#. “모바일 결제요? 절대 안해요. 아무리 쉽고 빠르게 결제할 수 있다 해도 행여 개인정보가 유출될까 무서워서요.” 직장인 A씨(32·남)는 최근 빠른 속도로 확산되는 인터넷·모바일결제에 거부감을 갖고 있다. 현금과 카드결제 등 현장결제 외의 인터넷·모바일결제를 사용하지 않는 것. 그는 과거 시중은행과 카드사, 온라인쇼핑몰 등에서의 반복된 정보유출 사건이 모바일결제에 부정적인 생각을 갖도록 만들었다고 말했다.
2014년 금융사의 대규모 개인정보유출로 신용카드를 재발급받으려는 고객들로 북새통을 이룬 롯데백화점. /사진=머니투데이 홍봉진 기자

결제, 송금, 개인자산관리 등 기본적인 금융영역에 복잡한 정보통신(ICT)기술을 접목한 핀테크시대에 진입하면서 A씨처럼 정보 보안을 걱정하는 이들이 늘고 있다. 통계청이 조사한 ‘2014년 지급수단 이용행태 조사결과’에 따르면 모바일결제를 사용하지 않는 이들의 78.3%가 ‘정보유출 및 보안 우려’를 이유로 들었다. 1년 전인 지난 2013년 72.3%에서 5%포인트 늘어난 수준이다.

◆핀테크 선행과제 ‘보안’


이는 2013년 카드 3사 개인정보유출사고, POS(포스)시스템 해킹 등 크고 작은 금융사고가 잇따르면서 국내 이용자의 불안감이 심화된 데 따른 것으로 풀이된다. 실제 지난해 악성코드 유포시도는 전년 대비 무려 366% 증가했으며 전자금융사기는 6959건에서 3만9873건으로 573%나 늘었다.


따라서 전문가들은 핀테크시대에 선행돼야 할 최대과제이자 난제로 보안을 꼽는다. 장상수 한국인터넷진흥원 연구원은 “보안이 뒷받침되지 않으면 핀테크시대에서는 어떤 보안 위협이 발생할지 모른다”며 “핀테크 보안기술이 금융시장에서 최고의 경쟁력이 될 것”이라고 설명했다.
바이오인식업체 관계자가 홍채인식 금융 보안 및 결제 서비스 기술을 시연해 보이고 있다. /사진=뉴시스 최동준 기자

생체, 지문·얼굴·음성 인식

국내 연구진 역시 핀테크시대의 본격 진입에 앞서 기술개발에 열을 올리고 있다. 최근 한국전자통신연구원은 지문·얼굴·음성 등을 이용해 온라인상에서 물건을 구매하는 인증솔루션을 개발하는 데 성공, 올해 안에 상용화를 목표로 하고 있다. 그동안 온라인상에서 물건을 구매하거나 본인 인증 시에는 아이디(ID)와 패스워드를 입력해야 했지만 이 기술을 통하면 지문·얼굴·목소리로 결제는 물론 패스워드 없이 로그인(접속)이 가능하다. 매번 새로운 프로그램을 받지 않아도 될뿐더러 해킹 등에 의해 비밀번호가 유출되더라도 기존 인증시스템과 달리 해당 사이트에서만 문제가 발생해 더 이상의 확산피해가 없는 것이 장점이다.


앞서 중국 최대 전자상거래업체 알리바바그룹의 마윈 회장은 지난 3월 열린 하노버 전자통신박람회 개막식에서 자사 전자결제플랫폼인 ‘알리페이’에 얼굴인식을 결합한 스마일투페이를 직접 시연했다. 스마트폰에서 ‘구매’ 버튼을 누르면 알리페이 앱이 이용자의 얼굴을 인식해 사전에 저장된 사용자 정보와 비교한 후 결제를 승인하는 방식이다.


단, 전문가들은 금융권에 생체인식 기능을 도입하기 위해서는 ‘위조판별 성능평가’가 우선돼야 한다고 강조한다. 애플 등 스마트폰기기 제조사가 결제플랫폼 애플페이에 지문인식 기능을 적용했으나 독일의 해커단체가 지문복제를 시연해 안전성에 위협을 가한 바 있어서다. 금융보안원은 “비밀번호는 유출 시 변경이 가능하지만 생체인식정보는 유출 시 영구적으로 악용될 수 있다”며 “위조판별 성능평가의 도입이 매우 중요하다”고 지적했다.
/사진제공=얍

OTP, 삽입하거나 삭제하거나 


일회용 패스워드를 일컫는 ‘OTP’ 또한 진화를 거듭하고 있다. OTP는 동일한 패스워드를 반복해 사용하는 것을 막아 보안상 취약점을 극복하는 데 쓰이지만 별도로 OTP기기를 휴대해야 하는 점이 불편했다. 그런데 최근 OTP카드 개발업체인 스마트이노베이션이 OTP를 내장한 선불 및 체크카드를 개발했다. 한장의 카드에 금융IC칩과 OTP기능을 내장해 일반결제카드의 기능과 금융거래를 동시에 할 수 있도록 한 것. 여기에 블루투스, NFC(근거리무선네트워크) 등 다양한 모듈을 추가해 핀테크서비스도 안전하고 편리하게 사용할 수 있도록 돕는다. 현재 국내 주요은행과 제품 공급을 논의 중이다.


OTP생성기를 아예 없애는 방식도 있다. SK텔레콤은 지난달 영국의 보안솔루션 개발사인 트러스토닉 등과 함께 트러스트존(TrustZone)서비스 플랫폼을 활용한 보안서비스 생태계 구축 관련 업무협약(MOU)을 체결했다. 트러스트존이란 스마트폰의 AP칩에 적용된 보안영역으로 안드로이드 OS와는 분리된 안전영역에 별도의 보안 OS를 구동시키는 기술이다.


이 기술을 이용해 핀테크나 보안관련 애플리케이션을 개발할 경우 핵심정보가 트러스트존에서 처리돼 해커나 악성 앱의 접근을 원천차단할 수 있다. SK텔레콤 측은 “트러스트존 상용화 시 보안카드나 OTP생성기를 별도 보유하지 않아도 스마트폰만 있으면 안전하고 편리한 금융거래가 가능하다”고 설명했다.

FDS, 이상거래 파수꾼


생체인식과 OTP 등이 전자거래 이용자의 본인 여부를 확인하는 역할을 한다면 이용자의 거래에 문제가 없는지를 탐지하는 기능도 있다. ‘이상금융거래 탐지시스템’(FDS)은 전자금융거래 접속정보, 거래내역 등을 종합적으로 분석해 이상금융거래를 탐지하고 차단한다. 부정거래 발견 시 즉각 차단하고 이를 고객에게 알려 추가인증 요청 등의 조치를 취한다.


현재 금융감독원과 미래창조과학부 등 관련당국은 간편해진 결제도입에 따른 보안 우려를 불식시키기 위해 카드·은행·보험사 등 금융권에 FDS를 구축, 운영케 한다. 또 전자결제서비스(PG) 대행업체도 자발적으로 FDS를 구축하고 있다. LG유플러스의 ‘페이나우’, 다음카카오의 ‘카카오페이’, 네이버 ‘네이버페이’ 등은 자사시스템에 맞춘 FDS 적용으로 이용자에게 안전한 서비스를 제공한다.


김인석 FDS산업포럼 회장은 “세계적인 핀테크 열풍을 따라가기 위해서는 핀테크 안전성을 마련하는 것이 가장 중요하다”며 “핀테크 활성화를 위해서는 FDS가 필수요건”이라고 말했다.

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제397호에 실린 기사입니다.