eKYC 도입 실패 사례로 보는 보안 리스크 5가지

트렌드
2025-08-07

eKYC 도입 실패 사례로 보는 보안 리스크 5가지

디지털 금융 시대의 필수 기술로 자리 잡은 eKYC는 비대면 본인인증의 핵심 솔루션입니다. 금융위원회에서 제시한 비대면 실명확인 가이드라인에 따라 두 가지 이상의 인증 방식을 조합하여 사용할 것을 권장하고 있으며, 국내 금융기관들의 도입이 빨라지고 있습니다.

하지만 기술 도입 과정에서 발생하는 보안 허점들은 심각한 금융 사고로 이어질 수 있습니다. 특히 딥페이크 범죄 사례는 심각한 수준으로 나타나고 있습니다.

이번 글에서는 실제 사례를 통해 eKYC 도입 시 반드시 고려해야 할 보안 리스크 5가지를 살펴보겠습니다.


그런데 eKYC란 무엇인가요?

eKYC(비대면 고객확인)의 필요성도 빠르게 증가하고 있습니다. 이는 고객과 직접 대면하지 않고도 안전하게 신원을 확인할 수 있는 방법으로, 핀테크와 금융 산업의 중요한 과제로 떠올랐습니다.

금융위원회는 금융사가 반드시 준수해야 할 비대면 실명확인 가이드라인을 제시하였습니다. 주요 인증 방식으로는 신분증 사본 제출(OCR + 진위 확인), 기존 계좌 활용, 보안 매체 활용, 영상통화 활용 등이 있으며, 이 중 최소 두 가지 이상을 조합해서 사용해야 합니다.


보안 리스크 1: 딥페이크 기술을 악용한 신원 도용

가장 심각한 보안 위험 중 하나는 AI 기반 딥페이크 기술을 이용한 신원 도용입니다. 

핀드롭은 2024년 한 해 동안 총 12억 건의 고객 통화를 분석해 딥페이크 사기 활동을 정량적으로 측정했다. 그 결과, 딥페이크 기반 음성 사기 시도는 전년 대비 1300% 증가하며 하루 7건에 달하는 수준으로 확대됐다고 보고되었습니다.

이러한 위험에 대비하기 위해서는 라이브니스 검증(생체 감지) 기능이 필수적입니다. 생체 감지를 추가로 수행하여 사용자가 '실제 인물'임을 확인하고, 타인의 사진이나 비디오 복사, 딥페이크와 같은 사기 행위를 방지합니다.

보안 리스크 2: 생체인식 기술의 취약점

생체인식 기술 자체가 가진 근본적인 한계점도 주요 보안 리스크입니다. 

얼굴인식, 지문인식, 홍채인식 등 최근 스마트폰에 탑재된 3가지의 생체인식 기능이 모두 해킹이 가능한 것으로 드러나며 생체인식을 통한 보안강화 무용론까지 제기되고 있다는 연구 결과도 있습니다. 일란성 쌍둥이의 경우는 안면 인식이 간단하게 뚫리며, 많이 닮은 직계 가족의 경우에도 뚫릴 가능성이 있다는 점도 고려해야 할 요소입니다.


보안 리스크 3: 개인정보 유출 및 오남용

생체정보는 한 번 유출되면 복구가 불가능한 치명적인 개인정보입니다. 2019년 8월 이스라엘의 보안전문가가 생체인식정보 제조사의 보안설정이 잘못돼 인터넷에 노출된 서버에서 암호화되지 않은 사용자의 이름과 비밀번호, 지문과 안면정보 등을 발견한 사건이나, 2015년 해커집단의 APT 공격에 의해 미국 연방부처의 DB가 해킹되어 전·현직 공무원의 개인정보가 유출된 사건 등이 실제 발생했습니다.

사실상 바꾸는 것은 힘들기에, 한 번 유출되면 해킹을 위한 프리패스가 되어버릴 수 있는 것입니다. 이렇기 때문에 정부와 사기업등 제 3자가 생체 데이터를 수집하는 것은 위험하다고 전문가들은 경고합니다.

