eKYC 접속기록 관리를 통해 보안의 효율성 극대화 하는 법

‍

요즘 은행에 직접 가지 않고 휴대폰만으로 계좌를 개설하거나 대출을 받는 일이 늘어나고 있습니다. 이런 비대면 금융 서비스에서 핵심적인 역할을 하는 것이 바로 eKYC(electronic Know Your Customer) 시스템입니다. eKYC란 쉽게 말해 '디지털 신원확인 시스템'입니다. 과거 은행 창구에서 직원이 직접 신분증을 확인하던 일을 이제는 AI와 디지털 기술이 대신 처리하는 것입니다.

‍

하지만 이런 편리함과 함께 새로운 보안 위험도 생겨났습니다. 특히 개인정보 보호가 중요해지면서, 누가, 언제, 어떤 개인정보에 접근했는지를 정확히 기록하고 관리하는 일이 법적 의무가 되었습니다.

왜 접속기록 관리가 중요할까요?

‍

1. 법적 요구사항과 규제 준수 기준

1) 개인정보보호법의 핵심 의무사항

개인정보보호법 제29조에서는 금융회사들이 고객의 개인정보를 안전하게 지켜야 한다고 명시하고 있습니다. 여기에는 단순히 정보를 안전하게 저장하는 것뿐만 아니라, 누가 언제 그 정보에 접근했는지 기록을 남기는 것도 포함됩니다. 예를 들어, 은행 직원이 고객의 계좌 정보를 조회했다면, 그 직원의 ID, 조회한 시간, 어떤 컴퓨터에서 접근했는지, 무슨 목적으로 조회했는지 등을 모두 기록해야 합니다.

‍

2) 접속기록 보관 기간의 단계적 강화

현재는 이런 접속기록을 최소 1년 이상 보관해야 합니다. 단, 5만 명 이상의 고객 정보를 다루거나 주민등록번호 같은 중요한 정보를 처리하는 시스템은 2년 이상 보관해야 합니다. 앞으로는 이 보관 기간이 더욱 늘어날 예정입니다.

• 2024년부터: 3년 이상 보관
• 2025년부터: 5년 이상 보관

보관 기간이 늘어나는 이유는 개인정보 유출 사고가 발생했을 때, 더 오래된 기록까지 추적해서 문제의 원인을 찾을 수 있기 때문입니다.

‍

2. 접속기록에 반드시 포함되어야 하는 5가지 정보

법에서 정한 접속기록에는 다음 5가지 정보가 반드시 포함되어야 합니다.

1. 계정: 접속한 사람의 ID (예: 홍길동_001)
2. 접속일시: 정확한 접속 시간 (예: 2024-03-15 14:30:25)
3. 접속지 정보: 어떤 컴퓨터나 휴대폰에서 접속했는지 (IP주소 등)
4. 처리한 정보주체 정보: 누구의 개인정보를 봤는지 (고객 식별정보)
5. 수행업무: 무엇을 했는지 (조회, 수정, 삭제, 다운로드 등)

eKYC 시스템에서의 특별한 관리 요구사항

‍

고객 인증 과정의 추적 가능성

eKYC 시스템은 일반적인 개인정보 처리 시스템보다 더 복잡한 과정을 거칩니다. 예를 들어, 비대면으로 계좌를 개설할 때는 다음과 같은 단계를 거칩니다.

1. 신분증 촬영 및 OCR 인식: 운전면허증이나 주민등록증을 촬영해서 정보를 읽어들임
2. 신분증 진위 확인: 촬영한 신분증이 진짜인지 확인
3. 1원 인증: 계좌에 1원을 보내서 실제 본인 계좌인지 확인
4. 안면 인증: 얼굴 인식을 통한 본인 확인

‍

이 모든 단계에서 발생하는 개인정보 처리 과정을 빠짐없이 기록해야 합니다.

‍

다중 인증 방식의 로그 관리

위의 각 인증 단계는 서로 다른 시스템에서 처리될 수 있습니다. 

• OCR 시스템
• 진위확인 시스템
• 계좌 인증 시스템
• 안면인식 시스템

‍

각 시스템에서 생성되는 모든 접속기록을 통합적으로 관리하고, 하나의 고객 인증 과정으로 연결해서 추적할 수 있어야 합니다.

기술적으로 어떻게 구현할까요?

‍

1. 로그 생성과 수집 체계

접속기록 관리 시스템은 크게 두 부분으로 구성됩니다.

‍

1. 트레이서(Tracer): 실제 업무 시스템에 설치되어 접속기록을 생성하는 부분
2. 통합 관리 시스템: 여러 시스템에서 생성된 기록들을 모아서 관리하는 부분

‍

트레이서의 두 가지 방식

• 네트워크 방식: 컴퓨터와 서버 사이를 오가는 데이터를 중간에서 엿듣는 방식. 시스템 수정이 필요 없지만 제한적인 정보만 수집 가능
• 소프트웨어 방식: 실제 업무 시스템에 작은 프로그램을 설치해서 더 상세한 기록을 남기는 방식

‍

2. 자동화된 개인정보 접속기록 생성

과거에는 직원이 수동으로 접속기록을 작성해야 했지만 현재는 시스템이 자동으로 육하원칙에 따라 표준화된 접속기록을 생성합니다. 중요한 점은 기존 업무 시스템의 소스 코드를 수정하지 않고도 접속기록을 생성할 수 있다는 것입니다. 이는 업무에 지장을 주지 않으면서도 규제 요구사항을 충족할 수 있게 해줍니다.

