- 일경컴퓨터_2021/09/30_급속도로 확대되고 있는 'eKYC'日経コンピュータ
-
- 저자 : 日経BP社
- 발행일 : 20210930
- 페이지수/크기 : 146page/28cm
요약
Nikkei Computer_2021.9.30 특집 요약 (p48~55)
급속도로 확대되고 있는 'eKYC'
비대면 시대에 대비한다
코로나19로 비대면 디지털 서비스가 보편화되면서 온라인에서 신원 확인이 완결되는 eKYC(electronic Know Your Customer: 온라인상의 본인확인) 시장이 급속하게 성장하고 있다. 인증 및 부정 감지의 응용 등을 지원하는 서비스도 등장해 점차 확대되고 있는 가운데, 디지털청 등을 통한 규제 정비가 필요하게 될 것으로 보인다. eKYC의 최전선을 살펴보고 보급 과제를 검증해 본다.
코로나19의 감염 확대를 막기 위해 다양한 기업들이 비대면으로 서비스를 제공하는 케이스를 늘리고 있다. 비대면 서비스의 기반 시스템으로서 기업들이 경쟁적으로 도입하고 있는 것이 eKYC(electronic Know Your Customer). 온라인에서 완결되는 본인 확인 방법이다.
온라인 비대면 서비스는 대면 서비스와는 달리, 서비스 이용자가 실제로 존재하는지 확인하는 절차가 필수적이다. 일반적으로 본인 확인이라 불리는 프로세스는 '신원 확인'과 '본인 인증'의 조합이다.
-- 온라인 절차의 기반 기술 --
신원 확인은 이용자가 계정을 등록할 때 ‘이용자가 실재하는 본인이다’라는 것을 확인하는 프로세스이다. 이용자의 실재를 엄밀하게 확인하려면, 대면으로 면허증이나 마이넘버카드와 같은 사진이 첨부된 공적 신분증을 확인할 필요가 있다. 이것을 온라인으로 실시할 수 있는 것이 eKYC이다.
대표적인 eKYC 방법으로는 비대면 서비스 이용자가 웹 브라우저나 스마트폰 앱을 이용해 자신의 모습을 찍은 사진과 이름, 주소, 생년월일이 기재된 얼굴 사진 첨부 신분증의 사진 파일을 전송해 신원 확인을 하는 것이다. 예를 들어, 은행 고객은 점포에 가서 대면으로 신원 확인을 하지 않아도 온라인으로 계좌 개설 절차를 완결할 수 있다.
본인 인증이란 실제 온라인에서 절차를 밟고 있는 이용자가 기존에 신원이 확인된 본인이라는 점을 확인하는 과정이다. 본인밖에 알 수 없는 패스워드 등의 정보나, 본인밖에 갖고 있지 않는 IC카드와 같은 소지품, 지문이나 얼굴 대조 등 본인의 생체 정보를 인증에 사용하는 경우도 있다.
금융기관은 범죄수익이전방지법에 따라 자금 세탁 등 부정행위의 방지 목적으로 고객이 계좌를 개설할 때 본인 확인을 해야 한다. 비대면 거래의 경우, 기존에는 본인 확인을 위해 ‘(공적으로 발행된) 사진이 첨부된 본인 확인 서류 사본 송부’와 ‘자동 반송 우편에 의한 주소 확인’이 필요해 인력 및 시간이 소요되었다.
범죄수익이전방지법은 2018년 11월에 시행 규칙이 개정되면서 온라인 본인 확인 방법이 추가되었다. 이후 eKYC 서비스 사업자의 신규 참여가 증가하면서 금융기관들이 잇따라 eKYC를 도입하고 있다. 기존에 비해 우편 배송 등의 수고가 불필요해 지기 때문이다.
올 6월에 '스마트 계좌 개설' 앱에 eKYC 시스템을 도입한 미쓰비시UFJ은행은 “비대면으로 접수하고 있는 신규 계좌 개설의 90%를 eKYC가 차지한다”(디지털 서비스추진부 디지털 채널개발그룹)라고 설명한다. 미쓰비시UFJ은행은 히타치제작소의 ‘eKYC 지원 서비스’의 소프트웨어 개발키트(SDK)와 API(애플리케이션 프로그래밍 인터페이스)를 사용해 스마트 계좌 개설 앱에 eKYC 기능을 도입했다. 빠르면 다음 영업일에 계좌 번호를 앱으로 통지할 수 있다고 한다.
