스마트폰의 대중화 이후 모바일 결제서비스의 보안 이슈가 크게 대두되고 있다. 특히 각종 금융보안 사고를 방지하기 위한 인증기술의 필요성도 높아지는 모습이다. 현재 다양한 인증기술이 소개되고 있는데 그 중에서도 생체인식 시스템에 대한 관심이 확대되고 있다. 이번 글에서는 모바일 결제서비스의 보안 이슈와 함께 모바일 결제서비스 인증기술 이슈에 대해 살펴보도록 하겠다.

 Ⅰ. 개요

스마트폰 사용이 대중화되면서 개인(사용자) 인증 및 모바일 지급결제 서비스 수단으로 빠르게 확산되고 있다.
스마트폰은 피쳐폰[1]에서의 모바일 뱅킹[2], VM뱅킹(칩 뱅킹)[3] 및 폰뱅킹[4] 서비스와 달리 금융기관을 직접 방문하여 서비스에 가입하고, USIM 칩[5]에 응용프로그램을 설치하는 등의 절차가 필요 없이 공인인증서만 있으면 해당 금융기관의 앱(Application)을 다운로드 받아 언제 어디서나 편리하게 뱅킹서비스를 제공받을 수 있다.

이처럼 해당 금융기관의 웹(web) 접속을 통한 뱅킹서비스를 인터넷뱅킹[6]으로 통칭할 수 있다. 인터넷 접속은 PC뿐만 아니라 스마트폰에서도 가능하기 때문에 스마트폰을 이용한 모바일뱅킹도 인터넷뱅킹에 포함된다.
아울러 인터넷뱅킹 서비스는 모바일 뱅킹, VM뱅킹, 폰뱅킹처럼 서비스를 받을 때마다 수수료가 발생하지도 않는 장점이 있다.

스마트폰 기반의 인증 및 결제 서비스는 개인정보 집약체로서 휴대성과 이용성 측면에서 다양한 편리함을 제공하고 있다. 하지만 개방성이 강한 인터넷 망을 기반으로 하고 있어 다양한 통신환경에 노출되어 있다는 취약점으로 인해 높은 수준의 인증방법에 대한 필요성이 제기되고 있다. 개인정보 유출 및 취약한 인증시스템 등으로 인한 근래의 금융보안 사고는 개인정보(특히 금융정보)를 어떻게 관리해야 하는지에 대한 사회적 과제를 제시하고 있다.

이 연구에서는 3G 이동통신시스템부터 사용이 본격화된 USIM 칩을 이용한 보안서비스와 스마트폰의 급속한 보급과 앱을 통한 초간편 뱅킹서비스 중심의 스마트 금융보안 서비스 등의 모바일 결제서비스의 보안 이슈, 모바일기기의 개인정보를 보호하고 네트워킹 시 보안위협을 예방하기 위한 인증기술의 필요성과 아울러 근래 들어 매우 다양한 응용분야에 적용이 확산되고 있는 생체인식 시스템의 응용 등의 모바일 결제서비스 인증기술 이슈에 대해 설명한다.

 ‌Ⅱ. 모바일 결제서비스의 보안 이슈

1. USIM을 이용한 보안서비스

그림 1. 사용자 등록 및 인증과정

3G 이동통신시스템부터 사용이 본격화된 USIM 칩은 가입자 인증기능 외에도 신용카드, 뱅킹, 멤버십 결제, 교통카드, 마일리지, 상품권 및 쿠폰, LBS 등 다양한 분야에 활용되고 있다. 

USIM의 메모리에는 가입자 번호, 이용자 ID 및 주소록 등 중요한 개인정보와 아울러 여러 장의 각종 프라스틱(실물) 카드를 하나로 줄여줄 수 있는 편리한 기능도 있으며, 보안성도 뛰어나다.[7]

이러한 장점으로 인해 USIM 기반 서비스는 확대 추세에 있다.[8] 특히 멤버십 서비스는 휴대폰으로 본인의 멤버십 마일리지 조회, 제휴가맹점 확인 등 기본적인 서비스를 쉽게 이용할 수 있다. 또 제휴가맹점에서 동글(모바일 터치)에 접촉하여 쉽게 멤버십 포인트 결제 및 할인 등의 혜택을 받을 수도 있다.

