.svg)
AI 솔루션 문의하기
비대면 금융 서비스가 급속히 확산되면서 eKYC(전자 고객확인) 시스템의 도입이 필수가 되었습니다. 하지만 편리함만큼 중요한 것이 바로 사용자의 개인정보를 안전하게 보호하는 것입니다. eKYC 과정에서는 신분증 정보, 얼굴 이미지, 금융 정보 등 민감한 개인데이터를 다루기 때문에 더욱 철저한 보호정책이 필요합니다.
2025년 현재, 개인정보보호법과 GDPR 등 전 세계적으로 강화된 개인정보보호 규제 환경에서 금융기관들은 법적 요구사항을 충족하는 것을 넘어 고객의 신뢰를 얻을 수 있는 투명하고 안전한 정보보호정책을 수립해야 합니다.
eKYC 과정에서 수집되는 정보는 일반적인 웹서비스에서 처리하는 데이터와는 차원이 다릅니다. 신분증에 포함된 주민등록번호, 주소 등의 신상정보는 물론 얼굴 생체정보, 금융거래 정보까지 포함됩니다. 이러한 정보들은 한 번 유출되면 되돌릴 수 없는 피해를 초래할 수 있어 특별한 보호가 필요합니다.
eKYC는 실시간으로 신원을 확인하는 시스템이므로 데이터의 수집, 처리, 저장, 전송이 순간적으로 이루어집니다. 이 과정에서 각 단계별로 적절한 보안 조치가 적용되어야 하며 데이터 최소화 원칙에 따라 꼭 필요한 정보만 처리해야 합니다.
개인정보보호법에 따르면 개인정보의 수집·이용 목적, 수집 항목, 보유 및 이용 기간, 동의 거부권 등을 명확히 고지해야 합니다. eKYC 시스템에서는 특히 생체정보 처리에 대한 별도 동의가 필요하며, 정보주체의 권리(열람, 정정·삭제, 처리정지 요구권)를 보장해야 합니다.
유럽연합 일반 개인정보보호법(GDPR)은 더욱 엄격한 기준을 제시합니다. 개인정보 처리의 합법성, 공정성, 투명성을 요구하며 데이터 주체의 권리를 강화했습니다. 특히 '잊힐 권리(Right to be Forgotten)'와 '데이터 이동권' 등은 eKYC 시스템 설계 시 반드시 고려해야 할 요소입니다. 카카오는 GDPR 및 EU 회원국의 법률을 준수하며 이용자는 자신의 개인정보를 다른 관리자에게 이전해 달라고 요청할 수 있고 자신의 정보 처리 거부를 요청할 수 있습니다.
eKYC 시스템에서 수집된 개인정보는 오직 고객 신원확인과 금융거래 보안을 위한 목적으로만 사용되어야 합니다. 마케팅이나 기타 부차적 목적으로의 활용은 별도의 명시적 동의 없이는 불가능합니다.
솔루션이 최소한의 정보만 저장하고 셀카, 개인 식별 정보, 기타 신원 데이터를 보관하지 않도록 해야 합니다. 선택한 솔루션이 개인에게만 초점을 맞추고 집계 모델은 구축하지 않도록 해야 합니다.
법정 보관 의무 기간이 끝나면 개인정보를 즉시 삭제해야 합니다. eKYC 관련 정보의 경우 전자금융감독규정에 따라 최소 1년, 개인정보보호법에 따라 최소 6개월 이상 보관해야 하지만, 보관 목적이 달성되면 지체 없이 파기해야 합니다.
알체라의 eKYC 솔루션은 개인정보 유출 방지를 위한 분산형 얼굴 정보 저장 방식을 채택하고 있습니다. 얼굴의 특징점 정보는 분산 저장되며 인증할 때만 결합된 정보를 매칭하여 본인여부를 확인합니다. 분산형 얼굴 정보 저장 방식은 해킹 등으로 인한 개인정보 유출을 방지할 수 있습니다.
기존 KYC 프로세스는 고객 신원 데이터를 중앙 데이터베이스에 저장하는 작업을 포함합니다. 이로 인해 해당 데이터베이스는 해커가 단 한 번의 공격으로 대량의 개인정보를 훔칠 수 있는 매력적인 표적이 됩니다. 그러나 알체라의 분산형 방식을 결합하면 조직은 ID 도용 위험을 줄일 수 있습니다.
알체라의 AI 얼굴인식 기술을 활용하면 스캔한 생체(얼굴)정보는 암호화한 뒤 분산 저장하여 보안성을 확보합니다. 데이터 전송 과정에서도 TLS 1.3 이상의 강력한 암호화를 적용하여 중간자 공격을 방지합니다.
