지문·홍채로 은행거래…'바이오인증' 표준안 제정

[김다운기자] 지문, 홍채 등 바이오인증을 금융거래에 사용하기 위한 표준안이 마련됐다. 내년 금융결제원 분산관리센터가 운영되면 바이오인증이 본격적으로 확대될 수 있을 것으로 기대된다.

금융정보화추진협의회는 28일 금융거래에서 사용하는 개인 바이오(생체)정보의 안전성을 확보하기 위한 '바이오정보 분산관리 표준'을 제정했다고 발표했다.

최근 핀테크 활성화 및 비대면 실명확인제도 도입으로 지문, 홍채 등 바이오정보 인증이 확대되고 있는 데 따른 것이다.

금융정보화추진협의회는 1984년 구성된 한국은행과 금융기관 등 유관기관 협의체로 은행, 증권, 카드, 보험, 유관기관 등 총 28개 기관이 참여중이다.

이번에 발표된 '바이오정보 분산관리 표준'은 고객의 바이오정보를 2개로 분할해 거래 금융사와 금융결제원의 분산관리센터에 각각 보관하고 거래시 분할된 정보를 합쳐서 인증하는 방법을 표준화한 것이다.

바이오인증기술 자체가 아니라 금융기관간 또는 분산관리센터의 메시지 교환 절차만을 표준화 대상으로 함으로써 지문, 정맥, 홍체 등 바이오인식 기술은 서비스환경에 따라 금융사들이 자체적으로 선택할 수 있게 했다.

금융결제원은 이번 표준안에 따라 분산관리센터의 설립을 추진중이며, 올해 안에 분산관리센터를 활용할 금융사를 모집하고 분산관리센터를 시험운영한 후 2017년부터 바이오인증 서비스를 본격적으로 제공할 예정이다.

◆바이오인증 과정 끝나면 정보 삭제해야

표준안에 따르면 최초 등록된 바이오정보는 CBEFF(생체인증 데이터 교환 형식 표준) 규격을 준용한 등록바이오정보 추출과정을 거친 후 분할된다.

금융사나 분산관리센터 등 분할기관은 등록바이오정보를 분할한 뒤 사용된 등록바이오 정보를 삭제하고 비식별확인키를 생성한다. 이를 분할된 등록바이오정보 조각과 함께 상대 기관에 전송하며 상대기관은 비식별확인키와 바이오정보 조각을 등록하면 된다.

고객이 다른 금융기관에서 등록한 바이오정보를 사용하는 경우 대면·비대면 채널을 통해 호환인증을 요청하면 조회 금융기관은 등록여부조회키를 생성해 호환인증기술분류코드와 함께 분산관리센터로 전송한다. 분산관리센터는 이를 내부 조회해 조회 금융기관으로 조회결과 및 비식별 확인키를 전송하게 된다.

바이오정보 인증을 위해 등록바이오정보 생성을 위한 암호화된 바이오정보 조각과 인증바이오정보 간의 비교를 통해 산출된 인증 결과 정보는 전용 라인 및 다중 암호화 단계를 거친 이후 전송된다.

이후 인증 과정이 종료되면 인증 과정에서 생성된 보안 모듈 내부 바이오정보는 모두 삭제해야 한다.

이 같은 표준안 제정으로 개인 바이오정보의 안전성이 더욱 높아질 것으로 기대된다. 금융기관 및 분산관리센터는 자신이 보유한 바이오정보 조각으로부터 고객의 온전한 바이오정보를 유추할 수 없으며, 해당 정보 조각이 유출되더라도 이를 사용할 수 없기 때문이다.

또한 고객이 하나의 금융기관에 바이오정보를 등록한 경우 동일한 바이오인증기술을 이용하는 다른 금융기관에서도 추가 등록없이 금융거래를 할 수 있어 편의성도 높아질 것으로 예상된다.