[창간기획/플랫폼이 미래다] ⑥핀테크 화룡정점 '인증보안 플랫폼' 주목
2016.02.10 08:42:44
플랫폼을 거머쥔 자가 ICT 시장을 장악한다. 소프트웨어(SW) 플랫폼은 인프라와 같아서 SW 플랫폼을 장악한 기업은 SW 시장을 주도하고 통제할 수 있다. 드론, 3D 프린터, 가상현실(VR) 등 다양한 분야에서 SW 플랫폼의 역할은 크다. 다양한 영역에서 펼쳐지는 플랫폼 경쟁의 현주소를 미디어잇이 진단해 봤다. <편집자 주>
[미디어잇 노동균] 모든 서비스의 첫 번째 관문은 ‘인증’이다. 우리는 일상생활에서 내가 다른 사람이 아닌 나임을 증명해야 하는 여러 상황에 직면한다. 상점에서 물건을 구입하고 카드로 결제한 후 사인을 하는 것은 내가 이 카드의 소유주임을 증명하기 위한 행위다.
인터넷 사이트에 접속할 때도 아이디와 비밀번호를 정확히 입력해야 입장이 허용된다. 하루에도 수십 번씩 스마트폰의 잠금을 해제하는 과정도 크게 다르지 않다. 방법은 조금씩 다르지만, 모두 인증이라는 문을 열기 위한 행동인 셈이다.
증명서를 발급받거나 돈을 송금하는 것과 같이 중요한 업무 시에는 더 복잡한 단계의 인증 절차를 요구하기도 한다. 전자금융거래에서 인증은 거래 당사자의 본인 확인은 물론, 부인방지 등 보안성 담보를 위한 중요한 요소이기 때문이다. 관련 업계가 인증 보안 플랫폼에 주목하는 이유도 여기에 있다.
◆ 핀테크, ‘편의성’과 ‘보안성’ 두 마리 토끼 잡아라
그동안 국내 전자금융거래 환경은 책임 소재가 서비스를 이용하는 주체에 쏠려 있었다. 이로 인해 거래 당사자로 하여금 액티브X와 공인인증서, 각종 설치형 보안 모듈 등을 강요함으로써 복잡성을 증가시켰다는 지적을 피하지 못했다.
이는 곧 금융규제개혁으로 이어졌다. 대통령의 ‘천송이 코트’ 언급으로 촉발된 금융규제개혁은 지난 2014년 3월 규제개혁장관회의를 시작으로 물꼬를 텄다. 때맞춰 금융과 기술의 융합을 의미하는 ‘핀테크(Fintech, Finance+Technology)’가 급부상하면서 정부는 지난해 핀테크 산업 육성을 위한 IT·금융 융합 지원방안을 내놨다.
우선 금융당국은 금융사들의 책임하에 더 편리하고 안전한 인증 보안 기술을 활용할 수 있도록 보안성 심의와 인증방법평가 제도를 폐지했다. 대신 금융사의 내부 심사나 취약점 분석평가 등 자체적으로 보안 역량을 내재화하고, 엄격한 사후점검을 통해 감독을 강화하겠다는 방침을 분명히 했다.
아울러 전자금융거래 시 공인인증서 의무 사용과 국가기관 인증 정보보호 제품 의무 사용을 폐지함으로써 보다 다양한 기술이 경쟁을 통해 발전할 수 있도록 진입 문턱을 낮췄다. 단, 이것이 공인인증서 사용을 의무적으로 폐지함을 의미하는 것은 아니다. 공인인증서를 포함해 어떤 기술이든 금융사가 선택해 사용할 수 있도록 한 것이다.
공인인증서가 다시 한 번 도마 위에 오른 이유는 핀테크가 추구하는 ‘편의성’에서 찾아볼 수 있다. 특히 최근 치열한 경쟁이 펼쳐지고 있는 간편결제 시장은 편의성을 전면에 내세워 그간 복잡하고 불편했던 온라인 결제 서비스와의 차별점을 강조하고 있다. 이들 진영은 마치 결제 프로세스의 간소화만이 핀테크의 목적이라고 외치는 듯하다.
