"비번 누르는 속도·리듬까지…스마트폰 습관으로 금융사기 잡는다" [긱스]
입력
수정
카카오뱅크, 금융사 최초 '무자각 인증' 개발# 58세 남성 춘식 씨가 같은 명의의 스마트폰과 신분증을 갖고 카카오뱅크에서 비대면으로 계좌를 개설하고 있다. 비밀번호를 설정하고 이름, 생년월일, 주소 등 개인정보를 입력한 뒤 신분증을 촬영해 본인 확인을 한다. 춘식 씨는 모든 정보를 신분증과 똑같이 입력했지만, 마지막 가입 절차를 밟는 과정에서 갑자기 '추가 본인 확인을 위해 상담원과 영상통화를 하라'는 안내가 스마트폰 화면에 떴다. 카카오뱅크 앱이 금융사기 가능성을 탐지한 것이다.
스마트폰 입력 습관만으로 본인 인증
"도난·유출·위조 사실상 불가능
비대면 금융사기 예방 효과 커"
성공률 벌써 90%…연내 도입 예정
'자칭 춘식' 씨의 신분증상 나이는 58세였지만, 카카오뱅크가 스마트폰에 글자와 숫자를 입력하는 습관으로 분석한 나이는 20대 후반에 불과했다. 훔친 신분증으로 은행 계좌를 열고 타인의 명의로 대출을 받으려던 사기범은 이렇게 덜미를 잡혔다. 카카오뱅크가 올해 안에 도입할 '무자각 인증'을 활용하면 볼 수 있게 될 장면이다. 무자각 인증은 말 그대로 사용자가 스스로 깨닫지 못하는 사이에 보이는 무의식적인 행동 습관을 토대로 본인 여부를 구분·확인하는 인증 방법이다. 카카오뱅크는 전 세계 금융사 최초로 이 무자각 인증 기술을 직접 개발하는 데 성공했다. 이 기술 개발과 서비스 적용을 담당한 신동화 카카오뱅크 금융기술연구소 매니저(사진 왼쪽)와 강동훈 고객인증팀 매니저는 "사용자만의 습관으로 본인을 구분하는 행동 기반 인증은 비밀번호나 신분증, 심지어 생체 기반 인증에 비해서도 도난과 유출, 위·변조의 위험이 확연히 낮다"며 "비대면 거래를 악용한 금융 사기를 크게 줄일 수 있을 것"이라고 했다.
비번 누르는 속도·압력·시간으로 나이 구분
경제정의실천시민연합에 따르면 금융업계 전기통신금융사고는 작년 한 해에만 2만5859건 발생했다. 피해액으로 따지면 총 2353억원에 이른다. 올 상반기에도 이미 총 845억원에 달하는 1만4065건의 사고가 발생했다. 비대면으로 은행 계좌를 개설하고 대출까지 받을 수 있을 만큼 금융 거래가 편리해졌지만 그만큼 사기에도 취약해진 것이다. 비대면 인증을 악용한 국내 금융사기는 보통 피해자의 신분증 사본이 유출되면서 시작되는 경우가 대부분이다. 사기범들은 해킹이나 피싱, 도난당한 휴대폰 등을 이용해 신분증 사본을 손에 넣은 뒤 비대면으로 대포폰을 개통하고 이 대포폰과 신분증 사본을 이용해 대포통장을 개설한다. 그리고 피해자 명의로 대출을 받거나 오픈뱅킹을 연결해 무단으로 다른 은행 계좌에서 돈을 인출하는 수법이다.카카오뱅크가 개발한 무자각 행동 인증이 도입되면 이런 사기 수법은 더 이상 통하기 어렵다. 강 매니저는 "무자각 인증은 스마트폰 스크린을 누르는 시간이나 압력, 손가락을 움직이는 속도 등 그 사람만이 가진 습관으로 사람을 구분한다"며 "이런 습관은 훔치거나 위·변조하는 게 사실상 불가능하다"고 했다.
