사라지는 '홍채인증', 보안 최고라더니 왜?

[IT동아 강화영 기자] 수많은 인터넷 기반 서비스를 이용하면서, 모든 비밀번호를 기억하기란 보통 어려운 일이 아니다. 해킹과 개인정보 유출을 막기 위해 8~10자 대/소문자를 조합하거나, 특수문자를 포함하는 등 저마다 규칙이 다르기 때문이다. 보안정책이 엄격해져 같은 비밀번호를 오래 쓰면 경고알림까지 뜬다. 상황이 이렇다 보니 자주 바꿔야하고, 그러다 보면 결국 잊어버리기 마련이다. 이메일이나 휴대폰 인증을 거쳐 임시 비밀번호를 발급받는 것도 한두번이지, 매번 반복되면 노동으로 느껴진다.

편의성과 보안을 한 번에 잡을 수 없을까. 그래서 나온 것이 '생체인증' 기술이다. 생체인증은 크게 두가지로 분류하는데, 지문, 홍채, 얼굴 등 신체 특징이나, 서명, 음성, 걸음걸이 등 행동 특징을 이용해 개인을 식별하는 방식이 있다. 잊어버리거나, 잃어버릴 걱정이 없어서, 완벽하지는 않더라도 강력한 개인인증 수단이 될 수 있다. 특히 신체 특징은 다치지 않는 한, 크게 변하지 않아서 생체인식에 많이 적용된다. 이와 달리 행동 특징은 심리, 신체 상태에 따라 달라질 여지가 크므로, 상용화되려면 연구가 더 필요하다.

생체인증 기술은 스마트폰 시장에서 가장 돋보인다. 애플이 2013년, 아이폰 5S 홈 버튼에 최초로 지문인증을 적용하면서부터다. 이른바 '터치아이디'다. 이후 지문인증은 거의 대부분의 스마트폰에 도입되며, 생체인증 기술 가운데 대세가 됐다. 그런데 2016년, 삼성전자가 광학식 지문인증이 가진 약점을 지적하고 나섰다. '갤럭시노트 7' 삼성패스에 추가한 자사 홍채인식 기술을 내세우기 위해서다. 당시 삼성전자는 “홍채는 복제가 거의 불가능하며, 현행 생체인증 중 가장 안전하고 신뢰할 수 있는 방법이다”고 설명했다.

홍채인증은 까만 동공과 흰자위 사이, 도넛 모양의 얇은 막이 가진 무늬 패턴을 이용해서 사용자를 인증하는 기술이다. 홍채는 인체에서 가장 복잡하고 정교한 섬유 조직이라, 다른 어떤 생체 특징보다 개인 간 변별력이 높다. 같은 사람이라도 왼쪽과 오른쪽이 다르고, 같은 유전자 구조를 가진 일란성 쌍둥이조차 서로 무늬가 다르다. 심한 노동을 하면 지워지기도 하는 지문과 달리, 눈썹과 눈꺼풀, 망막으로 보호받고 있어 평생 그 모양도 쉽게 변하지 않는다. 안구 적출을 당하면 신경이 끊어져 모양이 변하기에 도용될 일도 없다.

금융결제원의 '생체인식 기술 분야별 정확도'에 따르면 홍채인증의 타인수락률은 0.000083%~0.0001%로, 보안이 가장 뛰어난 생체인증 기술이 맞다. 참고로 타인수락률(FAR)은 시스템에 등록된 사용자가 아닌 다른 사람이 인증했을 때 본인이라고 판단하는 오류를 뜻한다. 수치가 낮을수록 보안이 우수한 셈이다. 삼성전자는 갤럭시노트 7 이후에도 갤럭시노트 시리즈와 갤럭시 S 시리즈에 지속해서 이 기능을 추가하며, 삼성 스마트폰의 보안 우수성을 강조했다.

삼성패스에서 홍채인증을 활용할 수 있게 되면서 웹사이트 로그인이나 모바일 뱅킹 서비스 를 더 쉽고 안전하게 사용할 수 있게 됐다. 특히 모바일 뱅킹에서 공인인증서, 1회용 비밀번호생성기(OTP), 보안카드를 홍채인증 하나로 간편하게 대체할 수 있게 돼 은행권에서 호응이 높았다. 우리은행, KEB하나은행은 2016년, 국민은행, 신한은행은 2017년 삼성전자와 제휴를 맺고 서비스를 도입했다. 특히 우리은행, KEB하나은행은 삼성패스를 통한 홍채 인증으로 로그인은 물론 계좌 조회, 이체 거래까지 간편하게 이용할 수 있었다.

그러나 2019년, 삼성전자는 갤럭시 S10을 공개하며 홍채인증 기능을 없앴다고 밝혔다. 빅데이터 분석을 해보니 홍채인증을 쓰는 사람이 현저히 적어 기능을 무리하게 유지할 이유가 없다는 게 주된 이유였다. 이에 따라 은행권도 모바일뱅킹의 홍채 본인인증 서비스를 지난 8월 중단했다. 홍채인증 서비스 이용 고객에게는 지문을 등록해 서비스를 이용하도록 안내했다.

삼성전자는 갤럭시 S10에 '초음파식 지문 스캐너'를 적용했다. 광학식이 아닌 초음파 지문인증이라면 홍채인증을 대체할 수 있다고 주장한다. 초음파 방식은 초음파를 발사하여 돌아오는 시간을 측정하고, 지문의 높이차를 측정해 지문을 인식한다. 지문 이미지가 아닌 굴곡을 측정하는 방식이라 물체를 투과한다는 장점이 있다. 손가락에 물이나 기름 등 이물질이 묻어있거나, 습기 및 햇빛이 강한 환경에서도 안전한 지문 인식이 가능하다.

한동안 지문, 홍채, 정맥 등 여러 생체인증 방식을 적용한 서비스가 나왔으나, 결국 스마트폰에서 어떤 기술을 채택하느냐에 따라 명맥이 달라지는 것으로 보인다. 초음파식 지문인증의 등장으로 당분간 은행 업계도 지문인증 서비스에 집중할 전망이다.

글 / IT동아 강화영 (hwa0@itdonga.com)