.svg)
AI 솔루션 문의하기
eKYC는 온라인에서 신분증과 얼굴 인식을 통해 본인을 확인하는 전자적 고객 신원 확인 방식입니다. 모바일 뱅킹, 인터넷 보험 가입, 비대면 계좌 개설 같은 서비스에서 활용됩니다. 금융기관이 이런 방식을 도입하려면 여러 법률과 규정을 준수해야 합니다. 전자금융거래법, 특정금융정보법, 개인정보 보호법, 신용정보법 등이 관련됩니다. eKYC 인증 서비스 법적 기준은 이런 법규들이 요구하는 최소한의 보안 수준과 절차를 의미합니다.
전자금융거래법 제21조는 전자금융거래의 안전성과 신뢰성을 확보하도록 요구합니다. 금융감독원의 전자금융감독규정은 비대면 거래에서 본인 확인 절차를 구체적으로 규정합니다. 이중 인증, 생체 인증, 인증서 활용 같은 방법이 포함됩니다. eKYC는 신분증 확인과 얼굴 인식을 조합해 본인을 확인하므로, 이중 인증에 해당한다고 볼 수 있습니다. 금융기관은 이 과정에서 사용하는 기술이 충분한 보안 수준을 갖추고 있음을 입증해야 합니다.
특정금융정보법은 금융기관에 고객확인제도를 의무화합니다. 계좌 개설이나 일정 금액 이상의 거래 시 고객의 신원을 확인하고 기록해야 합니다. 대면 거래에서는 직원이 직접 신분증을 확인하지만, 비대면 거래에서는 기술적 수단이 필요합니다. 금융위원회와 금융정보분석원은 비대면 고객확인 방법으로 신분증 진위 확인과 얼굴 인식을 인정하고 있습니다. 다만 이 기술들이 일정 수준 이상의 정확도를 가져야 한다는 조건이 있습니다.
▲ 금융감독원은 비대면 본인확인 및 인증에 관한 가이드라인을 발표했습니다.
▲ 신분증 진위 확인, 얼굴 인식, 라이브니스 검사를 조합하도록 권고합니다.
▲ 각 단계별로 충족해야 할 기술 요건과 보안 수준이 명시되어 있습니다.
신분증은 정부가 발급한 것이어야 하며, 위변조 여부를 자동으로 판단할 수 있어야 합니다. 얼굴 인식의 정확도는 일정 수준 이상이어야 하고, 사진이나 영상으로 속이는 시도를 걸러낼 수 있어야 합니다. 금융기관은 이 가이드라인을 따라 시스템을 구축하고, 정기적으로 성능을 점검합니다.
얼굴 이미지는 생체인식정보로 분류되며, 개인정보 보호법 제23조에 따라 민감정보에 해당합니다. 수집할 때 별도의 동의를 받아야 하고 처리 목적을 명확히 고지해야 합니다. 동의를 받을 때는 생체정보를 수집하는 이유, 이용 목적, 보관 기간, 제3자 제공 여부 등을 설명합니다. 고객이 동의하지 않으면 서비스를 제공할 수 없지만 강제할 수는 없으며 생체정보는 암호화해서 저장하고 목적이 달성되면 지체 없이 파기해야 합니다.
신용정보의 이용 및 보호에 관한 법률은 금융회사가 신용정보를 제공하거나 조회할 때 본인의 동의를 받도록 합니다. 본인 확인 방법으로는 공동인증서, 금융인증서, 민간인증서 같은 전자 서명 수단이 인정됩니다. eKYC도 본인 확인 수단으로 활용될 수 있지만 금융위원회의 승인이나 가이드라인이 필요한 경우가 있습니다. 신용조회 서비스나 대출 신청 과정에서 eKYC를 적용하려면 관련 규정을 확인해야 합니다.
