보안과 편의성 모두 잡아야 하는 핀테크 서비스
몇년 전만해도 ‘핀테크'는 금융 시장에서 혁신을 나타내는 말이었습니다. 하지만 이제는 어떤 서비스가 핀테크이고 아닌지를 구분하는 것조차 무의미할 정도로 우리의 일상 금융생활안에 핀테크가 자리잡았습니다. ‘핀테크'는 금융(Finance)과 기술(Technology)의 합성어죠. 금융서비스에 기술을 접목해 더 편리한 서비스를 만들어나가는 걸 의미합니다. 지금 사용하는 대부분의 금융 서비스들이 ‘핀테크'의 옷을 입은 거죠.
우리가 가장 자주 사용하는 삼성페이나 애플페이, 토스나 카카오톡 송금 등도 핀테크의 일종입니다. 기존에 카드를 매일 가지고 다니면서 결제할 때마다 지갑에서 카드를 꺼내야 하는 수고를 덜게 됐고, 친구에게 밥값을 송금할 때 계좌번호를 묻는 일이 많이 줄었죠.
이렇게 기술 덕분에 우리의 금융생활은 한결 편해졌습니다. 하지만 핀테크 서비스를 제공하는 기업들은 예전보다 쉽지 않습니다. 핀테크의 편한 금융생활에 익숙해진 사용자들은 점점 더 편한 금융서비스를 찾게 됩니다. 하지만 핀테크 서비스에서 가장 중요한 점 중 하나는 편리함이 아닌 안정성, 바로 보안입니다.
보안은 눈에 보이지 않기에 우리가 간혹 간과하면서 살고 있지만 돈이 오가는 서비스에서는 그 과정에서 돈이 유출되지 않도록 보안이 가장 중요하죠. 또 보안성을 높이기 위해 다양한 인증 절차를 거치면서, 우리의 개인정보가 오갑니다. 이 개인정보 또한 유출되면 안되기에 보안성이 다시 한번 강조됩니다. 그동안 금융서비스들이, 아니 지금도 간혹 금융서비스들이 불편하고 어려운 이유가 보안을 결코 놓칠 수 없기 때문입니다.
# 편리함과 보안은 동전의 양면과 같다
편리함과 보안은 동전의 양면과도 같습니다. 두 특성을 동시에 충족하기는 쉽지 않은 일이죠. 왜 그럴까요?
서비스를 사용자가 이용하기 쉽고 간편하게 만들기 위한 가장 좋은 방법은 서비스 이용 과정을 간편하게 만드는 겁니다. 서비스 제공업체 입장에서는 송금 서비스의 편리함을 높이기 위한다면, 제 계좌에 있는 돈을 아무런 인증절차 없이 친구 계좌로 보내면 됩니다. 제 계좌가 제 것이 맞는지, 그리고 송금 요청을 하는 사람이 저인지 확인하는 과정을 생략해야 사용자는 편리하다고 생각을 할 것입니다. 하지만 이럴 경우 보안은 담보하기 어렵죠. 해커가 저 인척 하면서 송금을 요청할 수도 있고, 제가 다른 사람 계좌에 접속해서 제 것인 척할 수도 있기 때문입니다.
반대로 서비스 제공업체가 보안을 강화하기 위한 가장 좋은 방법은 보안 절차와 인증 절차를 여러 번 진행하도록 하는 것입니다. 본인 확인을 한 번 할 것으로 다양한 방식으로 두 번, 세 번 하면 보안을 그만큼 강화할 수 있습니다. 해커 입장에서는 인증 절차를 한 번 뚫는 것보다 두 번, 세 번 뚫는 것은 그만큼 비용 증가로 이어지게 때문입니다. 하지만 이럴 경우 사용자의 편리함은 굉장히 낮아지게 됩니다.
이처럼 편리함과 보안을 모두 만족시키는 건 간단한 일이 아닙니다. 더군다나 편리한 일상생활에 익숙해진 사용자들의 기준에 맞추는 건 더욱 어려운 일이죠. 편리함을 높이면서 보안의 기준도 강화하기 위해서 기업들은 사용자가 해야 하는 인증절차는 간단하게 하면서도, 사용자 눈에 보이지 않는 뒷단의 보안을 강화하기 위해 노력하는 방법을 찾고 있습니다.
