[인터뷰] 카카오뱅크는 어떻게 ‘셀카’ OTP라는 것을 만들었을까?

찰칵, “송금이 완료되었습니다.”

셀프카메라(셀카)만 찍으면 고액을 송금할 수 있는 시대가 왔습니다. 기존에는 일회용비밀번호 생성기(OTP)로 버튼을 눌러 나오는 숫자를 입력해야 했다면 이제는 셀카 하나만 찍으면 가능합니다. 바로 카카오뱅크의 서비스 이야기입니다.

카카오뱅크는 작년 12월 셀카 OTP를 내놨습니다. 사용자가 셀카 사진을 등록하면 신분증과 사진을 비교해 본인을 확인하는 방식인데요. 사용 방식이 쉬워 사용량이 늘고 있다고 합니다. 카카오뱅크에 따르면, 셀카 OTP 출시 이후 휴대용 OTP 발급 비중이 30~40%가 줄었다고 합니다. 그만큼 편의성이 뛰어나고 또 본인이 아니면 할 수 없어 보안성까지 두 마리 토끼를 잡았다고 하는데요.

어떻게 셀카를 활용한 OTP서비스를 내놨는지, 인증이 어떻게 이뤄지는 것인지, 법적인 문제는 없는지 등 카카오뱅크의 담당자들을 만나 다양한 이야기를 들어봤습니다.

-자기소개 부탁합니다.

장: 안녕하세요. 저는 고객인증 캠프에서 셀카 인증 서비스랑 영상통화 서비스를 기획하고 있는 장은정이라고 합니다.

김: 저는 고객인증 서비스 팀에서 셀카 OTP를 담당하고 있는 김채원입니다.

-셀카 OTP가 뭔가요?

김: 일반적으로 OTP라고 하면 추가 인증 수단으로 6자리 난수를 입력해 인증하는 방식을 말하는데요. 금융권에서 비대면 계좌개설이 많아지면서 모바일 OTP가 도입되기 시작했죠. 최근에는 별도 매체가 없어도 휴대폰 앱을 이용한 모바일 OTP가 널리 쓰이고 있어요.

그런데 카카오뱅크는 셀프카메라(셀카) 인증이라는 안면 인증수단과 모바일 OTP를 결합한 방식으로 재해석한 셀카 OTP를 출시하게 됐습니다. 이미 셀카인증을 통한 계좌개설 운영 노하우를 통해 셀카인증을 안정적으로 운영할 수 있는 운영 노하우가 있었고, 이를 결합하면 강력한 추가인증 수단이 될 것이라 판단했죠.

-인증은 어떻게 이뤄지나요?

셀카 OTP는 발급을 받을 때 신분증 사진에 있는 얼굴의 특징점과 셀카를 찍었을 때의 얼굴의 특징점을 비교해서 본인확인 후 발급을 해요. 이후에 이용할 때는 앞서 찍어놨던 셀카 얼굴과 실시간 셀카 얼굴을 비교해서 인증이 이뤄져요.

-한도는 얼마나 되나요?

김: 대다수 은행들의 모바일 OTP한도는 1회 1000만원, 하루 5000만원인데, 카카오뱅크의 경우 사실 OTP가 없어도 하루 5000만원까지 지원을 하고 있습니다. 셀카 OTP의 경우 1회 1억원, 1일 5억원까지 지원을 하고 있어요.

-셀카 OTP를 내놓게된 배경이 있을까요?

김: 기존에 OTP 라고 하면 모두들 쉽게 떠올리는게 딸깍하고 누르면 OTP 기계에서 6자리 숫자가 표출되고, 그 6자리 숫자를 입력해 인증하는 수단을 떠올릴 것 같아요. 카카오뱅크는 기존 OTP의 불편함에 착안했어요. 별도의 매체를 소지해야 한다는 점에서 갑자기 고액이체 등 OTP가 필요한 경우 사용하지 못하는 일이 발생할 수 있어요.

보안적으로도 피싱 등에 의해 OTP 6자리가 전달되는 등 우회될 수 있는 리스크가 있고요. 이처럼 소지의 불편함, 비대면 발급 시 비용 및 배송 시스템 등 리소스가 소요되는 점을 이유로 금융권은 간편하게 모바일 앱에서 발급받을 수 있고 모바일 앱을 접근매체로써 사용하는 모바일 OTP를 도입했는데요. 그러나, 일반적으로 여러 유형의 채널(모바일 앱, 모바일웹, PC, 텔레뱅킹)에서 전자금융거래가 가능한 시중은행은 스마트폰을 별도의 분리된 매체로 볼 수 있지만, 1인 1디바이스 정책인 카카오뱅크는 모바일 OTP도입으로는 추가적인 보안 강도는 기대하기 어려워 셀카 OTP를 내놓게 됐어요.

-그런 점에 착안해서 셀카OTP를 개발하셨군요. 그런데, 많고 많은 방법 중에 왜 셀카에 주목을 했는지 궁금합니다.

