한국지역정보화학회지 제 20 권제 3 호 Ⅰ. 서론 우리나라는온라인서비스에서본인여부를확인하기위하여주민등록번호를필수항 목으로수집하여편리한서비스를제공하게되었으며, 이과정에서인한개인정보유출 사고가지속적으로발생하게되었다. 이에 2000 년대에들어서면서, 주민등록번호의과 다한수

Transcription

1 1) 일반논문 한국지역정보화학회지 제 20 권제 3 호 ( ): 167~192 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 * 신영진한흥렬 < 요약 > 우리나라는제 4 산업혁명을추진함에있어서모바일기기기반의본인인증서비스를확대해가고있다. 특히, 최근에는핀테크, 간편결제서비스등새로운금융거래를비롯하여새로운기기및서비스와연계에있어서본인인증서비스를도입해나가고있다. 이에따라본인인증서비스를적용함에있어서, 보편성, 지속성, 유일성, 편의성, 보안성, 경제성, 적용성, 연속성등을기준으로적절한수준을갖추고있는지를평가해볼수있다. 특히, 생체인증, 행태인증, HCE, 영상통화인증등신규인증수단등이개발되어적용되어지고있다. 따라서, 본연구에서는기존의인증수단과신규인증수단에관한적합성기준과보안등급에따른안전성을검토하여기존의본인인증제도를개선하고자하였다. 이를위해서기존에도입되어활용되고있는인증수단과새롭게도입되고있는인증수단을추가로조사하여전문가대상으로의인증수단에대한활용도, 안전한결합방식, 새로운인증수단의인지도및적합성정도를진단해보았다. 또한본인인증수단에대한보안등급과적합성수준중편의성과보안성을중심으로비교한결과, 생체인증, 스마트인증, 기기인증등에대해높게평가되었다. 또한, 인증수단의적용분야별중요도에따라보안등급과결합한조합도중요하게인식되어야한다. 앞으로다양한정보화서비스가확산되면서, 기기및서비스연계에있어서본인인증에대한중요성이높아지고있는현시점에서본인인증제도의신뢰성있는제도적정착과활용의다양화를지원해줄체계적인관리가마련되어야한다. 더욱이사물인터넷, 핀테크, 클라우드서비스등과같은새로운정보화환경에서적절한인증수단이적용된다면, 더빠른초연결사회를이루어갈수있으리라본다. < 주제어 > 본인인증제도, 본안등급, 적합성기준 ( 편의성, 안전성 ), 결합인증 * 이논문은 2015 년도한국인터넷진흥원의지원을받은 주민번호대체수단연구및인증절차개선방안조사 과제로연구된결과를활용하였음. 또한, 2016 년한국정책학회동계학술대회에서발표한 우리나라의본인인증제도발전에관한연구 를보완하여게재하였음. 167

