"공인인증서 어찌하오리까"…은행들 고민

은행권의 고민이 깊어졌다. 금융업무를 볼 때 공인인증서를 보완해서 쓰게 하느냐 아니면 아예 대체하는 방식을 쓰냐는 선택의 기로에 놓였기 때문이다. 금융서비스에 생체인증을 접목시켜보겠다는 의지는 같지만 어떻게 적용할까에 대해서는 은행마다 방식이 갈린다.

최근 삼성전자 갤럭시노트7 출시에 맞춰 우리은행이 공인인증서 보완을, KEB하나은행이 공인인증서 대체 방식을 각각 도입한 데 이어 9월~10월 중에는 KB국민은행이 홍채인식은 공인인증서 대체로, 지문은 공인인증서를 보완하는 방식으로 가닥을 잡았다. 발빠르게 홍채인식을 도입했던 우리은행은 이러한 방식을 인터넷뱅킹에까지 확대한다.

30일 시중은행, 공인인증기관, 한국인터넷진흥원(KISA) 관계자들에 따르면 다른 곳보다 생체인증 분야에 뒤늦게 뛰어든 KB국민은행은 두 가지 방식을 모두 활용해 보겠다는 계획이다.

KB국민은행 관계자는 "KB스타뱅킹앱(모바일뱅킹앱)에 삼성페이(지문인식), 삼성패스(홍채인식) 방식을 둘 다 적용할 계획"이라고 밝혔다. "홍채인식을 통한 공인인증서 대체 서비스와 함께 지문으로 공인인증서 로그인 비밀번호를 대신하는 서비스도 함께 내놓는다"는 설명이다.

이어 그는 "기존 공인인증서는 KB국민은행에서 발급하더라도 다른 은행에서도 등록해서 범용으로 쓸 수 있었지만 홍채인식으로 사용자가 여러 은행마다 따로 등록해서 써야한다는 불편함이 있다는 점은 앞으로 개선이 필요한 부분"이라고 덧붙였다.

갤럭시노트7의 홍채인식을 활용해 공인인증서 로그인 비밀번호를 대체하는 서비스를 내놓은 우리은행은 이를 PC, 노트북을 활용하는 인터넷뱅킹으로까지 확대해 오는 10월 말에 오픈한다. 갤럭시노트7으로 홍채인식을 하면 우리은행 인터넷뱅킹 웹사이트에서 계좌조회나 이체 등 업무를 볼 수 있도록 하겠다는 것이다.

우리은행 스마트금융부 관계자는 "인터넷뱅킹 도중 스마트폰으로 인증하는 방식은 전혀 다른 매체를 쓰기 때문에 어려운 기술 중 하나"라며 "PC나 노트북과 스마트폰 간에 안전하게 통신을 할 수 있도록 암호화 기술 등을 자체 개발해 도입하는 중"이라고 설명했다.

생체인증으로 공인인증서를 아예 대체하는 서비스가 등장하고 있는 가운데 공인인증서 보완 방식은 기존 공인인증서를 발급해 사용하는 과정에서 사용자가 겪어야 했던 여러가지 불편함이나 인증서와 개인키 보관에 대한 보안문제를 어느 정도 해소하는 방법으로 응수했다.

KISA 전자인증팀 박상환 팀장은 "우리은행 방식은 갤럭시노트7 내에 안전한 저장소인 트러스트존에서 홍채정보를 기반으로 한 공인인증서와 개인키가 생성되고, 이 정보는 밖으로 빠져나가지 않는다"며 "그 대신 보안카드, ARS, 일회용 비밀번호(OTP)가 없이도 이체 등 업무를 할 수 있도록 했다"고 설명했다. 이전처럼 스마트폰이나 PC, 노트북 내에 공개된 폴더에 공인인증서와 개인키가 저장돼 공격자에게 손쉽게 유출되는 일은 없다는 뜻이다.

기존에 사용자들은 공인인증서 로그인을 위해 쓰는 비밀번호를 포털사이트 등 다른 웹사이트 로그인에 쓰는 것과 같은 번호를 쓰는 탓에 각종 금융사고에 노출되기도 했었다. 이러한 비밀번호를 홍채정보를 대체해 공격자에게 쉽게 유출되거나 악용되지 못하도록 했다.

관련기사

이와 함께 공인인증서 발급기간도 기존에는 1년이지만 홍채인식 기반 공인인증서의 경우 3년으로 연장해 매년 재발급해야하는 번거로움을 줄였다.

이와 관련 KISA는 지난 1월~5월까지 삼성전자, LG전자 등 스마트폰 제조사와 함께 '바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인'이라는 생체인식 기반 공인인증서 기술 가이드를 마련해 배포하는 중이다. 25일에는 스마트폰 내 안전한 저장소로 꼽히는 트러스트존, 유심, 금융IC카드에 공인인증서와 개인키를 저장해 PC, 노트북에 액티브X 등을 활용한 추가 프로그램 설치하지 않고서도 인터넷뱅킹을 할 수 있는 방안을 다룬 '간편 공인인증서 인터페이스 가이드라인'을 배포했다.