장: 동료를 만나거나 옛 친구를 만났을 때 가장 먼저 보이는 것이 얼굴이잖아요. 얼굴을 인식한다는 것 자체가 예전에 제가 그 사람의 특징을 기억했다가 지금 봤던 얼굴이랑 비교하면서 그 사람임을 인식하는 과정이 자연스럽게 이뤄지는데, 안면인식도 이처럼 자연스럽게 만들고 싶어서 셀카 인증을 기획하게 됐어요. 또 페이스 아이디 등이 보급화되고 안면인식이 사회적으로 대중화가 되면서 미래의 인증수단은 얼굴을 주축으로 한 복합적인 생체 인증이 될 것이라 생각했어요.

-셀카인증이 이뤄지는 과정을 알 수 있을까요?

장: 안면인식의 과정을 조금 더 자세하게 들여다보면, 첫 번째로 촬영되는 영상에 비치는 피사체의 변곡점(색이 급격히 변하는 지점 등)에 점을 찍고(랜드마크, 일반적으로 512개의점), 점 간의 거리를 기반으로 한 특징점(512개의 벡터값) 추출해요. 지문, 홍채와 같은 다른 생체와 달리 얼굴은 상대적으로 매우 크기 때문에, 아주 정밀한 카메라는 필요하지 않고 일반 카메라 앱으로도 충분히 특징점 추출 프로세싱이 가능해요.

다만, 특정한 표정을 짓거나, 각도가 틀어지는 경우 촬영되는 영상의 변곡점이 달라지고, 변곡점 간 거리가 달라지게 되어, 결과적으로 특징점 추출 프로세싱에 영향을 미치죠. 따라서, 셀카 인증 시에는 증명사진 찍을 때 사진관에서 사진을 찍는 것처럼 각도의 틀어짐이나 얼굴의 일그러짐을 촬영 중에 사전에 체크하여 정면 얼굴을 잘 촬영할 수 있도록 가이드를 하고 있어요.

-아무래도 정확도를 높여야 하는 것이 과제일텐데 이를 위해서 어떤 노력을 하시나요?

장: 특히 신분증 사진과 대조해야 하는 경우 정확도를 높이기 위해 노력하고 있는데요. 신분증 이미지를 가져다가 촬영한 얼굴이랑 비교를 해야 하는 과정이 있는데 신분증같은 경우 훼손도 많고 빛번짐이 있어서 이를 선명하게 하기 위해 신분증 모듈과 인식을 내재화했어요. 그래서 (신분증이 흐릿해도) 더 선명하게 하는 과정을 거치게 되고, 그 외에 특징점 추출을 고도화해 나갔고요.

-신분증에 있는 얼굴은 옛 얼굴인 경우가 많을텐데, 현 얼굴과 비교가 좀 쉬운가요?

장: 어렵습니다. 제일 어려운 난이도에 속하죠. 10년 전에 촬영했던 사진도 있어요. 그래서 저희가 기술로도 검증을 하지만 육안으로도 검증을 하고 있습니다.

-검증 프로세스가 어떻게 되나요?

장: 검증 프로세스에는 여러 가지가 있는데, 예를 들어 마스크를 착용했는지, 혹은 진짜 사람이 아니라 모니터인지, 3D 마스크인지 구별하는 것인데, 이건 사실 안티스푸핑(회피 기술) 영역에 해당되어 사람이 보기에도 어려운 난이도에 속하거든요. 그래서 기술적인 것뿐만 아니라 육안으로도 2회에 걸쳐 체크를 하고 있습니다.

-인증 한 번에 엄청난 리소스가 들어가네요.

김: 안정적으로 운영하는게 최우선이라서 육안으로도 검증을 진행하고 있어요.

-그런데 보정카메라로 하면 얼굴이 왜곡되어 못알아 볼텐데 일반 카메라로 인증을 하는 것인가요?

장: 스마트폰에 내장된 기본 카메라를 쓰도록 하고 있습니다. 전면카메라가 열리게 되어 있어요.

-촬영 각도에 따라서도 얼굴이 달라질 수 있는데 이 경우 어떻게 되나요?

장: 얼굴과 어깨를 맞출 수 있는 가이드 선을 제공해서 각도에 맞춰 사진을 찍도록 유도하고 있어요. 또 얼굴을 인식할 때 특징점을 잡아서 점수화하고 임계치를 설정하는데, 이 각도가 틀어지면 임계치나 점수가 변경이 되겠죠. 그렇게 되지 않도록, 사진관에서 사진사가 촬영할 때 똑바로 앉아달라고 하는 것처럼 저희도 정면 카메라를 응시할 수 있도록 가이드 팝업을 띄워주고 있습니다. 멀면 가까이 와달라고 하면서 거리 조절도 하고 있고요.

-여기서 중요한 점, 얼굴인식 데이터는 어디에 어떻게 저장되나요?