2 한국지역정보화학회지 제 20 권제 3 호 Ⅰ. 서론 우리나라는온라인서비스에서본인여부를확인하기위하여주민등록번호를필수항 목으로수집하여편리한서비스를제공하게되었으며, 이과정에서인한개인정보유출 사고가지속적으로발생하게되었다. 이에 2000 년대에들어서면서, 주민등록번호의과 다한수집및그로인한개인정보침해사고를해소하기위한방안으로, 본인확인을위 한주민번호대체수단으로 I-PIN, 공인인증서, 휴대전화등을통한인증방식을공식적으 로도입하게되었다. 그러나우리나라의인터넷이용률을점차증가하게되어, 이제는전체인구대비 87.7% 인 43,636 만명 (2016 년기준 ) 이이용하고있으며, 커뮤니케이션 (91.4%), 자료및 정보획득 (89.4%), 여가활동 (86.2%), 홈페이지운영 (44.0%), 교육 학습 (34.2%) 등을위한 서비스를제공하고있다 ( 한국인터넷진흥원, 2016). 더욱이국내스마트폰뱅킹등록고객 수가 7,586 만명 (2016 년 3 분기 ) 으로일일평균전자거래액이 3 조 2,084 억이될정도로 모바일서비스가점차확대되고있다 ( 마이민트뉴스, ). 그렇다보니, 지금까지지정된본인확인수단이모든분야에필요한본인확인서비스 로적용하기에는한계가있으며, 다양한기기인증및이용자인증등을포괄하기에도 부족한상황이다. 특히, 제 4 차산업혁명의전환으로인하여또다른미래 IT 기술의개발 및적용을기대되면서, 자유로운인터넷활동을위한안전한기반으로인증에대한수요 가높아지고있다. 더욱이최근에는모바일기기가사용되는분야가확대되면서, 핀테크 (FinTech) 1), 간편결제서비스등과같은본인인증기반의인터넷서비스도지속적으로증 가하고있다. 이러한시점에서본인확인서비스에대한기본적인틀을벗어나다양한본 인인증서비스가가능한정책환경으로의전환이필요하다. 즉, 지금까지확대되고있는 본인확인서비스에대해서본인인증으로전환할수있는서비스는불필요한본인확인서 비스의연계를벗어서다양한서비스접근및이용의기회를확대해나갈수있어야한 다. 따라서본연구에서는기존에이용하고있는본인인증서비스에관하여이용자및전 1) 핀테크 (FinTech) 는 Finance( 금융 ) 와 Technology( 기술 ) 의합성어로, 금융과 IT 의융합을통한금융서비스및산업의변화를의미한다. 이는기존금융기법과차별화된금융서비스를모바일, SNS, 빅데이터등신규 IT 기술과융합하여제공하는서비스이며, 모바일뱅킹, 앱카드등이대표적인사례이다 ( 금융위원회금융용어사전참조 ). 168 Journal of Korean Association for Regional Information Society

3 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 문가들의의견을수렴하고, 향후전문가관점에서의본인인증을개선하여다양한분야에적용할수있는방안을제언해보고자한다. 이를위해서본인인증서비스의유형및활용도, 그리고앞으로미래사회의변화에대해예측해보고, 본인인증서비스의범위를확대할수있는방안을고려하여안전한인터넷환경을구현해나가도록정책과제를도출해보고자한다. Ⅱ. 본인인증제도에관한논의 1. 본인인증제도의개념 본인인증서비스는온라인이용자가인터넷사이트회원가입, 비밀번호변경, 게시판 글쓰기등인터넷서비스를이용할때실시간처리시스템에서전자적정보를이용해사 용자가실제본인인지를확인하는서비스이다. 이경우온라인상에서신분증을확인하 는대신고유인증정보와비교할수있는인증수단을제공하여본인임을인증하기도한 다. 본인인증은 1:1 과 1:n 의경우도있는데, 1:1 은사용자의등록된특징과입력된특징 을비교함으로써키 (key) 대신사용하고, 1:n 은이미입력된특징을등록된특징과비교, 조회함으로써범죄수사등에서사용된다 ( 네이버지식백과, 2015). 이렇다보니, 주민등 록번호 2) 를대체하여사용하는법적본인확인수단인 I-PIN, 공인인증서및휴대전화를 통한인증수단으로사용하기도하고, 신용카드번호, 은행명, 계좌번호, 예금주명등과 같은금융정보, 해외구매대행과정에서개인통관고유번호, 여권번호, 연전면허증등을 활용하기도한다. 3) 이에대해서 정보통신망이용촉진및정보보호에관한법률 ( 이하 정보통신망법 ), 개인정보보호법 등 4) 에근거하여행정, 금융, 교육, 관광, 의료등다 2) 주민등록번호는개인의고유식별번호로서식별기능, 본인여부를특정문서나기관에인용하여증명하는인증기능, 주민번호를매개로다양한개인정보를결합 연결하는연결기능, 개개인의특성을묘사하는묘사기능을가진다 ( 이장희, ). 3) 일반적으로본인확인 (Identification) 은정보이용자의정보를확인하는절차로서인증서비스에서스스로확인시키기위한정보공급주체의활동으로사용자명, ID, PIN, 계정번호등을활용한다면, 본인인증 (Authentication) 은정보주체의신원을검증하기위한증명활동이며, 정보이용자의정보를확인한후본인임을인증하는절차로서 PW, 토큰, 생체인증등을활용한다 ( 이홍섭외, 2003, 허종오외, 2011). 4) 우리나라는온 오프라인에서주민등록번호를법적근거없이수집하지못하도록법률을개정하였으며, 169