-- 신원 확인에 4가지 방식 --
eKYC의 구체적인 신원확인 시스템에는 범죄수익이전방지법의 시행 규칙을 기반으로 주로 4가지 방식이 있다. 가장 인기가 있는 것이 ‘호(ホ)’라고 불리는 방식이다. 전용 소프트웨어를 사용하고, 이용자가 면허증이나 마이넘버카드 등 얼굴 사진이 첨부된 신분증과 본인의 모습을 촬영해 송신한다. 이용자가 웹 브라우저와 앱을 통해 이용할 수 있어 기업이 도입하기 쉽다.
그 외에도 전용 소프트웨어로 마이넘버카드 등 신분증의 내장 IC칩의 정보를 읽은 후, 외관을 촬영해 송신하는 ‘헤(ヘ)’ 방식, 전용 소프트웨어로 신분증 사진이나 IC칩의 정보를 읽은 후, 은행이나 신용카드 정보의 조회 결과 또는 고객 명의 계좌로 송금하고 그 거래 명세 화면을 송신하는 ‘토(ト)’ 방식, 전용 소프트웨어를 사용해 마이넘버카드의 공적 개인인증 서비스(JPKI)의 전자서명을 이용하는 ‘와(ワ)’ 방식이 있다.
하지만 ‘호’ 이외의 세 방식은 보안 레벨이 높기는 하지만 편리성이 낮기 때문에, 그리 널리 쓰이지 않고 있다. ‘헤’ 방식은 IC칩의 정보를 읽어야 하기 때문에 스마트폰 앱 밖에는 도입할 수 없는 경우가 많다. ‘토’ 방식은 본인 확인이 끝난 계좌 정보 등이 필요하기 때문에 편리성이 낮다. JPKI를 사용하는 ‘와’ 방식은 전자서명용 전자증명서를 이용하는 엄격한 신원 확인이 가능하지만, 영어 및 숫자 6자리 이상의 비밀번호 입력이 필요하다.
-- 부정 감지 등에 응용 --
급성장하고 있는 eKYC 시장에는 알려지지 않은 흑자 기업이 있다. 인증 기술의 벤처기업, 리퀴드(Liquid)이다. eKYC 시장에서 2년 연속 최고의 수익 배분(ITR 조사)을 차지했다. 이용 기업이 많은 ‘호’ 방식을 비롯한 eKYC 서비스를 제공하고 있으며, 웹 브라우저 버전과 앱 버전(SDK)을 제공해 금융기관 등 도입 기업을 늘리고 있다.
한편, 리퀴드는 다른 대부분의 eKYC 서비스 업체들과 프라이버시 정책 등이 다르다. 많은 eKYC 서비스 업체들은 기업의 위탁을 받아 eKYC 시스템을 제공하고 있다. 이 때문에 eKYC 서비스 업체는 eKYC에서 취득한 개인정보 등을 일정 기간이 지나면 삭제하는 경우가 많다.
하지만 리퀴드는 eKYC에서 취득한 개인정보에 대해 위탁뿐만 아니라 자사 및 eKYC를 도입한 일부 기업 등 제3자 제공에 동의하도록 프라이버시 정책을 통해 이용자에게 요구하고 있다.
즉, 리퀴드의 eKYC 이용자들은 eKYC를 통해 은행 계좌를 개설하거나 기업 서비스 사용자 등록을 할 경우, 은행이나 기업뿐만 아니라 리퀴드에도 eKYC에 입력한 개인 정보를 제공하게 된다.
개인정보보호법은 ‘위탁’인지, ‘제3자 제공’인지에 따라 개인정보를 제공 받은 기업이 할 수 있는 업무를 규정하고 있다. 위탁의 경우에는 수탁 기업이 개인 정보를 위탁 받은 내용과 관계없는 자사의 영업 활동 등에 이용할 수 없다. 이러한 업무를 하려면 개인 정보를 제공한 본인에게 제3자 제공을 위한 동의를 받을 필요가 있다.
리퀴드에 따르면, 개인 정보의 제3자 제공에 대한 동의를 구하는 이유는 두 가지라고 한다. 하나는 리퀴드가 자체적으로 eKYC의 AI(인공지능)의 정밀도 향상에 이용하기 때문이며, 다른 하나는 향후 서비스 전개에 활용하기 위함이다. LIQUID Shield라고 하는 eKYC를 활용한 부정 감지 서비스와 고액 거래, 주소 변경 등과 같이 엄격하게 본인 인증을 해야 할 때 인증 대행 서비스를 전개할 계획이라고 한다.
