티스토리 뷰

반응형

신분증을 스마트폰 카메라로 찍어 올리면 본인 확인이 끝난다고 해서 정말 안심해도 될까요? 저도 처음에는 그렇게 생각했습니다 .
그런데 행정안전부가 네이버페이·카카오페이·토스와 맺은 이번 업무협약(MOU) 내용을 들여다보니, 지금까지의 방식이 생각보다 허술했다는 걸 새삼 깨달았습니다. 비대면 금융서비스를 거의 매일 쓰는 입장에서 이번 변화는 꽤 와닿았습니다.

사진까지 대조한다는 게 왜 중요한가 — 신원인증의 빈틈

그동안 네이버페이, 카카오페이, 토스 같은 전자금융업자들이 고객 확인 과정에서 할 수 있었던 건 성명, 주민등록번호, 발급일자 세 가지 텍스트 데이터를 행안부 서버와 대조하는 것뿐이었습니다. 이걸 업계에서는 '정보 기반 진위 확인'이라고 부르는데, 쉽게 말해 숫자와 글자가 일치하는지만 보는 방식입니다. 사진은 전혀 확인하지 않았습니다.

문제는 여기서 생깁니다. 위조 기술이 발전하면서 이름·번호·발급일자만 맞으면 통과되는 구조를 노린 가짜 신분증이 실제로 유통되고 있습니다. 직접 QR 스캔 장비로 판독하거나, 주민등록 진위 확인 서비스(1382번)로 조회하지 않으면 육안으로는 가려내기 어렵다는 점이 오랫동안 맹점으로 지적되어 왔습니다. 제가 비대면으로 계좌를 개설할 때 신분증 사진을 촬영해서 올리면서도 '이게 진짜 확인이 되는 건가?'라는 의문이 든 적이 있었는데, 그 찝찝함이 근거 없는 게 아니었던 셈입니다.

이번 협약의 핵심은 API(애플리케이션 프로그래밍 인터페이스) 연동을 통해 주민등록증에 등록된 사진 정보까지 행안부 원본 데이터와 실시간으로 대조할 수 있게 된다는 점입니다. API란 서로 다른 시스템이 데이터를 주고받을 수 있도록 연결해주는 통로를 의미합니다. 즉, 네카토의 앱과 행안부 서버가 직접 연결되어 사진 정보까지 즉시 비교 검증이 가능해지는 구조입니다.
금융결제원이 중계기관으로서 이 시스템 연계를 담당하는데, 금융결제원이란 금융 기관 간 자금 이체와 정보 유통을 안전하게 처리하는 공공 인프라 역할을 하는 기관입니다.

최근 간편결제·송금 서비스 이용이 급증하면서 위·변조 신분증을 이용한 금융 범죄도 함께 고도화되고 있습니다.
보이스피싱 조직이 타인 명의 계정을 확보하거나 범죄수익을 세탁하는 데 가짜 신분증을 활용하는 수법은 이제 상당히 정교한 수준에 이르렀습니다. 이번 협약으로 도입되는 서비스의 역할을 정리하면 다음과 같습니다.

  • 기존 방식: 성명·주민등록번호·발급일자 텍스트 3가지 대조만 가능
  • 신규 방식: 텍스트 3가지 + 사진 정보까지 행안부 원본과 실시간 대조
  • 담당 구조: 행안부(시스템·정책) → 금융결제원(중계) → 네이버페이·카카오페이·토스(API 연동)
  • 도입 일정: 3사는 연내 서비스 적용, 내년부터 다른 전자금융업체로 확대 예정

보안이 강화된다고 안심해도 될까 — 개인정보와 금융보안의 균형

솔직히 이번 발표를 처음 접했을 때 반가움과 함께 한 가지 질문이 동시에 떠올랐습니다.
"내 주민등록증 사진 정보가 민간 앱을 통해 정부 서버를 오간다는 게, 정말 안전한 건가?"라는 의문이었습니다.
제 경험상 보안이 강화된다는 말과 개인정보가 안전하다는 말은 반드시 같은 뜻이 아닌 경우가 있었기 때문입니다.

이번 시스템에서 사진 정보는 저장되는 것이 아니라 진위 확인을 위한 실시간 대조에만 활용되는 구조입니다.
그러나 이 과정에서 개인정보보호법(PIPA) 준수 여부가 핵심 쟁점이 됩니다. 개인정보보호법이란 개인을 식별할 수 있는 정보를 수집·처리·저장할 때 정보 주체의 동의와 안전한 관리를 의무화하는 법률입니다.
금융감독원이 보안 점검 및 감독 역할을 맡았다고 하지만, 실제로 어떤 암호화 방식으로 데이터가 전송되고 로그는 어디까지 남는지에 대한 구체적인 내용은 아직 공개되지 않았습니다.

이런 우려가 근거 없는 것도 아닙니다.
금융감독원 통계에 따르면 2023년 기준 국내 보이스피싱 피해액은 약 1,965억 원에 달했습니다.
(출처: 금융감독원).
피해 규모가 이 정도라면 신원확인 체계를 강화하는 건 분명히 필요한 조치입니다.
동시에 행정안전부가 공개한 자료에 따르면, 주민등록증 관련 민원 및 진위 확인 서비스는 정부24 플랫폼을 통해 이미 연간 수억 건이 처리되고 있어 인프라 자체의 안정성은 어느 정도 검증된 상태입니다.(출처: 행정안전부).

그럼에도 이상 거래 탐지 시스템(FDS)의 병행 강화가 반드시 필요하다고 봅니다.
FDS란 금융 거래에서 평소와 다른 패턴이 감지될 때 이를 자동으로 차단하거나 추가 인증을 요구하는 이상 탐지 시스템을 말합니다.
신분증 진위 확인만으로는 실제 명의인이 직접 거래하는지까지는 확인할 수 없기 때문입니다.
보이스피싱 조직은 피해자를 직접 설득해 정상적인 인증 절차를 거치게 만드는 수법도 이미 오래전부터 사용해 왔습니다.
제 경험상 이런 사기 수법은 기술이 발전할수록 기술 바깥의 심리적 허점을 파고드는 방식으로 변화하는 경향이 있었습니다.

결국 이번 제도가 진짜 효과를 내려면 신분증 진위 확인 강화, FDS 고도화, 그리고 이용자 교육이라는 세 축이 함께 움직여야 합니다. 어느 하나만으로는 충분하지 않습니다.

이번 주민등록증 진위 확인 서비스 확대는 분명히 올바른 방향의 변화입니다.
오랫동안 사진 대조 없이 텍스트 정보만으로 운영되던 구멍이 메워지는 것이니까요. 다만 기술이 바뀌면 범죄 수법도 함께 바뀐다는 것을 저는 뉴스를 통해 너무 많이 봐왔습니다. 정부와 기업 모두 이번 도입에 안주하지 않고 지속적으로 보안 체계를 점검하기를 바랍니다.
비대면 금융을 자주 쓰는 분이라면, 개인정보 처리 방침이 어떻게 업데이트되는지 주기적으로 확인하는 습관을 가지시길 권합니다.

이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 금융 또는 법률 조언이 아닙니다.


참고: https://n.news.naver.com/mnews/article/016/0002668232?sid=101