전기통신사업법은 이동통신 서비스 가입 시 본인확인을 의무화합니다. 과학기술정보통신부의 본인확인기관 지정 및 관리 지침이 구체적인 방법을 규정합니다. 주민등록번호 확인, 신분증 확인, 휴대폰 인증 등을 조합해야 합니다. 비대면 가입의 경우 신분증 촬영과 얼굴 인식을 사용할 수 있으며, 이는 대면 확인과 동등한 것으로 인정됩니다. 다만 시스템의 정확도와 보안성을 주기적으로 검증받아야 합니다.
△ 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 본인확인기관을 지정합니다.
△ 본인확인기관은 주민등록번호를 대체하는 안전한 본인 확인 수단을 제공합니다.
△ eKYC 서비스 제공자가 본인확인기관으로 지정받으려면 일정 요건을 충족해야 합니다.
기술적 안정성, 개인정보 보호 체계, 서비스 운영 능력 등을 심사받습니다. 지정받은 후에도 정기적으로 점검을 받으며, 기준을 충족하지 못하면 지정이 취소될 수 있습니다. 금융기관이 eKYC를 도입할 때 본인확인기관으로 지정받은 업체의 서비스를 활용하면 법적 요건을 충족하기 수월합니다.
eKYC 인증 서비스 법적 기준은 국제 표준도 고려합니다. ISO/IEC 30107은 생체 인식 시스템의 프레젠테이션 공격 탐지 기준을 제시합니다. 얼굴 인식 시스템이 사진이나 영상으로 속이는 시도를 얼마나 잘 걸러내는지 평가하는 방법입니다. NIST는 얼굴 인식 알고리즘의 정확도를 평가하는 프로그램을 운영합니다. 국내 금융기관과 eKYC 솔루션 제공자들은 이런 국제 표준을 참고해 시스템을 개발하고 검증합니다. 알체라의 얼굴 인식 기술도 국제 표준에 맞춰 설계되었습니다.
금융감독원은 금융기관의 전자금융 시스템을 정기적으로 검사합니다. eKYC 인증 서비스가 법적 기준을 충족하는지, 보안 취약점은 없는지 점검합니다. 기준을 충족하지 못하면 시정 명령을 받거나 과태료가 부과될 수 있습니다. 심각한 경우 서비스 중단 명령이 내려지기도 합니다. 개인정보보호위원회도 생체정보 처리가 적법한지 감독합니다. 금융기관은 이런 검사에 대비해 관련 문서와 기록을 정리하고, 시스템 점검을 주기적으로 실시해야 합니다.
eKYC 기술은 빠르게 발전하고 있습니다. 딥페이크 탐지, 다중 생체 인식, 블록체인 기반 신원 확인 같은 기술이 등장하고 있습니다. 규제 당국은 이런 변화를 반영해 법규와 가이드라인을 업데이트합니다. 금융위원회와 금융감독원은 금융 분야 테스트베드를 운영해 기술을 검증하고, 규제 개선 방안을 논의합니다. 기업들은 이런 정책 방향을 주시하고, 새로운 기준에 맞춰 시스템을 개선해야 합니다. 법률 자문과 컴플라이언스 팀의 역할이 중요합니다.
eKYC 인증 서비스를 도입하려는 금융기관은 먼저 적용 법령을 명확히 파악해야 합니다. 서비스 유형에 따라 전자금융거래법, 특정금융정보법, 신용정보법 중 어떤 것이 적용되는지 확인합니다. 금융감독원의 가이드라인을 검토하고 필요하면 당국에 사전 질의를 합니다. 기술 솔루션을 선택할 때는 법적 기준을 충족하는지 확인하고 인증이나 검증 결과를 요구합니다. 개인정보 영향 평가를 실시해 생체정보 처리가 적법한지 검토합니다. 서비스 출시 전에 내부 감사와 보안 점검을 거칩니다. 출시 후에도 정기적으로 시스템 성능을 모니터링하고 법규 변경 사항을 반영합니다. 알체라는 금융기관이 이런 절차를 진행할 때 필요한 기술 지원과 컨설팅을 제공할 수 있습니다.
.svg)
.svg)
