2016년 1월부터 지문 인식이 공인인증서 비밀번호를 대체할 예정이다.

한국인터넷진흥원(KISA)은 내년 1월부터 공인인증서 본인 인증 방식을 비밀번호 입력에서 스마트폰을 이용한 지문 인식으로 바꾼다고 10일 밝혔다. 지문 인식 센서가 있는 스마트폰에 지문을 저장하고 나서 PC와 스마트폰을 연계해 인증하는 방식이다. 이 방법을 이용하면 기존과 달리 액티브X 보안 프로그램을 설치하지 않아도 된다.

KISA는 내년 1월부터 대형 인터넷 쇼핑몰부터 비밀번호 없는 공인인증서를 사용할 수 있도록 결제업체 KG모빌리언스[046440]를 통해 시범 서비스를 시작할 예정이다.

하지만 스마트폰 지문인식의 보안성이 검증된 것이 아니라는 지적도 적지 않다.

현재 지문인식을 사용하는 회사들은 각자 보안 솔루션을 이용해 지문 데이터를 안전하게 저장하고 있으며, 저장되는 데이터도 지문 그 자체의 데이터가 아니며, 인식 방법 역시 지문의 특징적 부분을 포인트로 저장한 후 인식 시에만 포인트 위치를 대조하기 때문에 지문 자체가 유출될 일은 없다고 강조한다.

실제로 애플은 지문인식 데이터를 'Secure Enclave', 삼성전자는'KNOX'라는 특수한 공간에 저장하고 있으며, 구글은 아예 안드로이드6.0부터  하드웨어적으로 분리되어 있는 'TEE'라는 공간에 데이터를 저장한다. 이 기술은 스마트폰 AP 내부에 별도의 공간을 만들어 'Secure OS'를 구동하는 데 사용하는 것으로, 일반적인 소프트웨어가 시작되기 전 먼저 구동해 데이터를 보호하기 때문에 저장된 지문을 해킹하는 것이 거의 불가능하다.

하지만 문제는 TEE에 저장되기 전이다. 미국의 IT기업 '파이어 아이'는 갤럭시S5 같은 경우 메모리를 해킹해 스시템에서 지문 데이트를 탈취해 공개하기도 했으며, 이 같은 보안 취약점은 안드로이드 5.0이하 모든 기기에 해당되는 것이었다.

또한 스마트폰의 지문인식기가 가짜 지문과 진짜 지문을 구별하지 못한다는 문제도 있다. 애플과 삼성의 지문인식 모듈은 실리콘이나 목공 본드로 제작한 가짜 손가락을 구분해내지 못하며, 어딘가에 남은 지문을 복원하는 것은 현대 과학 기술력으로 어려운 일이 아니다. 포인트만 남은 지문 데이터라도 분석해서 '진짜' 지문과 같은 모형을 만들어 낼 수 있는 것이다.

애플페이, 삼성페이, 안드로이드페이 등의 결제방식은 이미 사용자의 지문을 인식해 결재를 진행하는 방식을 사용하고 있으나, 이는 일상적 결재에 국한되기 때문에 지문이 유출되어도 큰 피해로 이어지기 힘들다. 하지만 금융계좌를 관리하는데 쓰이는 공인인증서가 지문인식 방식으로, 그것도 스마트폰에서 사용하도록 변경된다면 예상치 못한 금융, 사회적 피해가 발생할 수도 있다.

이미 금융 사기 수법은 일반인이 생각할 수 없는 수준까지 발달했다. 지문인식의 전면적 도입 전 방어 수단을 철저히 정비해야 할 것이다.