스마트폰의 대중화 이후 모바일 결제서비스의 보안 이슈가 크게 대두되고 있다. 특히 각종 금융보안 사고를 방지하기 위한 인증기술의 필요성도 높아지는 모습이다. 

현재 다양한 인증기술이 소개되고 있는데 그 중에서도 생체인식 시스템에 대한 관심이 확대되고 있다. 이번 글에서는 모바일 결제서비스의 보안 이슈와 함께 모바일 결제서비스 인증기술 이슈에 대해 살펴보도록 하겠다.

개요

스마트폰 사용이 대중화되면서 개인(사용자) 인증 및 모바일 지급결제 서비스 수단으로 빠르게 확산되고 있다.

스마트폰은 피쳐폰에서의 모바일 뱅킹, VM뱅킹(칩 뱅킹) 및 폰뱅킹 서비스와 달리 금융기관을 직접 방문하여 서비스에 가입하고, USIM 칩에 응용프로그램을 설치하는 등의 절차가 필요 없이 공인인증서만 있으면 해당 금융기관의 앱(Application)을 다운로드 받아 언제 어디서나 편리하게 뱅킹서비스를 제공받을 수 있다.

이처럼 해당 금융기관의 웹(web) 접속을 통한 뱅킹서비스를 인터넷뱅킹으로 통칭할 수 있다. 인터넷 접속은 PC뿐만 아니라 스마트폰에서도 가능하기 때문에 스마트폰을 이용한 모바일뱅킹도 인터넷뱅킹에 포함된다. 

아울러 인터넷뱅킹 서비스는 모바일 뱅킹, VM뱅킹, 폰뱅킹처럼 서비스를 받을 때마다 수수료가 발생하지도 않는 장점이 있다.

스마트폰 기반의 인증 및 결제 서비스는 개인정보 집약체로서 휴대성과 이용성 측면에서 다양한 편리함을 제공하고 있다. 하지만 개방성이 강한 인터넷 망을 기반으로 하고 있어 다양한 통신환경에 노출되어 있다는 취약점으로 인해 높은 수준의 인증방법에 대한 필요성이 제기되고 있다. 개인정보 유출 및 취약한 인증시스템 등으로 인한 근래의 금융보안 사고는 개인정보(특히 금융정보)를 어떻게 관리해야 하는지에 대한 사회적 과제를 제시하고 있다.

이 연구에서는 3G 이동통신시스템부터 사용이 본격화된 USIM 칩을 이용한 보안서비스와 스마트폰의 급속한 보급과 앱을 통한 초간편 뱅킹서비스 중심의 스마트 금융보안 서비스 등의 모바일 결제서비스의 보안 이슈, 모바일기기의 개인정보를 보호하고 네트워킹 시 보안위협을 예방하기 위한 인증기술의 필요성과 아울러 근래 들어 매우 다양한 응용분야에 적용이 확산되고 있는 생체인식 시스템의 응용 등의 모바일 결제서비스 인증기술 이슈에 대해 설명한다.

모바일 결제서비스 보안 이슈

1. USIM을 이용한 보안서비스

3G 이동통신시스템부터 사용이 본격화된 USIM 칩은 가입자 인증기능 외에도 신용카드, 뱅킹, 멤버십 결제, 교통카드, 마일리지, 상품권 및 쿠폰, LBS 등 다양한 분야에 활용되고 있다. 

USIM의 메모리에는 가입자 번호, 이용자 ID 및 주소록 등 중요한 개인정보와 아울러 여러 장의 프라스틱(실물) 카드를 하나로 줄여줄 수 있는 편리한 기능도 있으며, 보안성도 뛰어나다.

이러한 장점으로 인해 USIM 기반 서비스는 확대 추세에 있다. 특히 멤버십 서비스는 휴대폰으로 본인의 멤버십 마일리지 조회, 제휴가맹점 확인 등 기본적인 서비스를 쉽게 이용할 수 있다. 또 제휴가맹점에서 동글(모바일 터치)에 접촉하여 쉽게 멤버십 포인트 결제 및 할인 등의 혜택을 받을 수도 있다.