이처럼 USIM을 활용한 신용카드 기능이 주목받으면서 이동통신사 및 신용카드사 등이 협업을 통해 편의 서비스를 제공하고 있다.[9] USIM 기반의 신용카드는 결제 시 반드시 신용카드 비밀번호를 입력하도록 되어 있어 휴대폰 분실 시에도 타인이 사용할 수 없도록 보안이 강화되어 있다. 특히 이동통신사들은 다양한 서비스를 활용할 수 있는 기능이 탑재된 보안이 강화된 단말 서비스를 제공하고 있다.

PC에서 웹 접속을 통한 은행거래 및 결제서비스는 모바일 환경의 발전에 따라 스마트폰에서 모두 해결할 수 있는 시대가 되면서 모바일 금융 서비스가 획기적으로 발전하고 있다. 이는 기존의 모바일 뱅킹, VM뱅킹 및 폰뱅킹 이용 시 불편했던 제약사항들을 개선하고 이동통신망(모바일 네트워크)을 이용하여 언제 어디서나 편리하게 이용할 수 있는 휴대성과 이동성을 제공하고 있다. 또한 모바일기기의 휴대성을 이용하여 신용카드 결제, 쿠폰, 멤버십 등 통합서비스를 제공할 수 있는 기능으로 발전하면서 유기적으로 활용할 수 있는 기반이 되고 있다.

다양한 금융 및 모바일 어플리케이션 서비스에서 개인정보의 활용을 위해 사용자의 이용약관 및 정보수집에 대해 사전 동의를 받고 있으며, 이렇게 수집되어 활용되는 개인정보에 대한 관리의 중요성은 모바일 보안시장에서 매우 중요하게 부각되고 있어 불안전한 정보활용 서비스에 대한 해결방안의 필요성이 증가되고 있다.

2. 스마트 금융보안 서비스
VM뱅킹 서비스는 2007년부터 본격화되어 다양한 사용자 층을 확보하면서 혁신적인 금융서비스로 대중화되었으나 스마트폰이 급속히 보급되고 앱을 통한 초간편 뱅킹서비스가 상용화되면서 2016년부터 완전히 종료된다. 지금의 스마트폰 뱅킹처럼 대중화되었던 VM뱅킹 서비스가 종료되는 가장 큰 이유를 분석해보면 다음과 같은 이유가 있다.

•2014년 3분기 VM 뱅킹 등록고객 수는 약 829만 명, IC칩 뱅킹 등록고객은 약 368만 명으로 전체 모바일뱅킹 등록자수(5,756만 명)의 20.8%를 차지한 것으로 나타났다. 그러나 이동통신 3사가 집계한 실제 이용자 수는 약 6만여 명으로 추정되어 수수료 수익보다 유지보수 비용이 더 들어가는 상황이 되어 서비스를 종료하게 된 것이다.

•스마트폰의 대중화와 앱을 통한 초간편 금융보안 서비스가 빠르게 확산되면서 USIM을 이용한 보안서비스가 3G 이동통신시스템을 정점으로 사실상 이용률이 급격히 낮아지고 있어 이용자수 대비 유지보수 비용이 더 들어가는 상황이 되어 서비스를 종료하게 된 것이다.

•모바일 뱅킹 및 VM뱅킹 서비스가 USIM 칩을 이용한 보안서비스가 해킹에 취약하고, 별다른 법적 구속력 없이 이용자 간 USIM 칩을 서로 교환하여 사용할 수 있어 신종 금융범죄 등의 금융보안 사고를 유발할 수 있는 원인을 제공하고 있어 보안강화를 위해 서비스를 종료하게 된 것이다.

이러한 이유로 인해 이동통신 3사가 은행권을 상대로 VM 뱅킹, IC칩 뱅킹 서비스를 종료해줄 것을 요청하게 된 것이다. 금융권 입장에서는 저소득층과 노년층에서는 아직도 모바일뱅킹을 이용하는 사람이 있어 고객 서비스차원에서 서비스 종료 결정이 어려웠지만 더 이상 칩 발급이 안 되고 신종 금융범죄 예방에도 취약하다는 점을 들어 이를 수용하게 되었다.

이로써 모바일뱅킹 서비스는 인터넷뱅킹, 스마트폰 뱅킹으로 이관되게 되었다. 2014년 3분기 기준, 인터넷뱅킹 등록고객 수는 9,490만 명(전년 동기 대비 143만 명 증가), 스마트폰 뱅킹은 4,559만 명(전년 동기 대비 262만 명 증가)으로 나타났다.(표 1 참조)

모바일 개인정보 유출 및 취약한 인증시스템 등으로 인한 보안사고가 증가하면서 보다 강력한 보안시스템의 필요성이 요구되고 있다. 이에 국내 스마트폰 제조업체들도 외산업체와 손잡고 보안기술을 구현하는 데 주력하고 있다. 이를 간단히 요약하면 다음과 같다.

