안녕하세요.
AI 기반의 아이덴티티 플랫폼 아르고스 아이덴티티(ARGOS Identity)입니다.
대부분의 사람들은 한 번쯤 본인 인증을 진행해 봤을 텐데요!
본인 인증을 진행해야 하는 경우에는 ▲금융 거래 ▲전자 상거래 및 결제 ▲공공 서비스 이용 ▲교육 및 시험 ▲법적 계약 및 문서 ▲연령 제한 서비스 ▲의료 서비스 ▲여행 및 숙박 ▲온라인 플랫폼 및 서비스 등 개인의 안전과 거래의 신뢰를 위해 다양한 산업에서 쓰이고 있습니다.
본인 인증을 진행해야 하는 사례가 많은 것처럼 본인인증을 진행하는 방법 역시 다양합니다.
오늘은 그중에서 최근 이슈가 되고 있는 민간 인증서에 대해 알아보겠습니다.
다양한 본인 인증 방법
먼저 국내에서 본인 인증을 진행하는 방법에는 어떤 것들이 있을까요?
공동인증서 (구 공인인증서): 온라인 금융 거래, 전자정부 서비스 등에서 널리 사용되는 인증서로, 개인용과 기업용으로 구분됩니다.
금융인증서: 금융결제원에서 발급하며, 클라우드 기반으로 보관되어 사용이 편리하고 보안성이 높습니다.
민간 인증서: 카카오페이 인증, 네이버 인증, 패스(PASS) 인증 등 민간 기업에서 제공하는 인증 서비스로, 다양한 온라인 서비스에서 활용됩니다.
생체인증: 지문, 홍채, 얼굴 인식 등 생체 정보를 활용한 인증 방식으로, 스마트폰 등에서 주로 사용됩니다.
OTP (One-Time Password): 일회용 비밀번호를 생성하여 사용하는 인증 방식으로, 금융 거래 시 추가 보안 수단으로 활용됩니다.
DID (Decentralized Identifier): 블록체인 기술을 기반으로 한 분산 신원 인증 방식으로, 사용자가 자신의 신원 정보를 직접 관리할 수 있습니다.
본인 인증의 방법에 대해 간단히 알아보았습니다. 본인 인증은 상황에 따라 적합한 유형이 있습니다.
민간 인증서 vs eKYC(비대면 본인 인증) 어떤 게 나을까?
민간 인증서와 eKYC 중 고민이 된다면 각 상황에 적합한 인증 방식을 추천합니다.
구분 | 민간 인증서 | eKYC |
편리성 | 스마트폰 기반 간편 인증 | 글로벌 플랫폼 통합 가능 |
보안성 | 스마트폰 의존 | 고도화된 AI/ 생체 인증 기술 |
활용 범위 | 국내 플랫폼 중심 | 글로벌 인증 가능 |
규제 준수 | 국내 법규 준수 | 국제 규제 및 AML/CFT 대응 |
비용 | 설정 및 사용 비용이 낮은 편 | 초기 도입 시 높은 편 |
민간 인증서는 국내 플랫폼에서의 간편 인증에 적합하며, eKYC는 글로벌 확장과 보다 높은 수준의 보안을 요구하는 산업에 적합합니다.
하지만 최근에는 중국인들이 온라인 본인인증 서비스의 취약점을 악용하거나, 한국 계정을 구매하여 한국인인 척 티켓팅을 하는 사례가 발생하기도 했습니다.
위의 사례는 중국인이 본인확인 서비스 ‘패스(PASS) 인증’을 우회하여 한국인 명의로 예매를 시도하여 발생했습니다.
이외에도 PASS 인증만으로는 티켓을 구매하기를 원하는 '구매자'는 실제 예매 서비스를 이용하지 않더라도 서비스 계정을 보유하고 있는 암표상에게 인증 코드를 넘겨받는 방식으로 암표 거래가 이루어지기도 합니다.
PASS 인증 과정을 간단히 살펴보면 이미지와 같은데요. 주로 사용자의 편리한 경험을 위해 인증 과정이 빠르고 간단하며, 사용자가 쉽게 접근할 수 있도록 직관적인 인터페이스를 제공합니다.
이처럼 본인 인증 과정을 거쳐도 악용 사례가 발생하는 원인은 무엇일까요?
1. 휴대폰 도난 및 분실
문제점: PASS 인증은 휴대폰 번호를 기반으로 하기 때문에, 휴대폰이 도난당하거나 분실될 경우 인증이 악용될 수 있습니다.
예: 도난된 휴대폰에서 SMS 인증 코드를 탈취하거나 PASS 앱에 접근해 본인인증을 가장하는 경우에 해당됩니다.
2. 스미싱(Smishing) 공격
문제점: 악성 문자 메시지를 통해 사용자의 정보를 탈취하여 인증 과정을 악용하는 사례가 발생합니다.