4 한국지역정보화학회지 제 20 권제 3 호 양한분야에서일정기준이상의개인정보를처리하는기관은주민번호대체수단을제공하게되었다. 더욱이방송통신위원회는 본인확인기관지정에관한고시 에따라본인확인기관을지정하여매년정기적으로심사하여안전한본인확인서비스를제공하고있다. 5) 본인인증은 전자서명법 제2조제6호에서 " 인증 " 이라함은전자서명생성정보가가입자에게유일하게속한다는사실을확인하고이를증명하는행위로규정하고있다. 동법제2조제7호에서 " 인증서 " 란전자서명생성정보가가입자에게유일하게속한다는사실등을확인하고이를증명하는전자적정보를말한다고규정한다. 이법에서는 " 공인인증서 " 를동법제15조의규정에따라공인인증기관이발급하는인증서로규정하고있으며, " 공인인증업무 " 는공인인증서의발급, 인증관련기록의관리등공인인증역무를제공하는업무로, " 공인인증기관 " 이라함은공인인증역무를제공하기위하여이법제4 조의규정에의하여지정된자를말한다고규정하고있다. 최근모바일뱅킹, 전자결재등이확대됨에따라, 금융감독원은총 16개은행중 12개은행이공인인증서없이이체가능한간편송금서비스를도입또는시행중이다 ( 머니투데이, ). < 그림 1> 주민번호대체수단 본인확인수단 인증수단과의관계도 자료 : 신영진외 (2015). 인터넷상의본인확인수단으로 I-PIN 을이용한인증방법 ( 정보통신망법, 개인정보보호법 ), 공인인증서를이용한인증방법 ( 전자정부법, 전자서명법 ), 휴대전화정보를이용한모바일인증방법 ( 전기통신사업법, 전자상거래등에서의소비자보호에관한법률 ) 등을주민번호대체수단으로적용하고있다. 5) 본인확인기관지정등에관한기준 (2012) 에서본인확인기관이사용자에게부여하는식별정보 (ID, 휴대전화번호등 ) 및비밀정보 (PW 등 ) 를기본적으로사용하여본인임을확인하는절차를본인확인수단이라고정의하고있다. 170 Journal of Korean Association for Regional Information Society

5 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 이와달리, 미국, 캐나다, 영국등에서는본인확인보다는본인인증서비스가중심이되었으며, 고유식별정보로서사회보장번호, 사회보험번호등이고유의목적으로만사용될뿐우리나라처럼전반적인분야에서의본인확인을위한수단으로사용되지않았다. 또한, 본인확인보다는본인인증을통한자율적정보서비스의인증과정을반영하여단순화하였기때문에, 우리나라처럼복잡한인증절차를운영하고있지않다. 다만, 일본, 독일, 유럽등에서전자신분증제도가최근도입되면서, 본인확인을확대해가고있기는하나, 온라인상의다양한서비스를제공받는데에는본인인증서비스로도충분히적용가능하리라본다. 2. 본인인증수단의유형 우리나라에서본인확인수단으로법률에근거하여적용하고있는것이 I-PIN 인증, 공인인증서인증, 휴대전화인증이다. 이외에본인인증수단을위해다양한방법들이별도의규정없이사용되고있는데, 본인인증서비스를위한방법으로 OTP, 생체인식, 스마트카드, 신용카드정보, My-PIN, USIM카드, 고유번호, 통장계좌번호, 기타등등적용되고있다. 본인인증방식의경우대변 / 비대면본인인증방식으로이행되기도하며, 온라인상의비대면인증방식으로전자금융, 온라인거래등에서사용되고있다. 이에대한인증방식은지식기반인증방법, 소지기반인증방법, 생체인식기반인증방법, 특징기반인증방법등을사용하고있다 (TTA정보통신용어사전참고 ). 6) 이에대해서일반적인인증방식외에다양하게사용되고있는본인인증수단을본연구에서기존연구보고서, 논문등을조사하여기존인증수단으로다음 < 표 2> 와같이정리하였다. 6) < 표 > 국내전자거래에서사용되는인증방법분류 구분 인증방법예 지식기반소지기반특성기반행동기반 비밀번호, 문답식인증, 이미지인증등 OOB 인증 ( 전화승인, 스마트폰앱인증, 이메일인증, SMS 인증 ), OTP 토큰 ( 보안카드, 비밀번호목록, SW OTP 발생기, HW OTP 발생기 ), PKI 토큰 (SW 인증서, H/W 보안토큰, 혼합형보안토큰 ), 기타소지기반인증 (IC 카드인증, 신용카드인증 ) 방법등 지문인식, 홍채인식, 안면인식등 서명패턴, 키보드입력패턴인식등 자료 : 한국정보통신기술협회 (2014). 171