# 다양해지는 보안 인증 기술, 하지만 완전한 해결은 어려워
단 하나의 에러나 실수도 방지하기 위해 보안성을 높이면서 조금의 불편함이라도 덜기 위해 핀테크 기업과 보안 기업들은 다양한 방식의 기술 개발을 이어가고 있습니다. 특히 사용자 입장에서 가장 어려운 단계 중 하나로 꼽히는 인증절차를 개선하기 위해 많은 노력을 기울이고 있죠. 그 결과 다양한 인증방식이 적용되고 있습니다. 가장 많이 쓰는 간편비밀번호나 생체인증, 휴대폰 본인인증 등이 있죠.
하지만 완전하게 해결된 건 아닙니다. 사용자 입장에서는 여전히 어려운 점이 있습니다. 한번 인증을 진행하고 간편비밀번호나 지문인식 등을 설정한 이후엔 간편해질 수는 있지만 그 단계에 도달하기까지 여전히 어려움은 있습니다.
본인확인을 위해 여러 번 본인인증 과정을 거쳐야 하는 것은 물론이고, 때로는 별도의 앱을 설치해야 하는 경우도 있습니다. 또 신분증 인식을 하기 위해서는 여러 번 촬영을 시도해도 실패하는 경우도 있습니다. 특히 고령층의 경우 본인인증을 위해 핀테크 앱, 본인인증 앱 등 여러 앱을 여러 번 왔다갔다해야 하는 과정을 번거롭게 여기기도 합니다.
기업 입장에서는 많이 개선한 상황이지만 사용자 입장에서는 여전히 어려운 과정들이죠. 편의성을 높이기 위한 노력은 다른 단점을 낳을 수도 있습니다. 앞서 언급한 간편비밀번호, 지문인식 등은 사용자의 편의성을 위하다보니 스마트폰에 본인인증과 관련한 대부분의 정보를 저장하게 됩니다. 중요하고 민감한 데이터가 스마트폰에 집중되어 저장되면 오히려 보안 위협이 생기고 이로 인한 사고가 발생할 수 있습니다.
이 때문에 스마트폰에 모든 인증을 집중하는 간편비밀번호, 지문인식 등과 같은 방식보다는 인증 매체(수단)을 스마트폰(네트워크)과 분리시키는 방식으로 보안성을 높이면서도 편의성을 최대한 보완할 수 있는 기술이 필요합니다.
이를 해결하기 위해 보안기업 센스톤의 OTAC 기술이 활용되기도 합니다. OTAC 기술은 1회 랜덤으로 생성되는 보안코드를 통해 사용자와 기기 인증이 가능하도록 합니다. 이에 사용자는 여러 번의 본인인증을 거칠 필요가 없으며 민감한 개인정보 데이터를 전송하지 않아도 됩니다. 개인정보를 전송하지 않는다는 점은 그만큼 개인정보 유출에 대한 우려를 줄일 수 있는 셈이기도 하죠.
특히 OTAC 기술을 활용한 카드 태깅형 모바일 OTP는 하드웨어 OTP의 보안성과 모바일 OTP의 편의성을 모두 제공합니다. OTAC 애플릿(applet, 초소형 응용프로그램)이 탑재된 카드는 스마트폰 NFC 통신을 통해 1차 OTAC를 생성합니다. 이렇게 카드에 생성된 1차 코드는 스마트폰에 있는 앱과 연계해 2차 OTAC를 생성하기 때문에 해커가 스마트폰에 저장된 민감한 정보를 탈취하는 것을 막을 수 있습니다. 즉, 사용자는 OTAC 애플릿이 탑재된 카드를 스마트폰에 갖다대는 동작만으로 본인인증을 할 수 있는 것입니다.
이렇게 사용자 입장에서 보안을 위해 거쳐야 하는 프로세스를 간편하게 함으로써 편의성을 높이고, 해커가 탈취할 정보는 네트워크와 분리해 저장하는 방식으로 보안성을 높이는 두 마리 토끼를 모두 잡을 수 있는 방식인 것입니다. 실제로 센스톤의 카드 태깅형 모바일 OTP는 토스뱅크 인증으로 활용되고 있습니다. 토스뱅크 체크카드와 연계돼 현금을 인출하거나 결제할 때 사용자의 스마트폰 뒷면에 체크카드를 태깅하는 방식으로 간편하게 본인 인증을 할 수 있습니다.