그러나 어디까지나 금전이 오가는 서비스인 만큼 편의성만을 내세워서는 간편결제의 성공을 점치기 힘들다. 아무리 간편한 서비스라 하더라도, 해킹이나 개인정보 유출과 같은 보안 위협에 대한 안전성이 보장되지 않는다면 해당 서비스를 믿고 사용할 이는 많지 않을 것이다. 편의성과 보안은 동전의 양면과도 같다는 보안 업계의 명제는 핀테크도 결코 피할 수 없는 셈이다.
실상 사용자 입장에서는 어떤 서비스를 이용함에 있어 어떤 보안 기술이 뒷받침되고 있는지를 알 필요가 없다. 이는 자물쇠의 작동 원리를 모르더라도 누구나 손쉽게 자물쇠를 이용해 문을 잠그고 열 수 있어야 하는 것과 같다. 더 튼튼하고 안전한 자물쇠 설계에 대한 고민은 서비스 제공자와 보안 업계의 몫이다.
◆ 지문에서 행동까지…차세대 인증 보안 플랫폼 주도권 향방은?
인증 보안 기술은 크게 사용자단에서 이뤄지는 클라이언트 기반과 서비스 제공자단에서 이뤄지는 서버 기반으로 구분된다.
클라이언트단에서는 주로 비밀번호와 같이 사용자의 기억에 의존하는 지식기반 인증과 사용자 고유의 디바이스 등을 활용하는 소유기반 인증, 지문이나 홍채, 정맥 등의 생체정보를 비롯해 얼굴인식, 음성인식 정보 등을 활용하는 바이오 인증이 하나 또는 둘 이상 결합돼 사용된다.
소유기반 인증은 대부분 둘 이상의 매체를 기반으로 인증을 수행한다. IC칩을 내장한 신용카드를 스마트폰에 접촉시키는 방식이 대표적이다. 사용자가 두 매체를 모두 소유하고 있어야 하고, 여기에 추가로 비밀번호 입력이나 지문 인식 등을 결합해 보안성을 더욱 높인다. ‘~페이’로 불리는 서비스들의 결제 인증이나 일회용 비밀번호(OTP)를 생성하는 용도로도 많이 사용된다.
또한, 바이오 인증 기술은 최근 파이도(FIDO, Fast IDentity Online) 진영을 중심으로 핀테크 시대의 핵심 성장 동력으로 급부상하고 있다. 파이도는 바이오 인증에 필요한 생체정보를 서비스 제공자 서버에 저장하지 않고, 사용자 단말기에서 안전하게 처리할 수 있도록 하는 새로운 기술로 각광받고 있다. 현재 파이도 기술 표준을 공유하고 있는 파이도 얼라이언스를 중심으로 글로벌 유수의 IT 기업 및 금융사들이 표준화 확산에 박차를 가하고 있다.
서비스 제공자의 서버단에서는 사용자 단말기나 네트워크를 통해 수집한 정보를 분석해 부정 거래를 파악하는 이상거래탐지시스템(FDS)이나 분산형 장부 데이터베이스 기술 블록체인 등의 기술이 주로 언급된다. 이들 기술은 요청받은 인증의 승인·비승인을 결정하는 소극적인 역할에서 벗어나 보다 능동적으로 거래 상황을 인지하는 것이 목적이다.
한편, 별도의 영역을 구분해 정보 교환을 통제하는 안전실행환경(TEE)이나 가상 번호를 활용하는 토큰화 등 모바일 디바이스 및 서버상의 데이터 보호 기술도 서비스 제공자의 핀테크 보안 수준을 대변하는 중요한 요소로 부각되고 있다. 지난해부터 금융보안원이 시행하고 있는 핀테크 신기술 보안 수준 진단 업무에서도 TEE와 토큰화를 빼놓지 않고 있다.
노동균 기자 yesno@it.co.kr