6 한국지역정보화학회지 제 20 권제 3 호 < 표 1> 기존인증수단의주요설명 구분 휴대전화 SMS OTP (One Time Password) 전화 (ARS) 지문 2 차 PW PIN 패턴 2 채널 보안토큰 세부설명 휴대폰 SMS 를통해 1 회용 PW( 또는인증번호 ) 를사용하여인증하는방식 매번인증이필요할때 1 회용 PW 를생성하여사용하는인증방식 OTP 생성알고리즘의입력데이터로서버와 OTP 토큰간에공유된 OTP 비밀키와부가정보로구성됨 부가정보는 OTP 생성시사용되는부가정보의종류에따라질의 / 응답방식, 시간동기화방식, 이벤트동기화방식, 조합방식으로 유 무선전화의 ARS(Automatic Response System) 를통해전화명의자와실제이용자의차이를확인하는인증 회원생성시등록된이메일을통해검증하는인증방식 생체인식기술을활용한모바일결제서비스중가장많이사용하는인증방식으로지문패턴을인식하여인증함 ID/PW 로그인후접속시더입력하게되는 4 자리숫자비빌번호로, 마우스를클릭하여입력하면되며 5 분이상입력하지않을때인증시간만료로재접속하여보안강화를위해설정하는인증방식 휴대폰패턴등을이용하여본인임을확인하는인증 보안토큰, 전화인증등별도채널을생성해 2 채널로이용자가본인임을확인하는인증방식, 예 ) ID/PW + 바이오인증 보안토큰은구현된하드웨어기기에따라 USB 토큰, 스마트카드, USIM, ese, microsd 등다양한형태 특히, 기존의인증수단에대한편의성, 보안성, 보편성, 지속성, 연속성, 경제성등을고려하여논의되어지고있는신규인증기술을도출해보았다. 이는생체인증, 행태인증, HCE 인증, 영상통화인증, 스마트인증, 기기인증서를통한기기인증, Secure SMS, 화자인증등을통해서적용하고있다. 이를위해서는신규개발되어상용화된지 2년이내의인증기술을분류하였는데, 2년이내의논문과연구보고서 (2013년 7월 2015년 6 월 ) 를대상으로인증기술, 인증수단, 인증방법등으로조사하였으며, 조사대상 6개월이내 (2015년 4 9월 ) 에작성된기사를대상으로새로운 / 신규 / 신인증기술 / 인증수단 / 인증방법등으로조사하였다. 7) 7) 이상과같은인터넷기사검색한결과중에서최종 8 개신규인증기술을선정하게되었다. 172 Journal of Korean Association for Regional Information Society

