[디지털데일리 박기록기자] 홍채인증 기능이 탑재된 삼성전자의 ‘갤럭시노트7’이 3일 공식 발표됐다. 이와 함께 이날 기다렸다는 듯이 KEB하나은행과 우리은행도 동시에 ‘홍채인증 기술(삼성패스)에 기반한 금융서비스를 발표해 금융권의 주목을 끌었다.
그러나 이날 KEB하나은행과 우리은행이 각각 발표한 홍채인증 기반의 금융서비스는 구동 프로세스에서 분명한 차이점이 있다. 그리고 이 차이점은 향후 스마트폰 밴더들의 마케팅 전략에도 영향을 미칠수도 있다.
일단 두 은행의 가장 큰 차이점은 ‘공인인증서’의 적용 여부이다. KEB하나은행, 우리은행은 각각 ‘홍채 인증’을 통해 기존의 모바일뱅킹 사용시 적용했던 공인인증서는 더 이상 사용하지 않는다‘고 설명하고 있다. 하지만 정확하게 표현하면 이는 50%만 맞는 말이다.
◆KEB하나은행 - 우리은행 ‘홍채인증 금융서비스’, 어떻게 다른가? = 먼저, KEB하나은행이 자사의 모바일뱅킹(1Q 뱅크)에서 제공하는 ‘홍채 인증’기반 금융서비스의 경우를 보자. 고객이 ID및 PW, 공인인증서 등을 사용한 간단한 본인확인을 거쳐 '셀카뱅킹' 서비스에 등록을 하면, 이후 부터 홍채인증으로 로그인 및 이체 거래가 가능하다. KEB하나은행의 경우 실제로 홍채인증 데이터가 기존의 공인인증서를 물리적으로 완전히 대체하는 개념이다.
즉, KEB하나은행 고객이 절차에 따라 모바일뱅킹 홍체인증 등록 절차를 완료하면 그 자체로 본인 확인 완결됐다고 보고 ‘공인인증서’가 더 이상 존재하지 않는 방식이다. 당연히 공인인증서가 따로 존재하지 않기 때문에 기존처럼 ‘공인인증서’ 갱신 비용이나 유효기간이 존재하지 않는다. 굳이 표현하자면 KEB하나은행은 '공인인증서나 보안카드를 홍채인증으로 대체시킨 '대체형' 모델이라고 할 수 있다.
반면 우리은행의 경우는 ‘공인인증서’가 고객의 눈에는 보이지 않을 뿐 실제로는 가동되는 구조다. 이는 KEB하나은행과는 달리, 우리은행은 한국인터넷진흥원(이하 ‘KISA’)가 개발한 ‘FIDO와 공인인증서의 바이오(생체)인식 연계기술’을 적용하기 때문이다.
이 ‘FIDO와 공인인증서 연계 기술’은 지난해 5월부터 KISA가 추진해 완성한 것으로, 스마트폰 등 단말기에 인식된 바이오(지문, 홍채, 안면 등)정보가 공인인증서의 이용자 정보와 정확하게 일치하는지를 확인하는 기술이다. KISA는 올해 5월, FIDO와 공인인증서 연계 기술과 관련한 가이드라인을 완성했다.
예를들어, 이 기술을 적용하면 우리은행 고객이 ‘갤럭시노트7’에 깔린 우리은행 스마트뱅킹 앱을 로그인 한 후, 홍채인식 등록을 하는 과정에서 기존 공인인증서는 홍채인증으로 전환된다. 최초 등록 절차를 완료한 고객은 이후 사용시부터는 공인인증서 비밀번호 입력없이 홍채인증만으로 금융서비스를 편리하게 이용할 수 있다. 따라서 우리은행 방식은 공인인증서와 바이오인증을 연계시킨 '연계형' 모델이다.
다만 우리은행의 경우, 홍채인증 방식으로 전환했더라도 본질은 ‘공인인증서’이기 때문에 유효기간이 존재한다. ‘갤럭시노트7’의 경우 ‘신뢰할만한 보안 수단’으로 분류돼 유효기간은 1년이 아닌 3년이다. 따라서 우리은행 고객은 홍채인증 방식으로 모바일뱅킹서비스를 이용하더라도 기존처럼 유효기간에 맞춰 공인인증서를 갱신해야한다.
◆홍채인증은 ‘최고 수준의 보안’, 어떤 방식이든 은행이 선택할 문제 = 홍채인증 기반의 모바일뱅킹 보안 정책과 관련, KEB하나은행과 우리은행이 각각 선택한 방식은 우열의 문제가 아니라는 게 전문가들의 지적이다.
즉, ‘홍채인증’방식 자체가 이미 최고 수준의 보안수단이기 때문에 어떤 방식이 더 안전한 것인지를 놓고 논쟁할만한 실익이 없다. 어떤 방식을 선택할 것인지는 은행의 자사의 고유한 보안정책에 따라 선택할 문제라는 것이다.
다른 은행들도 곧 '갤럭시노트7' 출시와 연계한 홍체인증 기반의 모바일금융 서비스를 선보일 것으로 예상된다. KB국민은행 등은 우리은행과 같은 방식을 적용할 것을 검토하고 있는 것으로 알려졌다.
한편 갤럭시노트7의 보안구역(트러스트 존)에 내장되는 고객의 생체정보에 대해서는 은행은 어떤 형태로든 접근이 불가능하다. 스마트폰에 내장된 생체정보는 물리적으로 공유할 수 없기 때문이다.
따라서 향후 고객이 삼성전자 ‘갤럭시노트7’를 사용하다가 향후 홍채인증 기능이 적용되는 LG전자의 스마트폰으로 기기변경 또는 교체할 경우, 이 고객은 거래 은행의 앱을 설치한 뒤 홍체인식 및 은행 최초 사용등록 절차를 다시 밟아야 한다.
또한 만약 고객이 홍체인식이 가능한 삼성과 LG의 스마트폰을 동시에 사용하는 경우, 둘 중 모바일뱅킹서비스가 가능한 스마트폰을 선택해야 할 경우도 생긴다. 강화된 보안 정책에 따라 동일한 ‘공인인증서’를 동시에 두 개의 매체(스마트폰)에 담을 수 없기 때문이다.
이와관련 KISA 전자인증산업팀 박정효 선임은 “스마트폰에 저장된 공인인증서를 복사해서 다른 스마트폰에도 설치해 사용하는 것 자체가 이미 큰 보안위협으로 간주되기 때문에 이를 엄격하게 금지하는 방향으로 정책이 강화됐다”고 설명했다.