이처럼 USIM을 활용한 신용카드 기능이 주목받으면서 이동통신사 및 신용카드사 등이 협업을 통해 편의 서비스를 제공하고 있다. USIM 기반의 신용카드는 결제 시 반드시 신용카드 비밀번호를 입력하도록 되어 있어 휴대폰 분실 시에도 타인이 사용할 수 없도록 보안이 강화되어 있다. 특히 이동통신사들은 다양한 서비스를 활용할 수 있는 기능이 탑재된 보안이 강화된 단말 서비스를 제공하고 있다.

PC에서 웹 접속을 통한 은행거래 및 결제서비스는 모바일 환경의 발전에 따라 스마트폰에서 모두 해결할 수 있는 시대가 되면서 모바일 금융 서비스가 획기적으로 발전하고 있다. 이는 기존의 모바일 뱅킹, VM뱅킹 및 폰뱅킹 이용 시 불편했던 제약사항들을 개선하고 이동통신망(모바일 네트워크)을 이용하여 언제 어디서나 편리하게 이용할 수 있는 휴대성과 이동성을 제공하고 있다. 또한 모바일기기의 휴대성을 이용하여 신용카드 결제, 쿠폰, 멤버십 등 통합서비스를 제공할 수 있는 기능으로 발전하면서 유기적으로 활용할 수 있는 기반이 되고 있다.

다양한 금융 및 모바일 어플리케이션 서비스에서 개인정보의 활용을 위해 사용자의 이용약관 및 정보수집에 대해 사전 동의를 받고 있으며, 이렇게 수집되어 활용되는 개인정보에 대한 관리의 중요성은 모바일 보안시장에서 매우 중요하게 부각되고 있어 불안전한 정보활용 서비스에 대한 해결방안의 필요성이 증가되고 있다.

2. 스마트 금융보안 서비스

VM뱅킹 서비스는 2007년부터 본격화되어 다양한 사용자 층을 확보하면서 혁신적인 금융서비스로 대중화되었으나 스마트폰이 급속히 보급되고 앱을 통한 초간편 뱅킹서비스가 상용화되면서 2016년부터 완전히 종료된다. 지금의 스마트폰 뱅킹처럼 대중화되었던 VM뱅킹 서비스가 종료되는 가장 큰 이유를 분석해보면 다음과 같은 이유가 있다.

• 2014년 3분기 VM 뱅킹 등록고객 수는 약 829만 명, IC칩 뱅킹 등록고객은 약 368만 명으로 전체 모바일뱅킹 등록자수(5756만 명)의 20.8%를 차지한 것으로 나타났다. 그러나 이동통신 3사가 집계한 실제 이용자 수는 약 6만여 명으로 추정되어 수수료 수익보다 유지보수 비용이 더 들어가는 상황이 되어 서비스를 종료하게 된 것이다.

• 스마트폰의 대중화와 앱을 통한 초간편 금융보안 서비스가 빠르게 확산되면서 USIM을 이용한 보안서비스가 3G 이동통신시스템을 정점으로 사실상 이용률이 급격히 낮아지고 있어 이용자수 대비 유지보수 비용이 더 들어가는 상황이 되어 서비스를 종료하게 된 것이다.

• 모바일 뱅킹 및 VM뱅킹 서비스가 USIM 칩을 이용한 보안서비스가 해킹에 취약하고, 별다른 법적 구속력 없이 이용자 간 USIM 칩을 서로 교환하여 사용할 수 있어 신종 금융범죄 등의 금융보안 사고를 유발할 수 있는 원인을 제공하고 있어 보안강화를 위해 서비스를 종료하게 된 것이다.

이러한 이유로 인해 이동통신 3사가 은행권을 상대로 VM 뱅킹, IC칩 뱅킹 서비스를 종료해줄 것을 요청하게 된 것이다. 금융권 입장에서는 저소득층과 노년층에서는 아직도 모바일뱅킹을 이용하는 사람이 있어 고객 서비스차원에서 서비스 종료 결정이 어려웠지만 더 이상 칩 발급이 안 되고 신종 금융범죄 예방에도 취약하다는 점을 들어 이를 수용하게 되었다.