7 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 신규인증수단 생체인증 ( 뇌파, 심전도, DNA 등 ) 행태인증 ( 스마트사인등 ) HCE(Host Card Emulation) 인증 영상통화인증 스마트인증 기기인증서를통한기기인증 Secure SMS 화자인증 < 표 2> 신규인증수단의주요설명 세부설명 사람의신체적 행태적특징인뇌파, 심전도, DNA 등등신체특징을통해본인임을확인하는인증 직접전자서명을제공하므로비밀키유출위험이없고각애플리케이션이중복하여전자서명기능 클라우드기반의신용카드를스마트폰애플리케이션을통해근거리무선통신 (NFC) 으로결재하여본인임을확인하는인증방식, HCE (HostCard Emulation) 인증 영상통화를통해인증하는비대면인증방식 스마트인증스마트폰내 USIM 에공인인증서를발급받아금융거래등에이용할수있는보안토큰 (HSM) 인터넷전화기및휴대단말기등의기기에인증서를탑재하여기기의진위성및네트워크접속권한확인 대면확인후받은기기인증서발급프로그램 (DPKICertManager_setup.exe) 으로기기인증서발급받음 SMS 인증의보안취약점과유 무선인증의개선점을고려해서보다안전한인증방식 음성에포함된언어적정보뿐아니라발화자특성정보 (Voice-print) 를이용한인증방식 2. 본인인증수단의적합성기준요소 본인인증수단을선택할때여러측면을고려하게되는데, 한국인터넷진흥원은 대국민전자서명이용실태조사 (2005) 에서인증기술 ( 공인인증서 ) 의이용및개선을위해가장고려해야할사항이안전성과편의성이라고보았다. 금융보안연구원의 보안등급별이체한도차등화정책 ( ) 에서거래이용수단에따른보안등급을보여줌에있어서, 인증기술에대해전자금융에적용할수있는지적용성 ( 적용가능성, 적용비용, 기술 < 표 > 신규인증기술관련논문 / 연구보고서및신문기사조사결과 신규인증기술 논문수 신문기사수 합계 신규인증기술 논문수 신문기사수 생체인증 ( 뇌파, 심전도, DNA 등 ) Secure SMS eid( 전자신분증 ) 납세자번호 HCI 신용카드인증 HSM(Hardware Security Module) 계좌번호인증 영상통화인증 화자인증 스마트인증 행태인증 ( 스마트사인등 ) 키없는전자서명 KIDS) HCE(Host Card Emulation) 인증 기기인증서를통한기기인증 행동특성인증 OpenID 행동패턴인증 그래픽인증 복합생체인증 ( 안면 + 홍채, 지문 + 정맥등 ) 합계

8 한국지역정보화학회지 제 20 권제 3 호 중립성, 기존인프라활용성 ), 편의성 ( 소지편의성, 사용편의성, 관리편의성, 발급편의성, 교육편의성 ), 보안성 ( 오프라인공격대응, 온라인공격대응, 거래조작공격대응 ) 의관점 에서검토하였다 ( 조효제외 2011; 금융보안연구소, 2013). Joseph Bonneau 의인증수단에관한적절한기준이편의성 (Usability, 8 개항목 ), 적 용성 (Deployability, 6 개항목 ), 보안성 (Security, 11 개항목 ) 으로제시하였다 (Joseph Bonneau, 2012). 한국전자통신연구원 (2015) 은생체인증기술을선정함에있어서적합 성기준으로보안성, 경제성, 범용성, 신기술성, 정확성, 신속성, 편리성등을기준으로 삼았다 ( 한국전자통신연구원, ). 더욱이, 생체인식을위한정보의기본성질은보 편성, 유일성, 지속성등에대해정확성및활용성정도이며 ( 이민영, 2004). 인증성, 식 별성, 유일성등에서도생체인증에관한적합성기준으로활용하기도한다 ( 연합뉴스, ). 이러한점을고려하여생체인증에서는정확성, 보안성, 신속성, 편리성등 으로적용할수있다. 본연구에서신규본인인증수단의적합성분석을위해서본적합 성중에서주요수단으로조사한결과를바탕으로구체화하고자한다. 특성 < 표 3> 본인인증수단의적합성기준 세부설명 보편성 모든대상자가보편적으로지님 ( 누구나가지고있는특징 ) 지속성 유일성 편의성 / 편리성 안전성 / 보안성 경제성 이용성 / 적용성 연속성 자료 : 한국인터넷진흥원 (2015) 재정리. 시간이지남에따라변화하지않음 본인이외에는동일한특징이없음 휴대, 발급및이용이간편하여언제어디서든지이용할수있음 지속적으로발전하는신규해킹기술에대응하여부정거래를방지할수있음 인증, 무결성, 암호화, 부인방지등의보안기능들이제공 확인할수있음 이용시비용을절약할수있음 새로운기술을적용함에있어서고려해야할사항들의미 스마트폰등새로운환경에적합하게이용할수있음 본인이외에는동일한특징이없음 4. 사전연구 그동안우리나라는온라인상의주민번호대체수단을개선하거나본인확인수단을적 용함에있어서문제점을개선하기위한연구들을하였다. 그러나이제는자유로운인증 174 Journal of Korean Association for Regional Information Society