•삼성전자와 LG전자는 각각 외산 보안소프트웨어 업체인 앱솔루트소프트웨어 및 인텔시큐리티 등과 기술협력을 확대하는 데 총력을 기울이고 있다. 이처럼 다양한 유형의 개인정보보호 서비스를 제품설계 단계에서부터 반영하여 개발하고 있다.

•모바일 기술의 발전 및 환경의 변화에 따른 국내외 다양한 업체들이 사용자의 개인정보를 지키려는 움직임을 보이고 있다. 해외 솔루션의 수입이 아닌 국내 보안강화 방안 및 관련 기술에서의 선두 주자로서 높은 보안성을 제시할 수 있는 솔루션 구축에 주력하고 있다.

 ‌Ⅲ. 모바일 결제서비스 인증기술 이슈

1. 인증 기술의 필요성
모바일기기에 저장된 개인정보를 보호하고 네트워크 사용 시 발생할 수 있는 보안위협을 예방하기 위해서는 보다 더 높은 보안강도를 갖는 인증기술에 대한 필요성이 증대하고 있다. 보안프로세스가 복잡해질수록 해킹에 대응할 수 있는 기반이 마련될 수 있다. 다만, 사용자의 비밀번호 등의 정보입력에는 다소 불편함이 따를 수 있다.

그러나 모바일 지급 결제 서비스 수요자들은 기존의 모바일 뱅킹, VM뱅킹(칩 뱅킹) 및 폰뱅킹 서비스에 비해 차별적인 특성과 아울러 간편한 지급결제 절차를 요구하고 있다.

기존의 인터넷 뱅킹에서는 공개키 기반의 공인인증서가 주로 사용되었으나 스마트폰뱅킹에서는 모든 플랫폼에서 작동되는 오픈뱅킹에 대한 수요가 증가하고 있다. 즉, 공인인증서 이외의 기존방식과 차별화되고 사용자 고유의 key로 인정할 수 있는 다음과 같은 인증수단에 대한 필요성이 증가하고 있다.

•새로운 인증기술의 필요성에 부합하며, 높은 보안성과 이용편의성을 충족하는 생체인식 기술이 스마트폰 하드웨어의 발전과 함께 모바일 지급결제 등에 적용될 수 있기를 요구하고 있다.
•기존 소프트웨어 기반의 보안 솔루션의 단점을 극복하는 하드웨어 기반의 모바일 보안강화 서비스를 요구하고 있다.

2. 생체인식 시스템의 응용
생체인식 시스템은 매우 다양한 응용분야에 적용되고 있으며 그림 1과 같이 사용자를 등록하는 과정과 사용자 자신이 자신임을 확인받는 인증(verification, 1:1), 데이터베이스에서 사용자를 찾아내는 인식identification, 1:N) 과정으로 나누어진다.

이들 과정은 각기 장단점이 있으며, 사용자가 원하는 적용분야에 따라 적절한 것과 그렇지 못한 것이 있어 활용계획에 따라 면밀히 검토할 필요가 있다. 대표적인 생체인식 기술을 간단히 요약하면 다음과 같다.

•지문인식: 지문인식 장치를 사용하기 위해서는 하나의 손가락을 영상획득 장치에 있는 평면위에 놓는데 개인용으로 사용되는 대부분의 지문인식 장치들은 원본데이터로 원래의 지문의 영상을 그대로 저장하지 않고 이로부터 추출된 특징 정보만을 저장한다. 이러한 시스템들은 등록된 지문데이터로부터 원래의 지문영상을 재생할 수 없기 때문에 법적인 증명방법으로 사용될 수는 없으나 반대로 개인의 정보를 보호하는 기능을 하게 된다.

•홍채/망막인식: 홍채인식은 자연스런 상태에서 획득된 영상을 이용할 수 있어 매우 다양한 분야에 적용되고 있다. 특히 사람의 홍채는 사람마더 고유한 특징이 있는 유기체 조직으로 되어 있어 통계학적으로도 DNA 분석보다 정확하다고 알려져 있다.

