본인으로 오인할 경우에는 심각한 금융사고와 직결된다. 본인 거부율과 타인 수락률이 낮을수록 정확도가 높다. 일반적으로 안면인식과 목소리, 지문보다는 정맥과 홍채가 훨씬 인식률이 높고 오류가 적어 보다 안전하다.

▲ 바이오인증기술 정확도 비교. (자료 : 한국은행 지급결제조사자료, 2016)
▲ 바이오인증기술 정확도 비교. (자료 : 한국은행 지급결제조사자료, 2016)
그동안 비대면 거래의 인증수단으로 이용하던 공인인증서와 아이핀, OTP, 보안카드 대신 휴대나 보관이 불필요한 바이오인증기술(Biometric technology)이 확대되고 있다. 정부도 기존 대면확인 제도에서 비대면 확인을 허용함에 따라 바이오산업의 발전과 전자금융서비스의 혁신도 가속화되고 있다. 미국은 9.11 테러 이후 바이오인증기술 관련 국제표준화기구를 설립해 다양한 연구와 표준화를 진행 중이다. 프랑스는 개인의 생체정보가 내장된 바이오신분증 발급을 위한 신원보호법을 제정하였다. 내진설계가 철저한 일본도 9.0의 강력한 지진과 쓰나미 앞에서는 속수무책으로 당했지만 통장과 카드 없이 생체인증으로 자동화기기를 이용할 수 있었다. ATM은 해외에서도 바이오인증 기술이 가장 많이 활용되는 분야로 일본뿐만 아니라 영국, 호주, 브라질, 터키, 인도 등에서도 이미 사용 중이다.

b-4.jpg
특히 인도의 경우 2010년부터 전 국민 13억명을 대상으로 개인정보와 생체정보를 담은 국가신분증 발급 프로젝트(Aadhaar)를 진행중이다. 최근 에어비앤비, 우버와 같은 글로벌 공유업체들이 아드하르 프로젝트를 통해 발급된 생체신분증 활용을 검토 중이다. 개인간 거래이다 보니 사기, 납치, 강간 등의 강력 범죄를 예방하면서도 이용객의 안전과 커뮤니티 보안을 강화하기 위함이다. 그러나 바이오신분증의 보안체계와 생체정보 관리수준이 검증되지 않은 상태에서 시급한 상업적 활용은 또하나의 국제범죄를 조장할 우려가 있다. 그건 비단 인도와 공유업체만의 문제가 아니기 때문이다. 국내에서도 모바일뱅킹은 지문으로 인증하고 홍채로 송금이 가능하고 ATM에서 정맥으로 금융거래가 이루어진다. 비대면 계좌개설 또한 신분증 사본 전송, 영상통화, 안면인식을 활용하기도 한다. 머지않아 생체인식의 민감도를 향상하기 위한 기술들이 계속 발전하고 행동패턴이나 유전자, 심전도와 맥박과 같은 생체역학 분야까지 확장될 것이다.

b-5.jpg
기원전 2500년전부터 인체에 관한 연구가 시작된 이후 Biomechanics(생체역학)이라는 용어를 사용한지는 100년 전부터이다. 레오나르도 다빈치, 조반니 보렐리 등이 인체구조의 물리학적 접근을 통해 정리한 생체역학은 첨단시대에서도 간과하기 어려운 바이오정보의 인지성과 행동양식을 그대로 담고 있다.

우리나라의 높은 정보보호 기술력과 동등한 수준으로 생체정보도 안전하게 저장, 처리 인식될 수 있는 바이오 보안기술 개발이 시급하다. 모바일과 바이오의 결합은 디지털화된 사회구조에 또다른 혁신적인 바람을 일궈낼 것이다. 바이오 인증뿐만 아니라 빅데이터, 인공지능의 첨단기술을 접목할 경우 생체 기반 통신, 행정, 복지, 국방 등 광범위한 분야에서 바이오 생태계가 조성된다. .

생체정보의 활용은 우월한 편의성과 보안성을 바탕으로 분명 개선될 수 있는 분야가 다양하다. 줄지 않고 있는 보이스피싱과 같은 금융사기를 차단하고 투명한 납세는 물론 금융소외계층이나 사회적 취약계층에 대한 금융서비스 지원도 실효화하고 교육, 의료등 다양한 행정지원과 실종아동 찾기, 인신매매 등 복지와 사회안전망 강화에도 도움이 된다.

