[전문기자 칼럼]주민증 위조지문, 범정부 보안대책 수립해야

얼마 전 국감 현장에서 눈길을 끄는 시연회가 열렸다. 송희경 의원이 주민등록증 뒷면에 코팅된 지문을 위조해 아이폰을 간단히 무장해제 시켰다. 불과 1분도 채 걸리지 않았다. 가장 안전하다고 생각한 생체인증이 주민증 뒷면 지문 하나로 순식간에 허점을 드러냈다.

국내 대표 간편결제 애플리케이션(앱)과 인터넷전문은행, 정부가 운영하는 대표 사이트 '정부 24'도 줄줄이 위조지문 하나로 뚫렸다. 결국 행정안전부는 정부24 민원 사이트에서 지문인증을 막아버렸다. 아울러 민원발급기 대상 전수조사를 벌인다고 한다. 뒤늦게라도 대책 수립에 나서 다행이지만, 제대로 된 대책을 마련할 수 있을 지 우려된다.

생체인증은 공인인증서를 대체할 차세대 기술로 각광받고 있다. 비대면 실명 확인 보편화와 무점포 중심의 인터넷전문은행 개설에 앞서 생체인증 기술이 빠르게 금융권으로 침투할 전망이다. 내 몸이 곧 비밀번호가 되는 시대다.

많은 금융사가 디지털 키오스크, 홍채인증, 지문인증 등을 속속 도입했고 가장 많이 활용되는 방식이 지문인식이다.

간단하고 기기도 저렴하기 때문이다. 한국인터넷진흥원에 따르면 지문 인식이 전체 생체인식 시장 60% 가량을 차지한다. 시장 조사 업체 IHS테크놀로지는 애플과 삼성이 지문인식 시장을 촉진, 2020년 시장 규모가 지금의 4배인 170억달러 수준으로 내다봤다.

하지만 국내 재래식 주민등록체계가 발목을 잡고 있다. 오히려 위·변조 등을 통해 금융 사고를 부추기는 촉매로 악용되고 있다.

정부는 소 잃고 외양간 고치기를 할 게 아니라 지문이 코팅된 주민등록증 체계 자체를 바꾸는 정책을 고민해야 한다.

지문이 이용되는 모든 IT기기와 행정, 주민등록증의 전자신분증 전환 등 각 부처별로 콘트롤 타워를 만들어야 한다. 위조지문 악용을 근절하고 생체인증 산업을 육성하는 투 트랙 전략이 필요하다.

금융은 물론 컴퓨터·정보시스템 보안, 통신기기 및 서비스 관리, 출입관리, 의료복지 및 공공 분야 등 광범위한 분야에 지문인증기술 체계 도입과 함께 보안표준과 관리, 신기술을 적용해 위변조를 사전 차단해야 한다.

내 몸이 곧 디지털 세상, 나아가 다양한 일상으로 통하는 열쇠가 되는 시대다. 쉽게 이용할 수 있는 기술일수록 그만큼 책임과 보안을 강화해야 한다.

금융사와 정부부처 등도 각종 생체인증 보안 인프라 투자에 나서야 한다. 부정행위 빈도에 비해 보안 인프라 확산이 더디다.

보안 인프라 중 하나인 모바일 지갑(월렛)의 경우 연간 수익 1억달러를 초과하는 소매업체 약 40%만 도입했다. 1억달러 미만 소매업체는 23%에 그쳤다. 모바일 부정행위는 급증하지만 업체들의 모바일 부정사용 관리는 소극적이라는 의미다.

생체인식 보안 투자는 더 열악하다. 불과 1%에 불과하다. 모바일 멀웨어 감지는 5.9%, 모바일 SDK 6.4%, 근거리무선통신(NFC) 3.4%, OTP 6.9%에 머물렀다. 반면 재래 방식인 전화번호 식별은 18.2%, SMS 11.8%, AVS(주소기반검증 서비스)는 38.9%로 높았다.

인공지능, 생체인증 등 모바일 부정행위 차단을 높일 수 있는 인프라 확대가 시급하다. 가장 빠르게 보급되는 생체인증은 더 강조할 필요가 없다.

길재식 금융산업 전문기자 osolgil@etnews.com