이로써 모바일뱅킹 서비스는 인터넷뱅킹, 스마트폰 뱅킹으로 이관되게 되었다. 2014년 3분기 기준, 인터넷뱅킹 등록고객 수는 9490만 명(전년 동기 대비 143만 명 증가), 스마트폰 뱅킹은 4559만 명(전년 동기 대비 262만 명 증가)으로 나타났다.(표 1 참조)

▲ 표 1. 인터넷뱅킹 및 스마트폰 뱅킹 등록고객 수_2014년 3분기

모바일 개인정보 유출 및 취약한 인증시스템 등으로 인한 보안사고가 증가하면서 보다 강력한 보안시스템의 필요성이 요구되고 있다. 이에 국내 스마트폰 제조업체들도 외산업체와 손잡고 보안기술을 구현하는 데 주력하고 있다. 이를 간단히 요약하면 다음과 같다.

• 삼성전자와 LG전자는 각각 외산 보안소프트웨어 업체인 앱솔루트소프트웨어 및 인텔시큐리티 등과 기술협력을 확대하는 데 총력을 기울이고 있다. 이처럼 다양한 유형의 개인정보보호 서비스를 제품설계 단계에서부터 반영하여 개발하고 있다.

• 모바일 기술의 발전 및 환경의 변화에 따른 국내외 다양한 업체들이 사용자의 개인정보를 지키려는 움직임을 보이고 있다. 해외 솔루션의 수입이 아닌 국내 보안강화 방안 및 관련 기술에서의 선두 주자로서 높은 보안성을 제시할 수 있는 솔루션 구축에 주력하고 있다.

모바일 결제서비스 인증기술 이슈

1. 인증 기술의 필요성

모바일기기에 저장된 개인정보를 보호하고 네트워크 사용 시 발생할 수 있는 보안위협을 예방하기 위해서는 보다 더 높은 보안강도를 갖는 인증기술에 대한 필요성이 증대하고 있다. 보안프로세스가 복잡해질수록 해킹에 대응할 수 있는 기반이 마련될 수 있다. 다만, 사용자의 비밀번호 등의 정보를 입력할 때에는 다소 불편함이 따를 수 있다.

그러나 모바일 지급 결제 서비스 수요자들은 기존의 모바일 뱅킹, VM뱅킹(칩 뱅킹) 및 폰뱅킹 서비스에 비해 차별적인 특성과 아울러 간편한 지급결제 절차를 요구하고 있다.

기존의 인터넷 뱅킹에서는 공개키 기반의 공인인증서가 주로 사용되었으나 스마트폰뱅킹에서는 모든 플랫폼에서 작동되는 오픈뱅킹에 대한 수요가 증가하고 있다. 즉, 공인인증서 이외의 기존방식과 차별화되고 사용자 고유의 key로 인정할 수 있는 다음과 같은 인증수단에 대한 필요성이 증가하고 있다.

• 새로운 인증기술의 필요성에 부합하며, 높은 보안성과 이용편의성을 충족하는 생체인식 기술이 스마트폰 하드웨어의 발전과 함께 모바일 지급결제 등에 적용될 수 있기를 요구하고 있다.

• 기존 소프트웨어 기반의 보안 솔루션의 단점을 극복하는 하드웨어 기반의 모바일 보안강화 서비스를 요구하고 있다.

2. 생체인식 시스템의 응용

생체인식 시스템은 매우 다양한 응용분야에 적용되고 있으며 그림 1과 같이 사용자를 등록하는 과정과 사용자 자신이 자신임을 확인받는 인증(verification, 1:1), 데이터베이스에서 사용자를 찾아내는 인식identification, 1:N) 과정으로 나누어진다.

▲ 그림 1. 사용자 등록 및 인증과정

이들 과정은 각기 장단점이 있으며, 사용자가 원하는 적용분야에 따라 적절한 것과 그렇지 못한 것이 있어 활용계획에 따라 면밀히 검토할 필요가 있다. 대표적인 생체인식 기술을 간단히 요약하면 다음과 같다.

