핀테크 보안기술 정책지원 검토사항-3. 본인 확인 및 ID 관리 체계 핀테크

비대면 본인 확인이 핀테크 서비스를 위한 핵심적인 요소로 부각되고 있으나, 본인확인은 아이덴티티(Identity) 관리의 하나의 요소일 뿐으로 아이덴티티 관리 체계 전반에 대한 검토가 필요하다.

 

우선, 주민등록번호를 대체하여 온, 오프라인 환경에서 사용할 수 있는 목적별 아이디 체계 도입이 필요하다. 목적별 아이디는 분야 별, 영역 별로 각기 다른 식별자 체계를 사용하는 것으로 서로 다른 식별자 체계 간에 동일인을 연결, 추적할 수 없기 때문에 프라이버시를 보호할 수 있으며, 특정 영역의 식별자가 분실, 유출 되더라도 피해 범위를 제한할 수 있는 장점이 있다. 목적별 아이디를 사용하더라도 사용자를 공통 식별하여 연계 서비스를 제공하기 위해 식별 대상이 되는 본인이 동의할 경우 서로 다른 영역별 식별자를 연결할 수 있는 선택 가능한 상호 연동성을 제공해야 한다.

 

본인 확인과 관련해서는 현재 아이핀, 휴대폰 본인인증 등 대면 확인에 기반한 온라인 본인확인 수단의 보안성 강화 및 본인확인 수단에 대한 표준화된 신뢰 등급 도입이 필요하다. 현재본인확인 기관을 통한 온라인 본인확인 수단들 (아이핀, 공인인증서, SMS 인증코드)의 보안 문제가 드러나 있으므로 이를 보완하여 본인이 인증 수단을 사용하고 있음을 보장하는 사용 단계 보안성 강화 기술이 필요하다. 또한 도용이 어려우면서도 적은 비용으로 도입할 수 있는 비대면 본인확인 기술의 개발 및 보급이 필요하다.

 

현재의 본인확인은 1)서비스 제공기관이 사용자를 직접 대면 확인한 경우, 2)타 본인확인 기관에서 대면 확인한 사실을 바탕으로 온라인 인증을 통해 본인확인을 대신하는 경우, 3)비대면 본인확인 기술로 나눌 수 있다. 각 본인 확인 기술들을 분류하고 신뢰 등급을 부여하여, 본인확인이 필요한 서비스의 중요성이나 위험도에 따라 적용 가능한 본인확인 수단을 제공할 수 있도록 해주는 표준화된 가이드 라인의 마련도 필요하다.

 

통합인증 체계는 인증 원천기술과 별개로 아이덴티티 관리 차원에서 고려되어야 한다. 통합인증 체계를 위한 추진 사항으로는 첫째, 한번의 로그인으로 모든 서비스를 추가 로그인없이 사용하는 통합 인증, 둘째, 통합 인증 확대를 위해 정부 및 공공 사이트에서 먼저 민간 사이트의 인증 결과를 수용하여 통합인증을 제공, 셋째, 수단 별 신뢰 등급을 정의하여 타 사이트에서 수행한 인증 수단은 안전성 평가 및 대응되는 신뢰 수준 부여가 가능하도록 하고, 넷째, 로그인한 사이트가 다른 사이트로 제공하는 인증확인서 (SAML, O-Auth) 와 관련된 기술 표준 수립, 다섯째, 타 사이트의 인증 확인서를 신뢰할 것인지 판단할 수 있는 상호 신뢰 체계 (Circle of Trust) 구축이다.

 

또한 통합인증을 통해 개인정보보호를 제고할 수 있는데, 이용자가 서비스를 위해 필요한 최소한의 정보만을 제공하고, 신원 노출없이 연령, 성별 등 필요한 정보만 선택적으로 제공할 수 있는 체계가 마련되면 개인정보 유출와 오남용을 크게 줄일 수 있다. 이를 위한 추진 사항으로 첫째, 서비스 제공을 위해 필요하지 않은 정보까지 모두 제공하지 않으면 가입이 되지 않는 현재 가입 체계 개선, 둘째, 개인정보 별 사용 조건과 공유 범위를 정보 주체가 통제할 수 있도록하는 체계 마련, 셋째, 신원 노출없이 연령, 성별 등 필요한 정보를 증명할 수 있는 익명 인증 기술 개발 및 적용이 필요하다.


핑백

덧글

댓글 입력 영역