김: 전부 저희 서버에 암호화되어서 저장이 되어 있습니다. 신분증 원본 이미지만 저장할 수 있게 되어 있고, 얼굴의 특징점은 바로 파기를 진행하고 있습니다.

-셀카 OTP에 들어가는 기술은 무엇이 있을까요?

김: 크게 세가지로 나눌 수 있는데요. 먼저, 두 얼굴의 특징점을 추출해서 비교하는 기술, 두 번째는 지금 촬영하고 있는 피사체가 진짜 살아있는 사람을 찍고 있는지 보는 안티 스푸핑 기술, 세 번째는 마스크를 썼는지, 동공 사이의 거리가 맞는지 이런걸 체크하는 기술로 나눌 수 있어요.

안티 스푸핑 기술도 크게 두 가지로 나눌 수 있는데요. 첫 번째는 라이브니스 체크라고 해서 셀카 촬영을 보면 눈을 깜빡여달라, 고개를 좌우로 흔들어달라는 안내 문구가 나오는데요. 이 사람이 진짜 살아있는 사람인지, 본인이 의지를 가지고 지금 하고 있는 것이 맞는지 체크를 하기 위한 것이죠. 또 하나는 모니터에 사진을 띄워놓은 건 아닌지 이런 것들을 확인하기 위해 질감체크를 하고 있습니다.

-살아있는 사람인지는 어떻게 하면 알 수 있는거에요?

김: 정면을 바라보고 이제 고개를 좌우로 흔들어달라거나 눈을 세 번 깜빡이라는 등 가이드가 있어서 그걸 따라하지 않으면 살아있는 사람이 아니라고 판별을 하고 있어요.

-셀카 OTP에 들어가는 안면인식 기술, 생각보다 안전하고 편리한데, 이걸 주로 누가 쓰는지 궁금해요.

김: 계좌개설할 때 비대면 실명확인 방식 중 하나로 셀카인증이 접목되었는데요. 실제로 전체 계좌개설 고객 중 50대 이상 연령대가 전체에 약 10% 정도에요. 그런데, 그 10% 중에 절반 이상이 셀카인증을 이용해 계좌개설을 해주셨어요. 아무래도 고령층이나 디지털 소외계층은 모바일 인증수단에 익숙하지 않을텐데, 셀카인증의 경우 직관적이어서 편하게 느끼시는 것 같아요. 또 100세가 넘는 고령의 할머니가 계좌개설을 셀카로 성공하신 사례도 있었어요.

흥미로운 통계가 하나 더 있는데요. 셀카 OTP 출시한 후로 휴대용 OTP 발급 비중이 30~40% 정도 줄었습니다. 주간 발급량으로 봤을 때 휴대용 OTP 발급량의 15배 이상이 셀카 OTP를 발급받고 있는 것으로 확인됐습니다.

-생각보다 다양한 연령대에서 이용하는 것 같네요. 그런데 셀카 OTP, 법적인 문제는 없는 건가요?

김: 셀카 계좌개설, 셀카 OTP 모두 마찬가지로 비대면 실명확인의 방식으로서 셀카인증을 활용한 서비스인데요, 비대면 실명확인으로써 셀카인증을 사용하려면 금융규제 샌드박스라는 제도를 통해 혁신금융서비스로 지정을 받아야 했습니다. 현행법상 셀카인증은 비대면 실명확인 관련 구체적 적용 방안에 기술된 방법은 아니기 때문에 이를 비대면 실명확인 방법 중 하나로 활용하려면 별도의 예외 허용을 받아야 했었죠.

혁신금융서비스는 한시적으로 금융당국에서 허용해준 기간에만 영위할 수 있는데요, 다른 실명확인 방법들보다 안전하고 편리한 셀카인증이 비대면 실명확인의 방식으로 법제화가 되어 혁신금융서비스 지정과 같은 한시적 예외 허용이 아닌 영구적으로 영위할 수 있게 되면 좋을 것 같아요.

-셀카 OTP의 장점은 무엇이죠?

김: 기존의 OTP는 휴대해서 들고 다녀야 하고, 또 탈취의 위험도 있어요. 그런데 셀카 OTP는 모바일 기반으로 편의성과 보안성을 다 잡을 수 있죠. 탈취를 한다고 하더라도 사용자가 본인의 의지로 하고 있는지 모니터링 검수까지 하고 있어서 본인이 아니고서는 하기 어렵게 만들어놨습니다.

-앞으로의 서비스 고도화 계획은 어떻게 되나요?

장: 기술이 고도화가 되고 있는데 반대로 이거를 우회하는 기술도 고도화되고 있거든요. 정교하게 모니터 빛 다 없애고 사람인 것처럼 한다던지 등의 시도가 있어요. 향후 계좌개설이나 OTP 등 중요하지만 빈번하게 쓰이는 모바일 환경에서의 비대면 인증을 확장하기 위해 전향적으로 준비 중에 있습니다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network