-- 계좌 매매 방지부터 주소 변경까지 --
‘부정 송금을 조장하는 계좌 매매는 불법입니다’. 도(都)·도(道)·부(府)·현(縣) 경찰의 사이버 범죄대책과는 트위터에 이러한 경고문을 계속 올리고 있다. 트위터에서 금융기관 계좌 매매를 권유하는 익명의 글들이 줄을 잇고 있기 때문이다.
인터넷 등에서 널리 행해지는 계좌 매매와 같은 부정 행위를 막기 위해 eKYC를 응용한 서비스를 전개하고 있는 곳이 액시온(ACSiON)이다. 2019년 7월에 세븐은행이 자회사로서 덴츠국제정보서비스(ISID)와 공동 출자로 설립했다.
액시온의 eKYC 서비스는 얼굴 사진이 첨부된 신분증과 외관을 촬영해 전송하는 방식이다. 올 8월말 시점에서 도입을 결정한 곳은 세븐은행 등 25개 사라고 한다. 비대면 계좌 개설 신청이 증가하고 있는 지방 은행이나 프리랜서 매칭 서비스를 제공하는 랜서즈(Lancers)와 같은 기업들이 본인 확인 강화를 위해 잇달아 도입을 공표했다.
하지만 액시온의 eKYC 서비스는 다른 많은 eKYC 서비스와는 제공 형태가 다르다.
대부분의 eKYC 서비스는 기업의 위탁을 받아 eKYC 서비스를 제공하기 때문에 eKYC에서 취득한 개인 정보 등을 일정 기간 후에 삭제하는 경우가 많아, 이용자가 eKYC 서비스 제공 업체와의 접점을 계속 이어 나가지는 않는다.
이에 반해 액시온의 eKYC 서비스의 경우, 이용자는 먼저 액시온의 회원이 될 필요가 있다.
액시온의 eKYC 서비스를 도입한 은행에서 신규 계좌를 온라인으로 개설하는 경우를 예로 들어 보자. 이용자가 은행의 웹사이트에서 계좌 개설 신청을 하면 액시온 웹사이트로 전환된다. 이어 액시온의 eKYC 서비스 이용에 동의하면 은행의 고객이 될 뿐만 아니라, 액시온이 제공하는 온라인 본인 인증 플랫폼 ‘프루스트(proost)’의 회원이 되는 것이다.
-- 세븐은행의 ATM에서도 부정 방지 --
액시온은 세븐은행이 쌓아온 부정 계좌 개설을 막는 노하우를 프루스트의 회원 등록 프로세스에 도입. 세븐은행에서 금융 범죄 대책 업무 경험을 쌓은 멤버가 액시온에 파견되어 “고객 기업이 본업에 전념할 수 있도록, 은행의 부정 대책 관점에서 거래를 감시하고 있다”(액시온의 야스다(安田) CEO)라고 한다.
구체적인 대책은 어떤 것일까? 이용자가 스마트폰을 사용해 국내 IP 주소로 액세스한 몇 분 후에 해외에서 액세스 하거나, 최신 스마트폰 기종을 이용하고 있었는데 얼마 지나지 않아 낡은 기종으로 조작하는 경우가 있다. 액시온은 이러한 부자연스러운 이용 상황을 감시한다고 한다. 이용자의 행동 패턴을 기반으로 인증 레벨을 강화하는 ‘리스크 베이스 인증’과 같은 레벨의 시스템을 도입한 것이다.
이용자가 위조 면허증을 본인 확인 서류로서 송신해 타인으로 위장하는 경우도 있다. 과거에는 컬러프린터로 인쇄한 위조 면허증이었지만, 2010년대 이후에는 정교한 위조 업체들도 등장하고 있다고 한다. 이에 따라 신청 단계에서 진짜인지 구분하지 못하더라도 다음 단계에서 파악할 수 있도록 업무를 설계했다고 한다.
한편, 액시온은 프루스트를 통해 eKYC 서비스를 도입하고 있는 기업에 ‘온라인 공동 이용형 창구’라고 부르는 서비스를 제공하고 있다. 이용자가 기업의 서비스 이용 등록을 했을 때 프루스트의 회원으로서 얼굴 사진 및 신원 확인 데이터를 등록. 이용자가 동의하면 다른 기업의 서비스를 신청할 때 이름이나 주소가 동일하면 신원 확인이 완료된 개인 정보를 전달할 수 있다.