하지만 생체 정보관리의 중요성을 인지 못하거나 빈약한 내부통제로 인한 정보유출, 해킹을 통한 생체 위변조는 심각한 결과를 초래한다. 세계 각국은 바이오산업의 발전을 유도하면서도 개인정보 침해 이유로 바이오인증 도입에 매우 신중하며 개인들도 생체정보 보관에 대해 여전히 거부감이 존재하고 있다. 북미와 유럽에서는 스마트폰과 같은 개인 소유 디바이스에서만 생체정보가 저장되고 관리되는 서비스가 정착중이다. 생체정보가 중앙서버에 보관되거나 개방형 네트워크를 통해 관리될 경우 정보유출 위험이 높고 탈취된 생체정보는 영구적으로 악용될 가능성이 크기 때문이다.

b-6.jpg
특히 금융거래시 활용되는 생체정보는 독립적으로 사용되기 보다는 추가적인 개인정보 연결과 일회용 패스워드 등과 결합하여야 보안성을 유지할 수 있다. 또한 바이오인증은 전자금융거래법과 금융실명제와 별도로 전자서명법상 전자서명의 효력을 인정받기 어려운 법률적 문제가 존재하고 있다. 그럼에도 불구하고 급속도로 성장하고 있는 바이오인증기술을 금융기관과 민간기업이 자율적으로 도입할 수 있도록 정부는 길을 열어주고 낡은 규제 환경을 개선할 필요가 있다. 무엇보다 국민들의 심리적 거부감과 정보유출에 대한 불안감 해소가 우선이다. 향후에도 특정 분야에 생체정보를 강제하거나 의무화할 수는 없다. 인간 고유의 생체정보는 자기결정권과 자율 선택권이 보장받아야 할 불변의 가치이다.

지난해 한국은행 금융정보화추진협의회와 금융결제원은 금융분야 바이오인증 기술의 호환성과 효율성 제고를 위해 바이오정보 분산관리센터를 구축 가동하였다. 국내 업체들의 높은 기술력과 인식률에도 불구하고 상이한 시스템 구조와 프로세스, 보안 방식 등을 보유하고 있는데다 금융기관별로 중앙서버 한곳에 온전한 생체정보를 저장함에 따라 중복투자와 정보유출 위험이 상존하였다. 미국은 국가표준원 주도로 바이오인증 기술의 호환성을 위한 표준을 제정하였지만 금융결제원에서 구축한 바이오정보 분산관리센터는 보안성과 호환성, 경제성 측면에서 세계 최고의 기술력과 운영능력을 보여주고 있다. 이러한 표준화 노력이 보다 신뢰받고 안정성을 확보하도록 자체적인 모니터링과 내부통제를 강화해나가야 한다.

지금으로부터 약 2억5천만년 전부터 6천500년까지 지구에 살다 멸종한 공룡의 피를 빨아먹은 모기가 나무의 점액질 수액에 굳어져 수많은 세월이 지나 완전체로 발견된 내용을 소재로 쥬라기공원 후속편이 이어지고 있다. 지구상에 사라진 티라노사우르스와 같은 중생대 공룡들을 부활시켜 거대한 사파리공원을 건설한다. 모기 피속에 저장된 공룡의 DNA를 추출하여 단백질과 에너지를 공급해 생명체를 만들어낸다. 하지만 자연의 순리를 거스른 박사의 유전자조작은 결국 인간의 통제를 벗어남으로써 파멸을 맞이한다.

이와 같이 인간이든 동물이든 모든 생체정보에 대한 비윤리적이고 상업적인 변형은 그 어떤 이유도 용납이 안되며 그 누구도 예측 불가능한 종말을 맞이한다. 미래에는 자신의 생명연장과 이익만을 추구한 나머지 복제된 생명을 돈벌이 수단으로 전락할 가능성도 있다. 생체정보의 불법적인 결탁은 생물학적 윤리적 논란은 차지하더라도 인간의 존엄성을 파괴하는 행위이다. 이래서 바이오인증 산업이 본격화되기 이전에 윤리적 보안에 대한 사회적 여건과 제도적 뒷받침이 조성되어야 할 이유이다.

미래 우리 사회는 기술과의 소통, 사물과의 교류, 인공과의 경험보다는 사람과의 교류와 소통이 더욱 그리워지고 사람다운 세상에서 살 수 있기를 꿈꿀 것이다. 더불어 안전한 환경속에서 생체정보를 활용하기 위해서는 바이오 테크놀로지에 대한 윤리적 보안과 양심적 행동 그리고 인간의 존엄성이 앞서야 한다. 바이오의 어원이 생명으로부터 출발하였기 때문이다.

▲ 김정혁 금융, 보안전문 객원기자
▲ 김정혁 금융, 보안전문 객원기자
※김정혁 데일리시큐 금융전문 객원기자
한국과학기술연구원과 대우증권, 한국스탠다드차타드증권, 한국은행을 거쳐 현재 진앤현시큐리티 전무이사, 한패스 자문위원 등으로 활동 중.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
관련기사
목록