기사 본문 영역

상세페이지

눈으로, 목소리로 ‘결제 끝’…생체인증 본격화
입력 2016.05.25 (10:02) 취재K
생체 인증은 이미 생활 깊이 들어와 있다. 아이폰은 '잠금 해제'에 지문 인식을 도입해, 홈 버튼에 손가락을 대면 전화기를 이용할 수 있게 했다. 출입문 옆에 지문이나 홍채 인식 장치를 설치해서 신분증을 대신하는 건물들도 있다.

금융 분야에도 생체 인증이 본격 도입된다. 금융 거래는 일관성, 안정성이 생명이다. 생체 인증 금융이 본격화되는 것은 사람의 외모나 목소리 같은 생체 정보가 약간 바뀌더라도 같은 사람으로 꾸준히 인식할 수 있도록 기술 수준이 향상됐기 때문이다.

"내 목소리로 인증" 한마디면 결제 끝

BC카드는 목소리로 본인 인증하는 방식을 시험하고 있다. 스마트폰에서 쇼핑 앱으로 물건을 고르고, 결제 버튼을 터치한 뒤 "내 목소리로 인증"이라고 말만 하면 모든 결제가 끝난다. BC카드 사원들은 이미 이 방식을 이용하고 있고 2주 안에 모든 사용자에게 전면 도입된다.



목소리 인증은 BC카드의 전자 인증서인 ISP의 비밀번호를 대신하는 방식이다. 마지막 결제 단계에서 비밀번호를 입력하는 대신 목소리로 본인 확인을 한다는 뜻이다. ISP에는 이미 사용자의 신용카드 번호와 유효 기간 등 기초 정보가 입력돼 있다. 결제할 때 매번 카드 번호와 비밀번호를 입력하거나, 공인 인증서를 소환할 필요가 없다. 인터넷 쇼핑에서 많은 사람들을 힘겹게 하던 액티브 액스도, 물론 없다.

감기에 걸리면? 누군가 목소리를 녹음하면?

금융 거래의 생명은 보안이다. 목소리는 누군가 흉내낼 수도 있다. 녹음으로 목소리를 훔쳐서 거래할 수도 있다. 감기에 걸리거나, 야구장에서 부산 갈매기를 몇 시간 불렀다면 목소리가 달라진다. 그럴 때 나를 인식하지 못하거나 다른 사람을 나로 착각해 거래를 승인할 가능성은?

"없다." BC카드와 목소리 인증 기술 개발 업체는 자신했다. 목소리가 달라도, 지나치게 완벽히 같아도 승인이 거절된다는 것이다. 일단 다른 사람이 흉내 낸다 해도 인증 알고리즘이 100% 걸러낸다

사람마다 목소리는 모두 달라서 아무리 흉내 내도 비슷할 수는 있어도 같을 수는 없다. 녹음을 해도 마이크 성능과 녹음한 음성을 출력하는 스피커 성능 탓에 육성과는 차이가 난다. 일반인들이 사용하는 수준의 녹음기와 스피커 정도는 우려할 필요 없다.

다만 고성능 마이크와 스피커로 속이려 든다면 속을 가능성은 있다. 하지만 한두 번이다. 파워보이스의 진세훈 수석연구원은 "목소리 인증 방식은 인증 알고리즘이 사용자의 목소리를 지속적으로 학습한다. 인간은 똑같은 문구를 여러 번 읽을 때 조금씩 달라진다. 완벽하게 같을 수는 없다. 완벽하게 같은 소리가 여러 차례 입력되면 사고로 인식한다."고 설명했다.

내 목소리가 달라지면 인증이 거절될 여지는 있다. 가벼운 목감기 수준이야 같은 사람으로 인식하겠지만 응원이 지나쳐서 목소리가 완전히 잠겼다면 인증 알고리즘이 같은 목소리가 아니라고 착각할 수 있다는 것. 물론 그럴 때는 비밀번호로 결제하면 된다. 불편할 수는 있지만 사고는 아닌 셈이다.



서울 중구 기업은행 본점에는 홍채 인식 현금 인출기가 있다. 홍채 인식 단말기에 눈동자를 인식하면 카드나 통장 없이 본인 확인이 끝난다. ATM에서는 주민등록번호를 입력한 뒤 홍채 인증을 거친다. 2중3중 안전 장치가 마련된 셈이다.

현재 기업은행은 직원 대상으로 시험 적용 중이다. 전면 시행을 위해 시스템을 구축과 함께 ATM마다 홍채 인식 장치를 설치하기 위한 작업이 진행되고 있다. 10월에는 홍채인식ATM이 전국에 도입된다.



