[보안칼럼]은행권 생체인증 도입 의무화와 FIDO, 그리고 패스키

김태진 라온시큐어 서비스개발본부장(CTO)
김태진 라온시큐어 서비스개발본부장(CTO)

은행권 생체인증 도입 의무화에 따라 생체인증(FIDO) 기술 그리고 패스키(PassKey)에 대한 관심이 뜨겁다. 지난해 11월 금융감독원은 ‘국내은행 내부통제 혁신방안’이 담긴 은행권 내부통제 강화방안을 발표했다. 은행 내부 직원의 시스템 접근 통제를 강화하기 위한 취지다.

기존 금융권 내부 시스템에 사용되던 ‘패스워드 인증 체계’를 ‘생체 기반 인증 체계’로 변경하는 것이 주요 골자다. △준법감시부서 전문인력 최소기준 △동일부서 장기근무자 비율 제한 등 내부통제 인프라 혁신 방안과 대형 금융사고 재발방지를 위한 업무 프로세스 고도화 내용이 담겼다.

금감원 방침에 따라 국내 금융권 내부 통제 시스템에 생체인증이 단계적으로 도입될 예정이다. 금융권 생체인증 도입 완료 이후엔 일반 기업도 생채인증 방식을 내부통제에 도입할 것으로 전망된다.

나아가 구글·MS·애플 등 대형 글로벌 정보기술(IT) 플랫폼 기업은 생체인증을 보다 유연하고 강력하게 사용할 수 있는 패스키를 발표했다. 더 이상 패스워드가 필요없는 패스워드리스(Passwordless) 시대가 열린 것이다. 그동안 인증 상징으로 ‘패스워드’라는 단어가 쓰였다면, 이제는 생체 기반 패스키라는 용어로 대체될 것으로 보인다.

패스키는 글로벌 생체인증 플랫폼 단체 ‘파이도 얼라이언스’(FIDO Alliance)가 생체인증 생태계 확장을 위해 만든 FIDO2 확장 버전으로 볼 수 있다. FIDO2 기술은 W3C(World Wide Web Consortium)에 표준화된 최신 규격으로 웹브라우저 환경에서 생체인증을 사용할 수 있도록 설계돼 대부분 브라우저와 디바이스에서 사용 가능하다. 여기에 패스키가 더해지면 디바이스 변경에도 재등록 없이 사용할 수 있어 매우 편리하다.

세계 인증체계 중 가장 안전한 것으로 알려진 생체인증 FIDO는 크게 로컬인증과 원격인증으로 나뉜다. ‘로컬인증’은 생체인증 정보 관리가 사용자가 보유한 모바일 디바이스 내에서만 이뤄지는 것을 의미한다. ‘원격인증’은 단말기에서 생성된 로컬 인증 결과가 서비스 서버로 전달되는 증명값으로 볼 수 있다. 이 증명값은 생체인증에 대한 정보 없이 온라인상에 노출되더라도 재사용이 불가능한 무의미한 값으로 구성돼 있다. 결론적으로 FIDO 기술로 생체 인증을 진행하면 생체정보가 온라인상에 노출되지 않아 서버 해킹이 무의미해지며 그만큼 안전하다고 볼 수 있다. 또, 생체 센서 탑재 전용 단말기를 구매할 필요도 없다.

코로나19로 인해 촉발된 원격 근무 및 모바일 기반 업무 방식으로의 변화는 내부 업무시스템 또한 제로 트러스트 환경으로 전환시키고 있다. 기업은 직무 분리 및 준법 강화에 따른 내부 모니터링 체계 강화를 필수 불가결한 요소로 여긴다. 급격한 환경변화에 효과적으로 대응하려면 금융권은 물론 일반 기업도 패스워드 기반 내부 인증 체계를 생체인증 기반 인증체계로 전환하는 것이 반드시 필요해 보인다.

이러한 시기 변화에 금감원 발표는 아주 환영할 만하다고 볼 수 있다. 때마침 등장한 패스키가 금융기관 생체인증 의무화와 함께 내부통제를 위한 생체인증 전환의 촉매제가 될 것으로 보인다. 또, FIDO 기술을 적용해 민감한 나의 프라이버시 생체 정보가 중앙 서버에 저장되는 것을 막고, 생체 인식 전용 단말기 구매에 따른 비용도 줄일 수 있다는 점에서 FIDO2 기술 또한 더욱 각광받을 전망이다. 업계는 시장 변화가 국내·외 생체인증 시장의 또 다른 성장 동력이 될 것으로 기대하고 있다.

김태진 라온시큐어 서비스개발본부장(CTO) tjkim1212@raoncorp.com