[프라임경제] 증권사들의 생체인증 도입이 활발히 진행되고 있다.

모바일트레이딩시스템(MTS) 거래가 활발해지며 고객들의 편의를 위해 복잡한 비밀번호 대신 지문, 정맥, 홍채 등 생체인증으로 고객들의 편의성을 높인 것이다.

7일 금융투자업계에 따르면 삼성전자가 지난해 8월부터 지문인증을 도입했고 현재 한화투자증권, NH투자증권, 신한금융투자, 키움증권 등도 지문인증서비스를 시행 중이다.

또한 코스콤은 현재 홍채인증 기술 개발을 마쳐 상반기 증권사에 홍채인증 소프트웨어를 공급할 예정이다. 지난해 10월 갤럭시노트7 판매 중단으로 홍채인증서비스 제공이 무산됐던 삼성증권과 키움증권도 홍채인증 도입을 재추진하고 있다.

NH투자증권은 금융투자업계 처음 전국 영업점에서 손바닥 정맥만으로 금융거래가 가능한 '손바닥 정맥 인증 서비스'를 지난달 도입했다. 손바닥 정맥은 사람마다 모두 다르고 변하지 않으며 정맥이 복잡하게 교차하므로 지문이나 홍채와 같은 다른 바이오 정보보다 인증 정확도와 보안성이 높다는 장점이 있다.

그러나 일부에서는 생체정보에 대해 유출된 정보가 영구적으로 악용될 가능성이 있다고 우려하는 상황이다. 통장이나 카드, 공인인증보다 상대적으로 복제가 어렵다는 장점이 있지만 반대로 생체인증 정보는 유출될 경우 이를 폐기하고 재발급하기 어렵기 때문. 

현재 생체인증은 FIDO(Fast IDentity Online) 방식과 시스템 서버에 분리 저장하는 방식으로 나뉜다.

FIDO는 생체인증 정보를 금융회사 서버에 저장하는 것이 아니라 사용자의 스마트폰 등 개인 단말기에 저장하는 방식이다. 서버에는 본인인증 시 필요한 인증결과 값만을 저장하는 만큼 유출되더라도 사용할 수 없기 때문에 안전한 것으로 인식된다.

금융결제원 바이오정보 분산관리센터를 통해 정보를 나눠 보관하는 방법도 있다. 고객의 생체정보 일부는 금융기관 서버나 스마트폰 등 개인 단말기에 보관하고 다른 일부는 별도 인증센터에 보관하는 방식이다.

이에 따라 증권사도 다양한 방식으로 고객들의 생체인증 정보보안에 각별히 유의하고 있다. 

우선 삼성증권은 고객 스마트폰에 정보를 보관하는 FIDO 기술을 기반 삼아 삼성증권이 개발한 자체 인증기술로 보안을 유지하고 있다.

코스콤의 소프트웨어를 활용해 지문인증서비스를 제공하는 IBK투자증권, SK증권, 키움증권도 각 고객의 스마트폰에만 지문 정보를 등록한다.

이에 대해 IBK투자증권 관계자는 "지문정보는 각 고객의 스마트폰에만 등록돼 있으며 폰에서 지문 일치여부를 확인해 지문인증 절차가 진행된다"며 "증권사와 코스콤에 해킹 시도를 해도 지문정보가 외부로 노출될 우려가 없다"고 말했다.

신한금융투자의 경우 생체정보는 고객 스마트폰, 인증 관련 정보는 금융결제원 서버에 분산 보관돼있다. 신한금융투자 측은 자료 분산과 함께 송수신 정보는 암호화하는 등 보안에 많은 신경을 쓰고 있다고 소개했다.

손바닥정맥과 지문거래 생체인증서비스를 제공하는 NH투자증권도 지문인증은 고객 본인 스마트폰에 저장해 스마트폰 제조업체 및 OS 프로그램의 보안정책으로 관리한다.

이 증권사는 손바닥 정맥인증의 경우 정맥 자체가 복잡하게 교차해 복제가 거의 불가능한 방식이라 자신하고 있다.

NH투자증권 관계자는 "고객 정보는 금융회사와 금융결제원에서 나눠 관리하기 떄문에 양쪽을 해킹한 후 고객정보를 서로 맞춰야해 타인증방식 대비 정보노출이 매우 엄격하다"고 설명했다.

이를 뒷받침하듯 한 금융투자업계 관계자는 "보안은 항상 창과 방패와 같다"며 "이전과 달리 정보가 한 곳에 모인 방식을 탈피한 만큼 보안성은 한층 강화됐다고 생각한다"고 제언했다.