예: 사용자가 스미싱 링크를 클릭해 휴대폰 정보를 유출하면, 공격자가 해당 정보를 이용해 PASS 인증을 가장할 수 있습니다.
3. 사용자 부주의
문제점: 사용자가 PIN 번호, 생체 인증 정보 등을 타인과 공유하거나 비밀번호를 쉽게 추측 가능한 형태로 설정할 경우 보안에 취약해집니다.
예: 타인이 사용자 대신 PASS 인증을 수행할 수 있는 경우에 해당됩니다.
4. SIM 스와핑(SIM Swapping)
문제점: 공격자가 사용자의 SIM 카드를 위조하거나 재발급 받아 휴대폰 번호를 도용하는 방식입니다.
예: 도용된 번호로 PASS 인증을 수행해 계정 접근권을 탈취하는 경우에 해당됩니다.
5. 악성 앱 및 해킹
문제점: 사용자가 설치한 악성 앱이 PASS 앱 데이터를 탈취하거나, 해커가 통신사 서버를 공격해 인증 정보를 조작할 수 있습니다.
예: 악성 소프트웨어가 PASS 인증 과정에서 전송되는 데이터를 가로채거나 조작할 수 있습니다.
6. 중간자 공격(Man-in-the-Middle Attack)
문제점: 네트워크 보안이 취약할 경우, 공격자가 인증 과정에서 송수신되는 데이터를 가로채 인증을 악용할 수 있습니다.
예: SMS 인증 코드를 중간에서 가로채 본인인증을 진행합니다.
그렇다면 다중 계정 및 암표 거래를 막을 수 있는 방법은 없을까요?
eKYC의 프로세스 소개
eKYC를 통한 본인 인증은 보다 높은 보안 수준을 요구하기 때문에 민간 인증서를 통해 발생할 수 있는 문제를 보완할 수 있습니다.
eKYC를 통한 해결 방법은 아래와 같습니다.
eKYC는 얼굴 인식, 지문 인증 등 생체 정보를 활용하여 도난된 기기에서도 부정 인증을 방지할 수 있으며, 사용자가 제출한 신분증의 진위 여부를 AI 기반 자동화된 보안과 OCR(광학 문자 인식) 기술로 확인하여, 단순 SMS 인증을 넘어서는 보안성을 제공합니다.
이외에도
다단계 인증(MFA): 단순 휴대폰 번호 인증이 아닌, 신분증 확인, 생체 인증, 비밀번호 입력 등의 다중 보안 레이어를 제공합니다.
실시간 검증: 스미싱 공격에서 유출된 정보로 인증 시도 시, 실시간 데이터 검증으로 의심스러운 활동을 탐지하고 차단할 수 있습니다.
생체 인증 기반 확인: SIM 정보뿐만 아니라 사용자 얼굴이나 지문 등의 생체 정보를 통해 SIM 스와핑 공격을 방지합니다.
사용자 데이터 검증: SIM 카드의 변경 여부를 실시간으로 감지하고, 추가 인증 절차를 요구하여 보안을 강화합니다.
암호화된 데이터 전송: eKYC는 모든 인증 데이터를 고도화된 암호화 기술로 전송하여 중간자 공격을 차단합니다.
플랫폼 기반 인증: 인증 코드 대신 플랫폼 내에서 신분증과 생체 데이터를 직접 확인하여 공격 표면을 줄입니다.
다양한 서비스 통합: eKYC는 금융, 블록체인, 정부 서비스 등 다양한 플랫폼과 통합이 가능하여 확장성을 제공합니다.
사용자 중심 데이터 관리: DID(분산 신원 인증)와 연계하여 사용자가 자신의 데이터를 직접 관리하고, 필요할 때만 공유할 수 있도록 지원합니다.
GDPR 준수: eKYC는 글로벌 데이터 보호 규정을 준수하며, 사용자 데이터를 안전하게 관리합니다.
등의 방법으로 사용자에게 더욱 안전한 인증 서비스를 제공합니다.
특히, ARGOS는 앞서 설명한 불편함을 해결하기 위해 1인 1계정을 원칙으로, 효과적으로 지원하기 위한 다양한 방법을 만들어가고 있습니다. 특히 eKYC는 다중 계정 생성을 막는데 중요한 역할을 합니다.
ARGOS의 ID check는 높은 보안성으로 티켓 예매 시스템이 더욱 신뢰성을 갖추고, 불법적인 거래가 발생할 가능성을 최소화하도록 합니다. 또한 복잡한 티켓 구매 절차를 간소화합니다.
아르고스의 ID check 서비스를 도입해 고민을 해결해 보세요! 지금까지 아르고스였습니다. 감사합니다.