홍채 인증을 이용하기 위해서는 먼저 은행 창구에 가서 홍채 정보를 입력해야 한다. 은행 창구에 설치된 홍채 인식 장치에서 촬영된 정보는 디지털 정보로 저장된다. 홍채 사진이 저장되는 것이 아니라 디지털 데이터가 입력된다는 뜻이다. 이 정보는 은행과 금융결제원에 절반씩 보관된다.

홍채 인증을 사진이나 영상으로 무력화할 수 있지 않을까? 독일의 해커단체 CCC는 2014년 구글 검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력해 홍채를 복제했다. 위조 지문은 별도로 제작이 필요하지만 홍채는 사진 출력 만으로 복제가 가능하다는 약점이 드러난 사례였다.

현재는? 불가능하다는 게 은행과 인증 업체 설명이다. 홍채인증 기술 업체인 이리언스 박진석 상무는 "현재 시스템은 실제 홍채인지 촬영된 사진이나 영상인지 구분한다. 촬영된 홍채는 실제 육안에서 나타나는 생체 반응이 나타나지 않는다"고 말했다.

생체 인식 시장 급팽창...보안 강화 주문도

경제적으로 생체 인식 시장의 성장세는 가파르다. 지난해 84억 달러(9조 원)에서 내년 117억 달러(12조 원)에 달할 정도라는 분석도 나온다. 국내에서도 정부청사 무단 침입 사건 이후 생체 인증 기술에 대한 관심이 높아지고 있다.

문제는 다시 보안이다. 생체 인증은 일반적으로 보안 뛰어난 것으로 평가받는다. 다만 유출될 경우 회복하기 어려운 피해를 입힐 수도 있다. 금융보안원은 보고서에서 위조한 생체 정보를 센서에 입력해 인증을 우회하는 방식, 저장소에 보관된 생체 정보를 조작하는 방식 등 8가지 취약점을 경고한 바 있다.

금융보안원은 "생체 인증 도입 시 정보가 유출 되더라도 유출된 정보를 재사용 할 수 없도록 방지 대책이 마련되어야 한다"고 지적했다. 여러 생체 정보로 이중삼중 인증을 거치거나 비밀번호를 함께 입력해야 한다는 주장도 나온다.
  • 눈으로, 목소리로 ‘결제 끝’…생체인증 본격화
    • 입력 2016-05-25 10:02:19
    취재K
생체 인증은 이미 생활 깊이 들어와 있다. 아이폰은 '잠금 해제'에 지문 인식을 도입해, 홈 버튼에 손가락을 대면 전화기를 이용할 수 있게 했다. 출입문 옆에 지문이나 홍채 인식 장치를 설치해서 신분증을 대신하는 건물들도 있다.

금융 분야에도 생체 인증이 본격 도입된다. 금융 거래는 일관성, 안정성이 생명이다. 생체 인증 금융이 본격화되는 것은 사람의 외모나 목소리 같은 생체 정보가 약간 바뀌더라도 같은 사람으로 꾸준히 인식할 수 있도록 기술 수준이 향상됐기 때문이다.

"내 목소리로 인증" 한마디면 결제 끝

BC카드는 목소리로 본인 인증하는 방식을 시험하고 있다. 스마트폰에서 쇼핑 앱으로 물건을 고르고, 결제 버튼을 터치한 뒤 "내 목소리로 인증"이라고 말만 하면 모든 결제가 끝난다. BC카드 사원들은 이미 이 방식을 이용하고 있고 2주 안에 모든 사용자에게 전면 도입된다.



목소리 인증은 BC카드의 전자 인증서인 ISP의 비밀번호를 대신하는 방식이다. 마지막 결제 단계에서 비밀번호를 입력하는 대신 목소리로 본인 확인을 한다는 뜻이다. ISP에는 이미 사용자의 신용카드 번호와 유효 기간 등 기초 정보가 입력돼 있다. 결제할 때 매번 카드 번호와 비밀번호를 입력하거나, 공인 인증서를 소환할 필요가 없다. 인터넷 쇼핑에서 많은 사람들을 힘겹게 하던 액티브 액스도, 물론 없다.

감기에 걸리면? 누군가 목소리를 녹음하면?

금융 거래의 생명은 보안이다. 목소리는 누군가 흉내낼 수도 있다. 녹음으로 목소리를 훔쳐서 거래할 수도 있다. 감기에 걸리거나, 야구장에서 부산 갈매기를 몇 시간 불렀다면 목소리가 달라진다. 그럴 때 나를 인식하지 못하거나 다른 사람을 나로 착각해 거래를 승인할 가능성은?

