
카드사가 인터넷으로 회원을 모집할 때는 원래 공인전자서명을 통해 본인 여부를 확인하도록 법에 정해져 있었지만 신청인의 신분증 발급기관과 발급일처럼 본인임을 식별할 수 있는 정보 그리고 본인의 서명을 함께 받는 방식으로도 신청 사실을 확인할 수 있다면 전자서명 없이도 카드 회원을 모집할 수 있는 예외가 함께 마련되어 있었습니다. 이 예외 조항이 만들어낸 여지 안에서 은행권의 비대면 실명확인 방식이 카드 발급에도 적용될 수 있다는 해석이 이어졌고, 결국 신분증 사본 제출이나 얼굴 대조 같은 방식이 카드사의 본인확인 수단으로 자리를 잡아왔습니다. 다만 이러한 방식을 도입할 때는 명의도용으로 인한 부정 발급을 최소화할 수 있도록 시스템의 안정성과 보안성을 스스로 검증해야 한다는 조건이 함께 따랐습니다.
법 조문 하나의 예외 규정에서 출발한 이 흐름은 이후 얼굴본인인증이라는 구체적인 기술로 이어지며 카드사의 규제 대응 방향 전체를 형성해 왔습니다.
이 네 가지가 함께 갖추어지지 않은 채 얼굴본인인증만 도입하면 기술 자체는 정교하더라도 규제가 요구하는 최소한의 요건을 충족했다고 보기 어려운 상황에 놓일 수 있습니다.

카드 발급은 원칙적으로 본인이 직접 신청해야 하지만 법정대리인인 친권자는 미성년 자녀를 대신해 신청할 수 있습니다. 이때 카드사는 부모의 신분증과 더불어 부모와 자녀 사이의 관계를 증명하는 가족관계증명서를 통해 부모의 신원과 대리 권한 그리고 자녀의 실제 명의까지 함께 확인해야 합니다. 얼굴본인인증을 이 과정에 적용하려는 카드사라면 인증의 대상을 신청 명의자인 자녀로 둘 것인지 아니면 실제로 화면 앞에 앉아 있는 부모로 둘 것인지를 먼저 명확히 정리해야 하며, 이 판단이 흐릿한 상태로 시스템을 설계하면 정작 확인이 필요한 순간 누구의 얼굴을 대조해야 하는지조차 불분명해지는 혼란이 생길 수 있습니다.
보이스피싱 범죄 조직이 탈취한 개인정보로 본인을 가장해 카드론이나 비대면 대출을 받아 자금을 빼돌리는 사례가 이어지자, 관련 시행령이 개정되어 카드사를 비롯한 여신전문금융회사와 일정 규모 이상의 대부업체도 대출을 내줄 때 반드시 본인 확인 절차를 거치도록 의무화되었습니다. 확인 방법으로는 금융회사에 등록된 전화번호로 직접 통화하는 방식과 대면으로 확인하는 방식 그리고 실명확인증표 사본 제출이나 영상통화 같은 기존의 비대면 실명거래 절차 가운데 하나를 선택할 수 있도록 되어 있습니다. 계좌 개설 단계의 확인만으로 충분하다고 여겨왔던 카드사 입장에서는 대출 실행이라는 별도의 시점에도 확인 절차를 다시 갖추어야 한다는 점에서 이 개정은 실무에 적지 않은 변화를 요구하고 있습니다.
감독 당국이 마련한 이상금융거래탐지시스템 운영 기준은 실제로 사고가 발생했을 때 해당 금융회사가 비대면 본인확인 의무를 얼마나 충실히 이행했는지 그리고 이상거래를 얼마나 신속하게 감지하고 대응했는지를 함께 살펴보도록 하고 있습니다. 이 때문에 얼굴본인인증을 도입한 카드사라 하더라도 사고 발생 이후에는 그 인증이 실제로 적절한 수준으로 작동했는지를 소명해야 하는 입장에 놓이게 되며, 이는 도입 시점의 기술적 완성도만큼이나 운영 기간 내내 쌓이는 기록의 충실함이 중요하다는 점을 보여줍니다.

이렇게 기록된 자료가 갖추어져 있어야 사고가 발생했을 때 카드사가 확인 의무를 다했는지를 스스로 증명할 수 있으며, 기록이 남아 있지 않은 인증은 아무리 정교한 기술로 이루어졌더라도 사후에는 그 적절성을 입증하기 어려워집니다.
카드가 분실되거나 정지되었거나 이미 해지된 상태라면 얼굴본인인증을 포함한 어떠한 본인확인 서비스도 정상적으로 이용할 수 없도록 제한하는 것이 일반적인 운영 원칙입니다. 또한 가족카드나 법인카드 그리고 선불카드처럼 명의 구조가 복잡한 카드 유형에는 개인 명의 카드와 같은 방식의 얼굴 대조를 그대로 적용하기 어려운 경우가 많아, 카드사는 이러한 예외적인 카드 유형을 별도로 분류해 각각에 맞는 확인 절차를 마련해야 합니다.
카드사가 얼굴본인인증과 관련된 규제에 대응하려면 서로 다른 세 갈래의 규정을 함께 정리해야 합니다. 첫째는 카드 발급 단계에서 전자서명을 대체할 수 있는 예외 요건과 그 요건을 충족하는 기술적 조건이고, 둘째는 미성년자 대리 신청처럼 신청 명의자와 실제 인증 대상이 달라지는 특수한 상황에 대한 기준이며, 셋째는 대출 실행이라는 별도의 시점에 새롭게 요구되는 본인확인 의무입니다. 이 세 갈래를 각각 따로 관리하기보다 하나의 대응 체계 안에서 서로 연결해 관리할 때, 카드사는 규제가 요구하는 수준을 온전히 충족할 수 있습니다.
