과거의 본인인증 방식의 문제점

옛날에는 본인인증을 주민등록번호로 하여 한창 이슈가 있었다. 하지만 지금은 대부분 사이트에서 주민등록번호 수집을 원칙적으로 금하고 있다.

대신 대부분의 사이트에서 휴대폰 본인인증으로 변경되어 사용하고 있다.

휴대폰 본인인증의 원리

※ 참고 사항 : 휴대전화 본인인증 등 개인정보 처리할때는 SSL/TLS를 사용하여 암호화 방식이 필수이다.

회원가입 등 개인정보를 다루는 사이트는 HTTPS를 필수로 이용해야 한다. 해당 사항을 준수하지 않을 시 5천만원 이하의 벌금 등 법률 위반 제재가 가능하다.

요즘에는 중복가입 차단, 쇼핑몰 등에서 만 14세 이상 연령 확인용, 성인인증 용도 등으로 대체하고 있는 휴대폰 본인인증 서비스에 대하여 알아보고 원리를 소개한다.

※ 참고

중복가입 차단, 쇼핑몰 등에서 만 14세 이상 연령 확인용도, 성인인증 용도를 받는 이유?

- 대한민국 법률상, 만 14세 미만의 '계약 등 동의를 한 행위'를 인정하지 않기 때문이다. 예를 들어 만 14세 미만이 게임에 수천만 원을 사용하거나, 기타 재화를 구매 후 부모가 환불 요청 시 손해를 감수하고도 환불해줘야 하기 떄문에 대부분의 쇼핑몰은 구매자가 만 14세 이상인지 확인하게 된다. 이는 해외에서도 비슷한 법률이 존재하며, 미국의 경우에는 아동의 개인정보를 혹시라도 수집한 경우 폐기하도록 하고 있다.

휴대폰 본인인증이란?

사용자의 휴대전화의 문자인증등으로 본인임을 확인하는 방법이다.

해당 인증과정에는 사람, 기관이 등장한다.

1. 사용자
2. 쇼핑몰 등 가입하려는 "웹 사이트"
3. 이동통신사(SKT, KT, LG, 알뜰폰 등)
4. 본인인증 회사(도는 신용평가 회사 별도)

본인 인증 회사에서 이동통신사에 휴대전화정보로 개인정보를 확인 요청하여 맞는지 확인 후 성공/실패 여부를 웹사이트로 전송해준다.

사용되는 개인정보는 아래와 같다.

• 필수
  • 휴대전화 번호
  • 이름
• 필수 아닌 항목
  • 생년월일
  • 성별

누가 해당 정보를 처리할까?

해당 정보는 신용평가 및 본인인증 회사들의 페이지에서 본인인증이 이루어지며, 맞는지 틀린지 확인한다.

가입하려는 웹사이트에는 일반적으로 CI/DI라고 하는 고유 인증코드, 성공 여부 등만 보내지고 경우에 따라 이름, 생년월일, 성별, 내외국인 정보, 이동통신사 정보, 휴대폰 번호 등을 추가로 제공한다.

ex) 연령인증 목적 - 생년월일 필요

정보는 일반적으로 팝업으로 열린 본인인증 회사와 사용자와 1:1로 통신하며, 웹사이트는 계약된 정보만 전달받는다.

주민등록번호 가입과 차이점은 관리의 책임은 전적으로 신용평가회사에 있으며 해독할 수 없는 암호화된 정보를 강제한다. 보안이 검증되지 않은 회사들에 무방비하게 개인정보가 저장되어 있는 것보다는 신용평가회사만 관리하는게 관리 및 보안측면에서 조금 더 이점이 존재한다.

CI값은?

주민등록번호를 추정할 수 없는(단방향)암호화한 88BYTE값이다.

DI값은?

주민등록번호와 사업자 고유번호(사업자 등록번호)를 암호화한 66BYTE값이다.

웹 사이트의 중복가입 방지?

해당 정보중 DI값을 사용할 경우 중복가입을 방지할 수 있다.

사업자등록번호와 개인의 고유번호를 합쳐서 암호화한 코드로서 이 값은 같은 사람인 경우에만 같은 코드가 나온다.

따라서 (같은 사람 + 사업자 등록번호)로 처리하므로 중복 회원가입이 불가능하게 된다.

인증을 실패하는 Case

만일 본명을 변경하여 신용평가회사에 등록된 내용과 다른 경우(수정 반영이 되지 않은 경우)에 실패할 수 있다. 정보가 맞는지 대조하는게 신용평가회사를 통해 진행되기 때문이다.

본인 인증을 제공하는 회사 목록

• NICE 아이디
• NHN KCP
• KMC 한국모바일인증
• 드림시큐리티
• 다날
• PASS
• SCI Bizsiren