계좌조회는 몰라도 이체에는 공인인증서가 필수라는 공식을 깬 은행들이 등장했다. 기존처럼 공인인증서를 활용한 금융서비스는 그대로 유지되지만 추가적으로 생체인증을 대안으로 활용하려는 실험이 계속되는 중이다.
최근 KEB하나은행, NH농협은행은 생체정보만으로 공인인증서를 대체하는 방식을 선보였다. KEB하나은행은 지문에 이어 홍채정보를, NH농협은행은 지문정보를 각각 글로벌 생체인증 업계 표준인 FIDO 표준과 자체 개발한 기술을 더하는 방법으로 모바일뱅킹앱에 적용했다.
26일 KEB하나은행 IT보안부 신재호 과장은 1Q뱅크앱에 적용된 생체인증을 두고 "공인인증서 비밀번호가 아니라 아예 공인인증서를 대체하는 방식"이라며 "홍채나 지문 등을 활용해 기술적으로 부인방지효과를 낼 수 있도록 했다"고 밝혔다.
공인인증서와 FIDO 표준 기반 생체인증은 모두 공개키와 개인키를 활용해 내가 상대방과 온라인 상에서 거래를 했다는 사실을 증명할 수 있는 '공개키기반구조(PKI)'라는 글로벌 표준 보안기술을 활용한다.
차이점이 있다면 공인인증서는 제3의 공인된 기관이 당사자들(사용자-은행) 간에 인증서가 안전하게 발급됐다는 사실을 증명한다면 FIDO 표준 기반 생체인증은 사용자의 스마트폰 안에 안전한 저장소에 생체정보를 보관하고 있다는 점을 근거로 내가 직접 거래를 했다는 사실을 증명한다.
신 과장에 따르면 하나은행은 사용자가 1Q뱅크앱을 사용하기 위해 지문, 홍채 등을 처음 스마트폰에 등록할 때 본인인증용 개인키와 전자서명용 개인키가 각각 만들어진다. 이체할 때 사용자가 지문을 터치하거나 홍채를 인식시키면 스마트폰에 저장된 본인인증용 개인키와 비교해 내가 거래를 하고 있다는 사실을 확인한다. 그 다음은 전자서명용 개인키로 이체 관련 정보를 전자서명해 은행 서버에 보낸다. 은행은 자체 구축한 서버에 미리 저장해 놓은 해당 사용자의 전자서명용 공개키로 거래 내역을 확인한다.
신 과장은 "FIDO 표준을 활용한 것은 맞지만 IT자회사인 하나INS와 함께 거래 안전성을 확보하기 위한 추가적인 보안조치를 취했다"고 설명했다.
다만 계좌이체와 같은 전자금융거래를 하기 위해서는 반드시 한번은 온오프라인 상에서 신분증을 제출해 본인실명을 확인하고, 전자금융가입자로 등록하는 절차를 밟아야만 한다. 또한 공인인증서를 생체인증 방식으로 대체한다고 하더라도 이체를 위해 ARS를 통한 본인인증이나 보안카드, 일회용 비밀번호(OTP)를 입력해야한다는 점은 여전히 불편한 사항으로 지적된다.
이와 관련 신 과장은 "만약 보안카드나 OTP를 안 쓰고 홍채인증(혹은 지문인증)만으로 이체를 하게 하려면 추가적인 실명확인을 위한 절차가 들어가야할 것"이라고 밝혔다.
관련기사
- 홈트레이딩, 지문으로 공인인증 대체2016.08.29
- 생체인증 시대...보안카드-OTP 필요할까?2016.08.29
- 공인인증서2.0, 은행서 도입 시작했다2016.08.29
- 공인인증서 대체 솔루션, 증권업계로 확장2016.08.29
NH농협은행도 비슷한 방식을 썼다. 사용자 입장에서 이체를 할 때 보안카드나 OTP 등을 넣고 이체버튼을 누르면 지문인증을 한다. 그 다음은 스마트폰에서 한번 사용자를 인증하고, 해당 값을 은행 자체 서버에 보내 재검증한다. 그 뒤에 이체 관련 내역을 전자서명해 다시 은행 서버로 보내 이체를 실행한다.
NH농협은행 스마트금융부 기병석 과장은 "은행 입장에서 공인인증서를 쓰느냐 아니냐는 큰 이슈는 아니다"라며 "중요한 것은 그동안 공인인증서를 발급하거나 재발급할 때 겪는 불편함이나 공인인증서(개인키 포함)가 분실되는 문제를 해소하려고 한 것"이라고 강조했다.