•얼굴인식: 생체인식 방법 중 가장 자연스러운 방법으로 지문과 같이 지문입력 장치에 손가락을 접촉하지 않고 비접촉으로 자연스럽게 인식 할 수 있는 장점이 있다. 그러나 조명의 변화에 민감하고, 변장하거나 세월의 흐름에 따른 얼굴변화 등의 약점이 있어 지문이나 홍채인식에 비해 높은 인식률을 나타내지는 못하고 있다.

•음성인식: 음성취득 장치인 마이크는 다른 생체획득 장치에 비해 저가이고 PC 또는 PDA, 휴대전화 등에 기본적으로 탑재되어 있어 다른 생체인식에 비해 취득장치에 드는 비용이 거의 없다는 장점이 있다. 지문이나 홍채/망막 인식에 비해 에러율은 높지만 음성정보처리, 화자인식 등의 분야에서 활발하게 연구되고 있다.

•기타 미국 스탠포드 대학의 연구팀에 의해 약 4000명의 손가락 형태를 분석하여 데이터화하여 만든 시스템인 손모양 인식, 손등의 피부로부터 정맥패턴을 추출하는 방법으로 손등의 정맥인식 시스템인 손혈관 인식, 약 1세기 전부터 계약체결 등의 증빙목적으로 이용되면서 법적인 효력을 갖고 있는 서명인식 방법 등이 있다.

 ‌Ⅳ. 맺음말

사용자 인증 및 금융거래 등의 모바일 서비스의 보안을 강화하는 데 생체인식 기술이 모바일 최적화 적용 및 하드웨어 secure 기반의 보안강화 서비스에 빠르게 확산되고 있다. 단말기 영역에서는 secure 영역에서 동작할 수 있는 생체인식 모듈, 보안강화 I/O모듈, 암호화/복호화 모듈 및 normal 영역에서의 보안 agent의 개발을 목표로 지속적으로 발전하고 있다.

아울러 실제 보안강화 서비스를 제공할 수 있는 secure administrator(보안관리자) 서버 구축을 통해 기존의 모바일 지급결제, 인증 등 보안강화가 필요한 부분에 상용서비스가 제공되고 있다.

이러한 생체인식 기술을 모바일 지급결제, 인증 등 보안서비스에 효과적으로 적용하기 위해서는 선진화된 얼굴/음성/지문/서명 등 생체인식 모듈의 구현 및 최적화, 암호화/복호화 모듈 및 보안강화 I/O제어 모듈 기반의 모바일 보안강화 플랫폼 구현, 보안관리 서버의 보안을 강화할 수 있는 상용화 관리기술, 암호화 통신기술, 디바이스 최적화 및 관리/제어 기술 등이 필요하다.

아울러 생체인식 기술이 모바일 지급결제, 금융 및 사용자 인증에 활용할 수 있는 보안강화 서비스 플랫폼이 되기 위해서는 하드웨어 기반의 보안강화 기능이 함께 제공됨으로써 해킹, 휴대폰 분실 및 악의적 공격에 대해서도 보다 강화된 안전성을 제공할 수 있어야 한다.