특히 금융, 의료 서비스와 같이 높은 보안 수준을 요구하는 산업에서는 해당 솔루션이 금융보안원의 '금융 보안 규격'을 준수하는지 반드시 확인해야 합니다. 알체라의 솔루션은 이러한 모든 요구사항을 충족하도록 설계되었습니다.
eKYC 시스템 사용자는 자신의 개인정보에 대해 다음과 같은 권리를 가집니다.
접근권: 자신의 어떤 개인정보가 처리되고 있는지 알 권리
정정권: 잘못된 정보의 수정을 요구할 권리
삭제권: 처리 목적이 달성된 정보의 삭제를 요구할 권리
처리정지권: 특정 조건하에서 개인정보 처리 중단을 요구할 권리
데이터 이동권: 자신의 데이터를 다른 서비스로 이전할 권리
개인정보처리방침은 전문 용어를 피하고 일반인이 쉽게 이해할 수 있는 언어로 작성되어야 합니다. 네이버는 'Plain Language Privacy Policy(쉬운 용어를 사용한 개인정보처리방침)' 원칙을 도입한 것처럼 eKYC 서비스도 사용자 친화적인 정책 문서를 제공해야 합니다.
글로벌 서비스를 제공하는 eKYC 업체들은 각국의 서로 다른 개인정보보호 법령을 동시에 준수해야 합니다. 데이터 보호법은 국가마다 다르며 법률마다 데이터를 보호하는 정도가 다릅니다. 따라서 정보가 처리되는 지역과 관계없이 가장 엄격한 기준을 적용하는 것이 안전합니다.
eKYC 서비스가 클라우드 기반으로 제공될 경우, 데이터가 국경을 넘나들 수 있습니다. 이때 적절한 보호 조치와 법적 근거를 확보해야 하며 데이터 주체에게 이러한 사실을 투명하게 고지해야 합니다.
eKYC 시스템 도입 전에는 반드시 개인정보 영향평가를 실시해야 합니다. 처리하는 개인정보의 유형, 규모, 위험도를 종합적으로 분석하여 적절한 보호 조치를 설계해야 합니다.
eKYC 과정에서는 다단계 동의 절차를 구현해야 합니다. 기본적인 신원확인을 위한 동의와 추가적인 정보 활용을 위한 동의를 분리하여 관리하고 사용자가 언제든지 동의를 철회할 수 있는 메커니즘을 제공해야 합니다.
개인정보보호 관련 법령과 기술 환경은 지속적으로 변화합니다. 따라서 정보보호정책도 정기적으로 검토하고 업데이트해야 합니다. 최소한 연 1회 이상 전면 검토를 실시하고 중대한 법령 변경이나 시스템 업데이트 시에는 즉시 정책을 수정해야 합니다.
A: 알체라의 eKYC 솔루션은 분산형 저장 방식을 채택합니다. 얼굴 이미지 자체를 저장하는 것이 아니라 얼굴의 특징점만을 추출하여 암호화한 후 여러 곳에 분산 저장합니다. 이를 통해 해킹 등으로 인한 개인정보 유출 위험을 최소화합니다.
A: 전자금융감독규정에 따라 최소 1년간 보관되며, 개인정보보호법에 따른 접속 기록은 최소 6개월간 보관됩니다. 법정 보관 기간이 끝나면 지체 없이 안전하게 삭제됩니다. 고객이 서비스 탈퇴를 요청할 경우에도 법정 보관 의무가 없는 정보는 즉시 삭제됩니다.
A: 아니오. eKYC 과정에서 수집된 개인정보는 오직 고객 신원확인과 금융거래 보안 목적으로만 사용됩니다. 마케팅이나 기타 목적으로 활용하려면 별도의 명시적 동의를 받아야 하고 고객은 언제든지 이러한 동의를 철회할 수 있습니다.
A: 알체라는 국내 자체 데이터 센터를 운영하며, 개인정보는 원칙적으로 국내에서 처리됩니다. 만약 해외 전송이 필요한 경우에는 사전에 고객에게 고지하고 동의를 받으며 적절한 보호 조치를 취합니다.
A: 개인정보 침해 신고는 개인정보보호위원회의 개인정보보호 종합지원포털(privacy.go.kr)을 통해 가능합니다. 또한 각 eKYC 서비스 제공업체는 개인정보보호책임자를 지정하여 고객의 문의와 불만을 처리하고 있습니다.
A: 알체라의 솔루션은 개인에게만 초점을 맞추고 집계 모델은 구축하지 않습니다. 즉, 개별 고객의 얼굴 정보가 AI 모델 학습에 사용되지 않으며, 오직 해당 고객의 신원확인 목적으로만 활용됩니다.
eKYC 사용자 정보 보호정책은 단순한 법적 요구사항 충족을 넘어 고객과의 신뢰 관계를 구축하는 핵심 요소입니다. 개인정보보호법과 GDPR 등 강화된 규제 환경에서 살아남기 위해서는 투명하고 실효성 있는 정보보호정책을 수립해야 합니다.
.svg)
.svg)