• 지문인식: 지문인식 장치를 사용하기 위해서는 하나의 손가락을 영상획득 장치에 있는 평면위에 놓는데 개인용으로 사용되는 대부분의 지문인식 장치들은 원본데이터로 원래의 지문의 영상을 그대로 저장하지 않고 이로부터 추출된 특징 정보만을 저장한다. 이러한 시스템들은 등록된 지문데이터로부터 원래의 지문영상을 재생할 수 없기 때문에 법적인 증명방법으로 사용될 수는 없으나 반대로 개인의 정보를 보호하는 기능을 하게 된다.

•홍채/망막인식: 홍채인식은 자연스런 상태에서 획득된 영상을 이용할 수 있어 매우 다양한 분야에 적용되고 있다. 특히 사람의 홍채는 사람마더 고유한 특징이 있는 유기체 조직으로 되어 있어 통계학적으로도 DNA 분석보다 정확하다고 알려져 있다.

• 얼굴인식: 생체인식 방법 중 가장 자연스러운 방법으로 지문과 같이 지문입력 장치에 손가락을 접촉하지 않고 비접촉으로 자연스럽게 인식 할 수 있는 장점이 있다. 그러나 조명의 변화에 민감하고, 변장하거나 세월의 흐름에 따른 얼굴변화 등의 약점이 있어 지문이나 홍채인식에 비해 높은 인식률을 나타내지는 못하고 있다.

• 음성인식: 음성취득 장치인 마이크는 다른 생체획득 장치에 비해 저가이고 PC 또는 PDA, 휴대전화 등에 기본적으로 탑재되어 있어 다른 생체인식에 비해 취득장치에 드는 비용이 거의 없다는 장점이 있다. 지문이나 홍채/망막 인식에 비해 에러율은 높지만 음성정보처리, 화자인식 등의 분야에서 활발하게 연구되고 있다.

• 기타 미국 스탠포드 대학의 연구팀에 의해 약 4000명의 손가락 형태를 분석하여 데이터화하여 만든 시스템인 손모양 인식, 손등의 피부로부터 정맥패턴을 추출하는 방법으로 손등의 정맥인식 시스템인 손혈관 인식, 약 1세기 전부터 계약체결 등의 증빙목적으로 이용되면서 법적인 효력을 갖고 있는 서명인식 방법 등이 있다.

맺음말

사용자 인증 및 금융거래 등의 모바일 서비스의 보안을 강화하는 데 생체인식 기술이 모바일 최적화 적용 및 하드웨어 secure 기반의 보안강화 서비스에 빠르게 확산되고 있다. 단말기 영역에서는 secure 영역에서 동작할 수 있는 생체인식 모듈, 보안강화 I/O모듈, 암호화/복호화 모듈 및 normal 영역에서의 보안 agent의 개발을 목표로 지속적으로 발전하고 있다.

아울러 실제 보안강화 서비스를 제공할 수 있는 secure administrator(보안관리자) 서버 구축을 통해 기존의 모바일 지급결제, 인증 등 보안강화가 필요한 부분에 상용서비스가 제공되고 있다.

이러한 생체인식 기술을 모바일 지급결제, 인증 등 보안서비스에 효과적으로 적용하기 위해서는 선진화된 얼굴/음성/지문/서명 등 생체인식 모듈의 구현 및 최적화, 암호화/복호화 모듈 및 보안강화 I/O제어 모듈 기반의 모바일 보안강화 플랫폼 구현, 보안관리 서버의 보안을 강화할 수 있는 상용화 관리기술, 암호화 통신기술, 디바이스 최적화 및 관리/제어 기술 등이 필요하다.

아울러 생체인식 기술이 모바일 지급결제, 금융 및 사용자 인증에 활용할 수 있는 보안강화 서비스 플랫폼이 되기 위해서는 하드웨어 기반의 보안강화 기능이 함께 제공됨으로써 해킹, 휴대폰 분실 및 악의적 공격에 대해서도 보다 강화된 안전성을 제공할 수 있어야 한다.

박세환 박사 한국과학기술정보연구원 ReSEAT프로그램 전문연구위원