보안 리스크 4: 부정확한 기술 성능으로 인한 서비스 장애

eKYC 솔루션의 인식 정확도 문제는 고객 불만과 서비스 중단으로 이어질 수 있습니다. 기존에 사용 중인 시스템의 인식률이 정확하지 않아 고민인 경우도 있을 것입니다. 유스비의 신분증 인증과 안면 인식 인증 서비스를 함께 도입하면서 인식률은 물론 인증 속도까지 개선했습니다.

사용자의 다양한 환경, 조명, 인종 등 다양한 변수에도 정확하게 인식을 할 수 있는 기술이 필수적입니다. 이러한 기술적 한계를 극복하지 못하면 고객 이탈과 브랜드 신뢰도 하락으로 이어집니다.


보안 리스크 5: 통합 보안 체계 부재로 인한 취약점

eKYC 도입 시 기존 보안 시스템과의 연계 부족은 새로운 보안 허점을 만들 수 있습니다. 은행으로부터 정보를 받아보는 핀테크 업체 등 금융 기관들 역시 마찬가지 입니다. 정식 인가를 받지 않은 기관이 은행으로부터 고객 금융데이터를 열람하여 부정사용할 수도 있고, 고객의 트랜잭션 (결제, 송금 등 거래) 정보를 한 기관에서 다른 기관으로 전송할 때 해당 트랜잭션 정보를 해커가 위조할 수도 있습니다.

솔루션 도입 시, 다양한 인증 방식을 유연하게 조합할 수 있는지 고객이 쉽게 사용할 수 있는 사용자 인터페이스까지 고려해야 합니다. 단편적인 기술 도입보다는 전체적인 보안 아키텍처 관점에서 접근해야 합니다.


효과적인 대응 방안 알아보기

다층 보안 구조 구축

일반적으로 비대면 계좌 개설 시 신분증 인증(OCR + 진위확인)을 기본으로 1원 인증, 안면인증 등 다중 인증 방식을 조합하여 보안성을 높입니다. 단일 인증 방식에 의존하지 않고 여러 인증 수단을 조합하여 보안 강도를 높이는 것이 중요합니다.

전문 기술력 검증

안정성을 높이기 위해서는 eKYC 솔루션 제공사가 원천 기술을 갖추고 있어야 합니다. 기술 도입 전 솔루션 제공업체의 기술 전문성과 보안 인증 여부를 면밀히 검토해야 합니다.

지속적인 모니터링 체계

사기범들의 속도에 맞춰, 우리의 기술도 더 빠르게 진화해야 한다는 전문가 의견처럼 실시간 위험 탐지 시스템 구축이 필요합니다.



eKYC는 디지털 금융 환경에서 필수적인 기술이지만, 도입 과정에서 발생할 수 있는 다양한 보안 리스크를 간과해서는 안 됩니다. 딥페이크 기술 악용부터 생체인식 기술의 근본적 한계, 개인정보 유출 위험, 기술 성능 문제, 통합 보안 체계 부재까지 다섯 가지 주요 리스크를 체계적으로 분석하고 대비해야 합니다.

교묘한 방식으로 증가하는 금융사고와 강화되는 규제, 그리고 디지털 전환 속에서 eKYC는 금융기관의 중요한 문제가 됐습니다. 성공적인 eKYC 도입을 위해서는 기술적 완성도뿐만 아니라 포괄적인 보안 전략 수립이 필수입니다.

알체라는 신뢰할 수 있는 eKYC 솔루션으로 금융기관의 디지털 전환을 안전하게 지원합니다. 다층 보안 구조와 실시간 위험 탐지 기능을 통해 고객의 자산과 개인정보를 보호하는 동시에 편리한 사용자 경험을 제공합니다.


이전글
이전글
다음글
다음글
목록보기