[편집자] 이 기사는 5월 30일 오전 11시25분 프리미엄 뉴스서비스'ANDA'에 먼저 출고됐습니다. 몽골어로 의형제를 뜻하는 'ANDA'는 국내 기업의 글로벌 성장과 도약, 독자 여러분의 성공적인 자산관리 동반자가 되겠다는 뉴스핌의 약속입니다.

[뉴스핌=이지현 기자] "개인 고유의 생체정보를 이용하기 때문에 홍채인증은 가장 안전한 인증 수단 중 하나입니다."

금융사들은 삼성전자의 갤럭시S8 홍채인증 서비스를 도입하며 이같이 말했다. 하지만 독일의 한 해커그룹(CCC)이 눈동자 이미지만으로 쉽게 홍채인증 보안을 뚫자 안색이 바뀌었다.

홍채정보 도용은 금융소비자 피해로 직결될 수 있다. 그럼에도 정작 금융사고가 발생했을 때 이를 책임져야 할 주체인 금융사와 당국, 삼성전자는 서로 자기 책임이 아니라며 떠넘기기에 급급하다.

30일 금융업계에 따르면 갤럭시S8 출시 이후 금융권이 홍채인증 서비스를 속속 도입했다. 대부분의 신용카드사가 홍채인증을 통한 결제 서비스를 출시했고, 몇몇 은행과 보험사도 공인인증서 대체 수단으로 홍채인증을 선택했다.

홍채인증 서비스가 대중화되고 있지만 보안은 여전히 불안하다. 갤럭시S8 홍채인증 보안이 뚫렸음에도 뾰족한 대안이 마련되지 않고 있는 것. 금융사들은 기본적으로 제조사인 삼성전자가 책임져야 한다는 입장이다.

한 금융업계 관계자는 "금융사들은 삼성전자의 홍채인증 기술을 이용만 하는 것이기 때문에 도용 우려가 높아졌다고 해서 보안을 강화할 수 있는 방법이 없다"면서 "이는 삼성전자가 기술적으로 보완해야 할 부분"이라고 말했다.

이 관계자는 이어 "만약 고객의 홍채정보가 도용돼 카드사 결제 등 금전적 피해가 발생했다 할지라도 최종적인 보상은 삼성전자가 해야 하는 것"이라고 덧붙였다.

하지만 삼성전자는 이렇다 할 대안을 내놓지 않고 있다. 홍채인증 보안이 뚫린 뒤 금융사에 보안 패치를 배포하겠다는 입장을 밝힌 것이 전부다. 더군다나 삼성전자 측은 해당 해커들의 홍채정보 도용 과정이 현실적으로 발생하기 어렵다고 보고 있다. 홍채정보를 도용하려면 적외선 카메라를 활용해 초근접 촬영을 해야 하며, 사용자의 스마트폰을 가지고 있어야만 보안을 풀 수 있다는 것.

더 큰 문제는 금융사고 발생시 책임소재가 불분명하다는 것. 현행 전자금융거래법은 소비자 과실이 없는 상태에서 공인인증서 등 인증 수단이 도용당해 피해가 발생하면 금융사가 책임을 부담하도록 규정하고 있다. 하지만 홍채인증은 이 법에서 정한 정식 인증 수단이 아니다. 

이처럼 홍채인증에 대한 법과 제도가 없다 보니 금융당국 역시 금융사를 향해 ‘자율보안’만을 강조하고 있다.

금융감독원 관계자는 "홍채인증 기술은 각 금융사들이 선택적으로 도입하고 있는 것이기 때문에 금융사 자율보안을 기본으로 한다"며 "만약 금융소비자 피해가 발생한다면 금융사에서 전적으로 책임을 져야 한다"고 설명했다.

전문가들은 금융피해 발생시 금융사의 책임을 강화하는 방향으로 법과 제도가 만들어져야 한다고 말했다. 그래야만 금융사들이 새로운 인증수단의 보안을 강화하는 데 힘쓴다는 것.

이대기 금융연구원 선임연구위원은 "홍채정보가 도용돼 금융소비자 피해가 발생한 경우 소비자가 직접 피해를 입증하거나 과실이 없다는 것을 밝히기 어려운 것이 현실"이라며 "상대적으로 약자인 소비자들이 보호받을 수 있도록 1차적으로는 금융사가 소비자에 대해 보상을 해 줘야 하며, 그것이 전 세계적인 추세"라고 말했다.

이 선임연구원은 이어 "현행 전자금융거래법에서는 공인인증서 등 몇몇 접근매체의 위변조 사고에 대해서만 금융사 책임을 부과하고 있다"면서 "앞으로는 접근매체를 '금융사에서 인정한 인증수단'이라고 포괄적으로 바꿔 홍채 등 생체인증 도용도 금융사 책임부담이 될 수 있도록 해야 할 것"이라고 덧붙였다. 

[뉴스핌 Newspim] 이지현 기자 (jhlee@newspim.com)