"없다." BC카드와 목소리 인증 기술 개발 업체는 자신했다. 목소리가 달라도, 지나치게 완벽히 같아도 승인이 거절된다는 것이다. 일단 다른 사람이 흉내 낸다 해도 인증 알고리즘이 100% 걸러낸다

사람마다 목소리는 모두 달라서 아무리 흉내 내도 비슷할 수는 있어도 같을 수는 없다. 녹음을 해도 마이크 성능과 녹음한 음성을 출력하는 스피커 성능 탓에 육성과는 차이가 난다. 일반인들이 사용하는 수준의 녹음기와 스피커 정도는 우려할 필요 없다.

다만 고성능 마이크와 스피커로 속이려 든다면 속을 가능성은 있다. 하지만 한두 번이다. 파워보이스의 진세훈 수석연구원은 "목소리 인증 방식은 인증 알고리즘이 사용자의 목소리를 지속적으로 학습한다. 인간은 똑같은 문구를 여러 번 읽을 때 조금씩 달라진다. 완벽하게 같을 수는 없다. 완벽하게 같은 소리가 여러 차례 입력되면 사고로 인식한다."고 설명했다.

내 목소리가 달라지면 인증이 거절될 여지는 있다. 가벼운 목감기 수준이야 같은 사람으로 인식하겠지만 응원이 지나쳐서 목소리가 완전히 잠겼다면 인증 알고리즘이 같은 목소리가 아니라고 착각할 수 있다는 것. 물론 그럴 때는 비밀번호로 결제하면 된다. 불편할 수는 있지만 사고는 아닌 셈이다.



서울 중구 기업은행 본점에는 홍채 인식 현금 인출기가 있다. 홍채 인식 단말기에 눈동자를 인식하면 카드나 통장 없이 본인 확인이 끝난다. ATM에서는 주민등록번호를 입력한 뒤 홍채 인증을 거친다. 2중3중 안전 장치가 마련된 셈이다.

현재 기업은행은 직원 대상으로 시험 적용 중이다. 전면 시행을 위해 시스템을 구축과 함께 ATM마다 홍채 인식 장치를 설치하기 위한 작업이 진행되고 있다. 10월에는 홍채인식ATM이 전국에 도입된다.



홍채 인증을 이용하기 위해서는 먼저 은행 창구에 가서 홍채 정보를 입력해야 한다. 은행 창구에 설치된 홍채 인식 장치에서 촬영된 정보는 디지털 정보로 저장된다. 홍채 사진이 저장되는 것이 아니라 디지털 데이터가 입력된다는 뜻이다. 이 정보는 은행과 금융결제원에 절반씩 보관된다.

홍채 인증을 사진이나 영상으로 무력화할 수 있지 않을까? 독일의 해커단체 CCC는 2014년 구글 검색을 통해 러시아 대통령 푸틴의 고해상도 사진을 출력해 홍채를 복제했다. 위조 지문은 별도로 제작이 필요하지만 홍채는 사진 출력 만으로 복제가 가능하다는 약점이 드러난 사례였다.

현재는? 불가능하다는 게 은행과 인증 업체 설명이다. 홍채인증 기술 업체인 이리언스 박진석 상무는 "현재 시스템은 실제 홍채인지 촬영된 사진이나 영상인지 구분한다. 촬영된 홍채는 실제 육안에서 나타나는 생체 반응이 나타나지 않는다"고 말했다.

생체 인식 시장 급팽창...보안 강화 주문도

경제적으로 생체 인식 시장의 성장세는 가파르다. 지난해 84억 달러(9조 원)에서 내년 117억 달러(12조 원)에 달할 정도라는 분석도 나온다. 국내에서도 정부청사 무단 침입 사건 이후 생체 인증 기술에 대한 관심이 높아지고 있다.

문제는 다시 보안이다. 생체 인증은 일반적으로 보안 뛰어난 것으로 평가받는다. 다만 유출될 경우 회복하기 어려운 피해를 입힐 수도 있다. 금융보안원은 보고서에서 위조한 생체 정보를 센서에 입력해 인증을 우회하는 방식, 저장소에 보관된 생체 정보를 조작하는 방식 등 8가지 취약점을 경고한 바 있다.

금융보안원은 "생체 인증 도입 시 정보가 유출 되더라도 유출된 정보를 재사용 할 수 없도록 방지 대책이 마련되어야 한다"고 지적했다. 여러 생체 정보로 이중삼중 인증을 거치거나 비밀번호를 함께 입력해야 한다는 주장도 나온다.
kbs가 손수 골랐습니다. 네이버에서도 보세요.
기자 정보