‍

3. 빅데이터 기술의 활용

기존 방식의 한계 과거에는 관계형 데이터베이스(RDB)에 접속기록을 저장했습니다. 하지만 하루에도 수십만, 수백만 건의 접속기록이 생성되면서 검색 속도가 느려지는 문제가 발생했습니다.

빅데이터 엔진의 도입 최근에는 빅데이터 처리 기술을 도입해서 이 문제를 해결하고 있습니다. 빅데이터 엔진을 사용하면 기존 대비 검색 속도가 100배 이상 향상됩니다.

‍

실시간 모니터링과 점검 체계

‍

이상 행위의 조기 발견

강화된 점검 주기‍

과거에는 6개월에 한 번 접속기록을 점검했지만, 현재는 매달 최소 1회 이상 점검해야 합니다.

‍

의심스러운 활동 탐지 예시:

• 업무 시간 외 접속
• 대량의 개인정보 다운로드
• 업무와 관련 없는 정보 조회
• 퇴사 예정자의 비정상적 접속 패턴

‍

통합 보안 관점에서의 분석

접속기록 관리 시스템은 다른 보안 장비들과 연동되어 종합적인 분석을 수행합니다.

‍

시나리오 예시:

1. 직원 A가 고객 정보를 대량 조회
2. 동시에 USB 저장장치를 컴퓨터에 연결
3. 대용량 파일이 USB로 복사됨
4. 시스템이 이를 종합해서 정보 유출 시도로 판단하고 경고

‍

‍

클라우드 환경에서의 효율적 관리

‍

비용 효율적인 저장 방안

기존 방식의 문제점‍

접속기록을 5년간 보관해야 한다면 엄청난 양의 저장공간이 필요합니다. 자체 서버로 이를 처리하려면 초기 투자비용과 유지보수 비용이 많이 듭니다.

‍

클라우드 스토리지 활용‍

아마존 S3 같은 클라우드 저장 서비스를 활용하면 다음과 같은 장점이 있습니다.

• 비용 절약: 사용한 만큼만 비용 지불
• 높은 안정성: 99.9% 가용성 보장
• 자동 백업: 별도 관리 없이 자동으로 백업 수행
• 확장성: 필요에 따라 저장 공간 자동 확장

‍

네트워크 기반 모니터링의 장점

클라우드 환경에서는 데이터베이스에 직접 접근하는 대신 네트워크를 통한 접속을 모니터링합니다.

• 기록 생성량이 상대적으로 적음
• 시스템 성능에 미치는 영향 최소화
• 초기 도입 비용 절약

‍

실무 도입 시 체크리스트

솔루션 선택 기준

eKYC 접속기록 관리 솔루션을 선택할 때는 다음 사항들을 반드시 확인해야 합니다.

‍

1. 안정성

• 기존 업무 시스템에 영향을 주지 않고 안정적으로 작동하는가?
• 대용량 트래픽 상황에서도 성능 저하 없이 동작하는가?

‍

2. 확장성

• 향후 사업 확장시 시스템 확장이 용이한가?
• 다양한 종류의 시스템과 연동이 가능한가?

‍

3. 사용 편의성

• 직관적인 대시보드와 리포트 기능을 제공하는가?
• 이상 상황 발생시 즉시 알림을 받을 수 있는가?

‍

미래 전망과 기술 발전 방향

‍

AI 기반 이상행위 탐지

미래의 접속기록 관리 시스템은 인공지능 기술을 활용해서 더욱 정교한 이상행위 탐지가 가능할 것입니다.

• 패턴 학습: 각 직원의 평소 업무 패턴을 학습해서 비정상적인 접속을 자동 감지
• 위험도 점수화: 접속 행위의 위험도를 점수로 계산해서 우선순위 설정
• 자동 대응: 고위험 상황 발생시 자동으로 계정 차단이나 관리자 알림

‍

통합 보안 생태계 구축

• 통합 암호화: 개인정보의 저장, 전송, 처리 전 과정 암호화
• 무단 업로드 차단: 개인정보가 포함된 파일의 외부 전송 자동 차단
• 개인정보 노출 탐지: 웹사이트, 이메일 등에서 개인정보 노출 자동 감지

‍

앞으로도 법적 요구사항은 더욱 강화될 것이고 기술은 더욱 정교해질 것입니다. 금융기관들이 이러한 변화에 선제적으로 대응한다면 고객의 개인정보를 보호하면서 동시에 지속가능한 사업 성장을 이룰 수 있을 것입니다.

‍