PC에선 왜 지문결제가 힘든 걸까?
다들 ‘카뱅’ 쓰시나요? 저는 얼마 전 카뱅에서 소액 적금을 시작했습니다. 이유는 간단합니다. 공인인증서 없이, 패턴이나 지문인식으로 편리하게 결제할 수 있어서죠. (물론 더 편한 곳이 있다면 철새처럼 떠날 예정입니다만.)
어쨌든 스마트폰에서 생체인증이 보편화되면서 카뱅을 중심으로 은행업무에도 도입되고 있는데요, 업무상 노트북을 쓸 일이 많은데 스마트폰 안에서는 지문 하나로 ‘슥’ 결제되던 일들이 웹에선 영 귀찮을 때가 많습니다. 결국 스마트폰으로 돌아와 결제창을 열죠.
지문으로 노트북에 로그인은 할 수 있는데 왜 결제에 도입되는 건 이토록 더딘 걸까요?
생체인증 결제, 모바일은 되고 PC는 안 됐던 이유
업계 관계자에게 생체인증 PC 도입이 늦은 이유를 물었습니다. 대답은 단순했습니다. 그저 그동안은 ‘필요가 없어서’였다고 합니다.
생체인증 기술 자체가 상용화되고 보편화된 시점은 스마트폰이 이미 널리 쓰이고 있던 때였습니다. 주로 뱅킹, 전자상거래 로그인 서비스를 스마트폰에서 많이 쓰고 모바일 결제 시장이 중요해지니, PC에서는 상대적으로 필요하지 않았던 겁니다. PC 환경은 액티브엑스 등 여러 제약이 있던 탓도 있었고요.
‘공인인증서 안녕’, 웹에서 지문인식으로
뭐 PC에서 굳이 할 필요가 없었다고는 하지만 모바일에서 생체인증 결제가 쉽게 되니 웹에서도 쉽게 됐으면 하는 바람이 듭니다. ‘기존 PC에서도 생체인증으로 잠금해제 정도는 구현돼 있었으니 이를 토대로 쉽게 가능하지 않을까?’ 생각도 들고요. 물론 PC 업계 역시 웹 생체인증 결제의 필요성을 느끼고 이미 움직이고 있었죠.
PC에서 생체인증 기술을 뱅킹 같은 중요 전자상거래에 적용하기 위해서는 보다 안전한 보안 표준이 필요합니다. 과거 모바일 앱에서도 생체인증 표준이 만들어지고 나서 모바일 생체인증 결제 사업이 활성화됐는데요, PC는 아직 그런 표준이 없었습니다.
삼성, 구글, MS, 라온시큐어, 비자, 레노버 등 200여개 글로벌 기업이 활동하고 있는 파이도 얼라이언스(국제생체인증협회, Fast Identity Online Alliance)는 앞서 말한 모바일 생체인증 표준을 만든 곳이기도 합니다. 이게 파이도(FIDO, 온라인 생체인증 시스템) 1.0이었죠.
파이도 얼라이언스는 모바일(안드로이드, iOS) 응용프로그램 중심이었던 파이도를 웹브라우저에서도 활용할 수 있도록 파이도 2.0 표준을 준비하고 있습니다. 파이도 2.0은 내년 상반기 안에 발표될 예정입니다. 파이도 2.0 표준이 만들어지면 제조사 및 은행, 상거래 업체 등도 이를 순차적으로 도입하게 될 것으로 보입니다.
보안을 위한 보안 "모바일은 AP, 노트북은 CPU"
모바일이든 웹이든 생체인증을 쓰는 게 편하긴 합니다만, 아시다시피 위험성도 높습니다. 한 번 뚫렸다고 해서 비밀번호 바꾸듯 몸을 바꿀 수도 없는 노릇이니 말이죠.
