은행의 음성인증 시스템이 결국 허점을 드러냈다. 지난해 음성인증 거래 시스템을 도입한 영국 HSBC의 모바일 뱅킹 보안시스템이 계좌 주인의 목소리를 흉내 낸 다른 사람의 음성을 듣고 거래를 허용해 논란이 일고 있다.
영국 BBC 프로그램 ‘클릭’의 리포터 댄 시몬스는 최근 HSBC에 계좌를 개설하고 음성인증 서비스를 등록했다. 이 서비스를 이용하면 모바일 뱅킹을 할 때 비밀번호 대신 목소리로 본인 확인을 할 수 있다.
HSBC는 “사람마다 지문이 다르듯 목소리도 고유하기 때문에 보안에 문제가 없다”고 밝혀 왔다. 하지만 댄의 이란성 쌍둥이 조 시몬스가 댄의 목소리를 흉내 내 본인 인증을 시도하자 이 시스템은 조의 목소리를 댄으로 인식해 통과시켰다. 조는 댄의 최근 거래 내역을 열람하고 계좌 이체도 할 수 있었다.
음성인증 서비스는 HSBC가 지난해 처음 도입한 기술이다. 인간 음성에 담겨 있는 100여가지 특성을 분석해 이용자를 식별한다. 물리적 특성과 더불어 말의 속도, 억양 등 행동적 특성까지 고려한다. 자신의 음성을 등록한 고객은 모바일 뱅킹을 할 때 비밀번호를 입력하는 대신 “제 목소리가 비밀번호입니다”라고 말하기만 하면 된다.
HSBC는 “이제 복잡한 비밀번호를 외우지 않아도 된다”며 서비스를 홍보해왔지만 이번 사건으로 위기에 부딪혔다.
음성인증 시도 횟수에 제한이 없는 것도 문제로 지적됐다. 별도의 실험에서 ‘클릭’ 제작팀은 12분 동안 같은 계좌에 20번이나 접근을 시도해 실패했다. 그럼에도 로그인은 제한되지 않았다. 이에 대해 전문가들은 “두 번째 시도가 실패한 후에는 이 사실을 고객에게 알리거나 접근 시도를 막는 시스템이 필요하다”고 지적했다.
HSBC는 음성인증 서비스의 보안이 뚫린 사례가 또 있는지 밝히지 않고 있다. 국내 은행 중에는 아직 음성인증을 도입한 곳이 없다. 다만 KB국민은행, 인터넷전문은행 케이뱅크 등이 음성인증 서비스를 선보일 예정이라고 밝힌 상태다.
이재연 기자