"개인의 스마트폰 입력 습관은 비슷해보여도 사람마다 미세하게 차이가 있어요. 비밀번호를 입력할 때 어떤 사람은 손가락이 길어서 버튼이나 스크린의 윗쪽을 주로 누르고, 어떤 사람은 비밀번호를 두세 자리씩 끊어서 입력하기도 하죠. 스크린을 누르는 압력과 속도, 리듬, 패턴 등을 모두 분석하는 겁니다. 만약 이런 입력 습관이 갑자기 달라진다면, 그땐 사기 가능성을 의심하고 사용자에게 추가 인증을 거치도록 하는 식으로 안전 장치를 추가할 수 있습니다." 카카오뱅크는 이 기술을 통해 개인의 입력 습관만으로 사용자의 연령대를 분류하는 모델을 개발했다. 이를 활용하면 춘식 씨의 사례처럼 사기범이 연령대가 다른 신분증을 탈취해 비대면으로 계좌 개설을 하는 경우도 잡아낼 수 있다.
신 매니저는 "신규 고객으로 가입하는 경우에는 사용자 습관에 대한 데이터가 아직 없는 상태이기 때문에 신분증상 나이와 입력습관에 따른 나이가 일치하는지를 구분하기 위한 모델을 개발했다"며 "신분증에 적힌 나이는 50~60대인데 스마트폰 입력은 20대처럼 한다면 사기의 신호일 수 있다"고 설명했다.
사기범 10명 중 9명 잡아내
카카오뱅크가 이 기술을 함께 개발한 고려대 데이터사이언스 & 비즈니스 애널리틱스(DSBA) 랩과 시험 테스트를 해본 결과, 타인이 '나'인 척하며 인증을 시도했을 때 10명 중 8.9명은 스마트폰 입력 습관만으로 본인 인증이 막힌 것으로 나타났다. 이 모델이 실전에 투입돼 더 많은 데이터를 학습한다면 방어 성공률은 100%까지 높아질 수 있다. 이런 행동 기반 무자각 인증은 영국 네이션와이드, 호주 내셔널오스트레일리아은행 등 20여곳의 글로벌 은행이 이미 도입해 활용하고 있다. 다만 은행이 직접 개발한 게 아니라 비해이비오섹, 바이오캐치 같은 전문 기술 기업으로부터 솔루션을 구매했다. 금융사가 무자각 인증 기술을 직접 개발한 것은 카카오뱅크가 최초다.신 매니저는 직접 개발을 감행한 이유에 대해 "카카오뱅크의 주 고객인 한국인의 행동 습관과 금융 사기 유형에 적합한 솔루션이 필요했기 때문"이라고 했다. 이 부문 선도 기업인 비해이비오섹은 스웨덴, 바이오캐치는 이스라엘 기업이다.
"해외 금융 사기는 컴퓨터나 스마트폰에 악성 프로그램이나 앱을 심어서 개인 정보를 탈취하는 유형의 사기가 많은 반면, 한국은 정보 유출에 따른 사기가 많은 편입니다. 또 앱의 메뉴나 고객의 행동 패턴, 진입 절차 등도 뱅킹 앱마다 달라요. 결국 카카오뱅크에 최적화된 솔루션을 만드려면 직접 개발하는 수밖에 없다고 판단했습니다."
비번 3~4번 입력하면 '본인 파악 끝'
카카오뱅크는 올해 안에 이 무자각 인증 기술을 이상거래탐지에 적용할 계획이다. 사용자가 데이터 수집에 동의하면 카카오뱅크는 그 사람이 카뱅 앱에서 보여주는 행동 습관 데이터를 축적하고 분석해 명의 도용과 금융 사기 예방에 활용할 수 있다.'내가 정말 나인지'를 카카오뱅크가 파악하기 위해 필요한 최소한의 습관 데이터는 비밀번호를 3~4회 누르는 정도다. 기존 데이터가 일절 없는 신규 고객이라도 새로 가입하고 계좌를 개설하는 동안이면 어느 정도 파악이 끝난다는 뜻이다.
강 매니저는 "금융 거래 목적을 갖고 들어오는 대부분의 고객은 가입을 하자마자 자금을 이체하고 대출을 받아 앱을 떠난다. 개인을 파악할 수 있는 데이터를 최소화하는 게 관건"이라며 "무자각 인증은 비교적 적은 양의 데이터로도 본인 여부를 성공률 높게 추정할 수 있기 때문에 차세대 인증으로 적합하다"고 했다. 국내 금융사에 특화한 인증 기술인 만큼 향후에는 다른 금융사에 카카오뱅크가 이 솔루션을 판매하는 것도 가능할 것으로 보인다. 카카오뱅크 관계자는 "금융 사기를 예방하고 소비자의 자산 보호를 강화하기 위해 기술을 계속 고도화할 예정"이라고 했다.
빈난새 기자 binthere@hankyung.com