______________________________________________________________________________________________________

[1] ‌피처 폰(feature phone) : Java-ME(Java Platform-Micro Edition)나 BREW(Binary Runtime Environment for Wireless) 기반의 애플리케이션을 실행할 수 있는 이동전화로서 스마트폰에 비해 낮은 연산능력이나 네트워킹 기능을 가진 휴대전화를 의미한다.
[2] ‌모바일 뱅킹(mobile banking) : 이동전화를 이용해서 인터넷 접속을 통한 뱅킹서비스를 의미한다. 일반전화(집 전화)를 이용한 텔레뱅킹이나 이동 중에도 이용할 수 있는 인터넷뱅킹과도 다르다. 모바일뱅킹 방식에는 이동전화에 사용자의 금융정보가 저장된 스마트카드(IC chip)를 넣어 이용하는 칩 방식과, 거래내용을 이동전화와 금융기관 뱅킹시스템 간에 문자 전송을 통한 WAP(Wireless Application Protocol : 휴대전화 등에서 무선인터넷을 이용할 수 있는 응용프로그램의 국제표준) 방식 등이 있다.
[3] ‌VM뱅킹(Virtual Machine Banking) : 2G 및 3G 이동전화 단말기에 전용 프로그램을 다운로드 받아 계좌조회, 이체거래, 외환이체, 펀드납입 등의 금융서비스를 의미한다. 2007년부터 본격화된 VM뱅킹은  많은 사용자 층을 확보하여 혁신적 금융서비스로 부각되었으나 스마트폰의 대중화로 인해 2016년부터는 서비스가 완전히 종료될 예정이다.
[4] ‌폰뱅킹(phone banking) : 전화의 버튼음(dial tone)의 주파수를 이용하여 ARS(IVR) 장비를 통해 계좌조회, 계좌이체 등의 뱅킹서비스를 의미한다. 서비스를 받을 때마다 금융기관별로 500~1,000원의 수수료가 발생한다.
[5] ‌USIM 칩(Universal Subscriber Identify Module Chip : 범용 가입자 인증모듈) : 3G 이동통신시스템의 WCDMA 단말기에 탑재되는 스마트카드를 의미한다. 칩 내부에 CPU와 메모리를 가지고 있어 휴대폰 가입자 번호, 이용자 ID, 주소록 등 다양한 개인정보가 저장되어 있다. 3G 시스템에서는 USIM이 없으면 통화인증이 불가능해 통화를 할 수 없다. USIM은 가입자 인증기능 외에도 신용카드, 뱅킹, 증권거래, 멤버십 결제 등 다양한 기능이 있어 모바일 지갑으로 불릴 정도로 활용범위가 넓다. 아울러 교통카드, 마일리지, 상품권, 쿠폰, 모바일교육, 위치기반서비스 등 많은 분야에도 활용할 수 있다.
[6] ‌인터넷뱅킹 : 해당 금융기관의 인터넷 홈페이지에 접속하여 뱅킹서비스(계좌이체, 예금/적금 가입 및 해지, 공과금 납부, 펀드 가입 및 해지 등)를 제공받는 것을 의미한다. 인터넷 접속이 가능한 곳이라면 어디서든지 은행업무를 볼 수 있다는 것이 가장 큰 장점이다.
[7] ‌플라스틱 카드와 달리 USIM 기반의 신용카드는 위조·변조·복제가 불가능하다. 아울러 OTA(Over-The-Air) 무선 네트워크를 통해 카드를 발급받을 수 있어 카드사 입장에서는 신용카드의 발급비용이나 인건비 등을 획기적으로 줄일 수 있는 장점도 있다.
[8] ‌WCDMA 서비스를 제공하고 있는 SK텔레콤과 KTF는 USIM을 기반으로 교통카드(T-머니 : 무선으로 발급가능), 신용카드, 멤버십, 증권서비스를 제공하고 있다. KTF의 경우 선불형 전자지불 기능을 통해 대중교통, 편의점 및 기타 가맹점에서 소액결제도 할 수 있으며 무선인터넷을 통해 잔액을 충전할 수도 있다. WCDMA는 글로벌 로밍이 가능하기 때문에 한국에서 사용하는 휴대폰을 외국에서도 사용할 수 있다.
[9] ‌USIM 신용카드를 이용하려면 소비자들은 카드사에 카드발급 신청을 하고 카드발급 심사를 거쳐 휴대폰으로 전송되는 SMS에 동의하고 VM(Virtual Machine)을 다운로드 받아 최종 본인 인증을 받으면 USIM 기반의 신용카드를 이용할 수 있다. 이 서비스를 통해 NFC(Near Field Communication : 비접촉식 휴대폰 결제기능) 단말기가 설치된 가맹점에서 결제서비스를 제공받을 수 있다.
[10] ‌금융감독원, 은행연합회, 이동통신 3사는 2015년 1월 말부터 IC뱅킹, VM뱅킹의 신규가입을 제한하기로 합의했다. 이미 IBK기업·외환·NH농협은행이 해당 서비스를 조기 종료하기로 했고, KB국민·신한·하나·우리은행도 서비스를 이용하는 고객에게 서비스 종료를 알리는 한편 인터넷뱅킹·텔레뱅킹 등 대체 서비스를 이용해줄 것을 당부하고 있다.

참고문헌

[1] http://www.sciencetimes.co.kr
[2] ‌“칩 뱅킹ㆍVM뱅킹…한때 혁신적 금융서비스 종말”, 아시아경제, 2015. 1. 4.
[3] ‌http://gold.asiae.co.kr/view.htm?idxno=2014123014115076101
[4] ‌“스마트폰 보안SW 안방시장 뺏겼다”, 디지털타임즈, 2014. 6. 16.
[5] ‌문기영, “생체인식기술현황및전망”, TTA Journal, No.98, 한국정보통신기술협회.

박세환  박사 _ 한국과학기술정보연구원 전문연구위원