그냥 비밀번호는 하도 유출돼 무덤덤한데, 통장과 연결된 정보가 유출되면 난감한 노릇입니다. 그래서 스마트폰의 경우에는 AP에 '트러스트존'을 만들어 하드웨어 영역에중요 정보를 저장하게끔 하고 있습니다.
스마트폰이 그렇다고 하니, 마찬가지로 PC도 CPU 기반에서 중요 정보를 처리해야 안전하겠지요?
박춘식 서울여대 정보보호학과 교수는 "파이도의 장점은 패스워드를 기억할 필요가 없다는 것"이라고 말했습니다. 기존 본인 확인 기술은 서버에 중요 정보를 저장해야 했습니다. 지문 인증도 비밀번호도 저장해야 했죠. 서버가 해킹 당하면 타격이 너무 컸습니다. 반면 파이도는 서버가 없어요. 단말기에 지문 정보를 저장하면 그곳에만 저장되죠. 서버가 연결 되지 않아도 단말기에서 인증해줍니다. 앞서 말했듯 CPU 기반, 단말기 내에서 중요 정보를 처리하니까 보안성이 좀더 높을 수 있겠죠?
MS는 2015년 ‘윈도우10’의 새로운 생체인증 시스템인 ‘윈도우 헬로’를 공개했습니다. 윈도우 헬로에 등록된 생체정보는 기기에만 저장됩니다. MS 패스포트 기능을 지원하는 웹사이트, 앱이라면 윈도우 헬로를 통해 비밀번호 없이 생체인증으로도 로그인을 할 수 있었습니다. 윈도우 헬로도 파이도에 기반해 만들어졌죠. 하지만 윈도우10에서 해야 한다는 제약이 있었는데요!
<바이라인네트워크> 보도에 따르면 브렛 맥도웰 파이도 얼라이언스 이사장은 지난해 12월 한국정보통신기술협회(TTA)와 공동 개최한 FIDO 국제 컨퍼런스에 참석해 “현재 PC와 웹에서도 FIDO(파이도) 인증을 지원하기 위한 활동을 추진하고 있다”면서 “MS 윈도우 헬로우와 웹브라우저 엣지, 구글 크롬, 모질라 등을 비롯해 어떠한 기기와 플랫폼에서든 쉽고 안전하게 FIDO(파이도) 인증을 지원할 수 있도록 확산하고 있다”라고 말했습니다.
‘어떠한 기기와 플랫폼에서든’, 이 부분이 핵심인 거죠. 이에 레노버와 인텔은 최근 발빠르게 파이도 기반 생체인증 보안 시스템을 PC에 내장해 선보였습니다. CPU에 파이도 생체인증 보안 시스템을 탑재한 것인데요. 이렇게 노트북 칩 속으로 보안 시스템이 들어가면 생체인증 시스템을 구현하기가 훨씬 수월해집니다. 더 안전하다고도 하고요.
김운봉 라온시큐어 이사는 “앞으로 파이도2.0 시대가 오면 PC의 공인인증서가 사라지게 될 수 있다”면서 “카카오뱅크가 모바일 생체인증을 도입했듯 다른 뱅킹 서비스 기업도 편한 결제를 폭넓게 (PC에까지) 도입하게 될 것이다”라고 말했습니다.
이어 “IT기기 환경의 변화로 노트북 제조사뿐 아니라 기업에도 생체인증 보안이 필요해졌다”라며 “웹 보안이 모두 생체인증으로 이루어지게 될 수 있다”라고 덧붙였습니다.
다만 박춘식 서울여대 교수는 "공인인증서는 좋은 기술이다. 그것을 본인 확인용으로 사용하기 때문에 일반인들이 불편을 느끼는 것이고, 이는 사라져도 되지만 전자서명과 같은 뒷단 기술에는 꼭 필요한 기술이라는 것을 알아야 한다"고 강조했습니다.
아, 어쨌든 은행업무가 편해지고 결제가 편해질수록 통장은 ‘텅장’이 되겠죠. 거 참. 불편해도 걱정, 편해도 걱정입니다.