이용자가 주소 등 회원 정보를 변경했을 경우, 액시온은 프루스트의 회원 데이터 베이스를 갱신해 이미 이용자가 등록을 마친 기업에게도 변경된 정보를 전달한다. 범죄수익이전방지법에 대응할 필요가 있는 경우에는 그때마다 본인 얼굴을 촬영해 송신하도록 한다.
-- 딥페이크로 뚫릴 수 있을까? --
딥페이크로 불리는 기술을 이용해 다른 사람의 신분증을 사용하면 eKYC가 뚫릴 수도 있다. 올 6월, 인공지능학회에서 히타치제작소의 연구개발그룹은 이러한 경종을 울리는 논문을 발표했다.
딥페이크는 영상에 등장하는 인물의 얼굴만 다른 인물의 얼굴로 바꿔 가짜 동영상을 만드는 기술이다. 유명 인사의 얼굴을 다른 사람의 동영상에 합성해 마치 유명 인사가 말하거나 연기하는 듯한 동영상을 만들어낼 수 있다. 알고리즘이나 소스 코드가 소스 코드 공유 플랫폼 ‘깃허브(GitHub)’에 공개되어 있다.
히타치는 논문에서 딥페이크 기술로 여성이 남성으로 위장하는 실험을 실시. 이 기술이 온라인으로 신원 확인을 완결할 수 있는 eKYC에 위협이 되는지 검증했다. 그 결과, 가짜 동영상과 남성의 운전면허증 얼굴 사진이 동일인으로 판독되었다. eKYC 앱에 따라서는 다른 사람의 운전면허증을 사용할 위험도 있다는 것이다.
eKYC 서비스를 제공하는 기업들은 가짜 동영상을 이용해 다른 사람의 위장을 막는 기술 개발 경쟁을 펼치고 있다. 예를 들면 Polarify는 “카메라로 촬영된 외관이 디스플레이 상의 정지 화면이나 동영상, 사진, 칼라 프린트일 경우 자동으로 감지해 차단하는 기술을 보유하고 있다”(Polarify의 마츠야마(松山) 개발부장). Polarify는 미쓰이스미토모(三井住友)파이낸셜그룹과 NTT 데이터, 아일랜드를 거점으로 생체 인증 서비스를 세계적으로 전개하는 데온(Daon)의 합작회사이다.
본인 확인 시 외관 촬영에 의존하지 않는 eKYC 도입도 확산되고 있다. 그 중 하나가 전용 소프트웨어로 신분증 사진 파일 및 IC칩 정보를 읽어 은행이나 신용카드사에 조회 결과 등을 전송하는 범죄수익이전방지법 시행 규칙에 있는 ‘토’ 방식이다.
미쓰비시UFJ은행은 2019년 5월 인터넷뱅킹 미쓰비시UFJ다이렉트 계좌 소유자를 대상으로 인터넷증권사 등의 본인 확인 업무를 지원하는 '본인확인지원 API서비스'를 개시했다.
-- 업계 횡단의 룰 불가결 --
다양한 기업이 eKYC를 도입하고 있는 지금 새로운 사회 과제도 대두되고 있다. 하나는 본인 확인 비용이다. 기업들이 대면 중심으로 서비스를 제공하고 있을 때에는 별로 의식하고 있지 않았던 본인 확인이라는 업무와 관련된 코스트가 비대면 서비스의 확대에 따라 사회적 코스트로서 인식되게 되었다. 온라인으로 본인 확인을 할 수 있는 저렴한 시스템을 사회 인프라로서 쉽게 도입할 수 있게 되어야 할 것이다.
다른 하나는 업계 횡단의 룰의 필요성이다. 지금까지는 업계별 법 규제나 기업에 따라 본인 확인의 엄격함에 차이가 있었다.
예를 들어, 전력·가스 등의 서비스에서는 일반적으로 운전면허증 등으로 본인 확인을 하지 않아도 개설 및 정지 절차를 밟을 수 있는 경우가 많다. 한편, 금융과 같이 주소 변경 시 엄격한 본인 확인이 요구되는 업계도 있다.
리스크와 편리성을 참고해 본인 확인의 엄격함을 규정하는 업계 횡단의 룰이 있다면 리스크의 수준에 맞는 본인 확인 등의 서비스를 설계하기 쉬워진다.
eKYC 서비스 업체들이 새로운 규정을 제정해 줄 것으로 기대하고 있는 곳이 올 9월 1일에 발족한 디지털청이다. 디지털청은 다른 부처에 대한 권고권 등 강력한 종합 조정 기능을 가지고 있다. 정부도 본인 확인 규정 검토를 위한 준비를 추진하고 있다.
-- 끝 --
Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.
목차