9 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 환경의보장을바탕으로, 본인인증수단에관한연구들이이루어지고있다. 먼저, 본인확인수단에관하여신영진외 (2015) 는우리나라본인확인수단의개선을위해서본인인증수단과결합하여야하며, 다양한본인인증수단중에서적절한기준을갖춘인증수단과의다중인증이적용될수있도록개선방안을제시하였다. 신영진 한상국 ( ) 은공공분야에서주민등록번호의수집을최소화하기위해서법적근거및그에따라개선해야할사항을도출하여본인확인수단을적용하는방안을제언하였다. 김보라 (2009) 는비대면본인확인수단으로생체인식, 일회용비밀번호, 보안토큰등을통해서사용할수있는방안을제시하고, 안전한전자지급거래를고려하기위해서는보안 비용 편리성의균형유지, 본인인증강화를위한정책제언, 지급결제시장의변화에사전대응하여야한다고주장하였다. 이일호 ( /6) 는신분증과 eid 등새로운인증방식을통한인증, 공증에의한인증, 주소및거소인증, 결제정보인증등을통해인증방법을제언하였다. 이준정 (2013. 여름 ) 은비대면금융거래가확산됨에따라비대면금융거래시본인인증수단을적용하고이를확대할수있는방안을제언하였다. 신영진 신승호 이자성 한웅기 (2015) 는본인확인수단을다양화하여적합성기준을적용한인증수단과다중요소인증수단을본인확인수단으로활용할방안을제시한바있다. 특히, 홍채, 지문, 정맥등생체정보를통한인증수단에대해서, 이민영 (2004) 은생체인식기술이본인인증수단으로적용하기위해서는데이터의분산관리, 일반인의인식제고, 생체인식기술과관한법규마련, 생체인식데이터관리권한을개인정보보호담당기구에부여, 생체정보보호에대한특별법의제정을주장하였다. 최필주 박상선 김동규 (2012) 는모바일지급결제서비스의유출 분실 도난등의위험성을최소화하고이용자의편의성을향상시키기위해음성, 지문, 얼굴, 홍채등의생체정보를적용한인증수단을제시하였다. 일회용패스워드 (One Time Password: 이하 OTP) 에관하여는김정동외 (2011) 이 I-PIN의 ID/PW 값탈취로인한유출가능성을해결하고자 OTP를이용한비연결성을보장하는인증수단의적용을제언하였다. 김선주외 (2014) 는공인인증서기반의개인키파일이사용자의비밀번호노출시쉽게복호화되어개인정보가유출될수있으므로, 개인키파일을 OTP에서제공하는일회용비밀키를사용하여암호화및복호화하는방식을제안하였다. 신영진 (2017) 은블록체인, FIDO 등과같은신규 IT기술을연계한본인인증서비스의확대방안을제언한바있다. 이처럼본인인증의안전성을높이기위해서다중요소기반인증을제언하기도하였는데, 실제본인인증서비스의개선을 175

10 한국지역정보화학회지 제 20 권제 3 호 위해어떤요소가나을지선정하여개선방안을제시하고자한다. Ⅲ. 연구분석틀및방법 본연구는본인인증수단에대한개선방안을도출하기위하여이용되고있는기존의본인인증수단과도입되고있는본인인증수단의적합성기준을활용한보안수준을진단하고, 안전한온라인환경을확대하기위한개선방안을제시해보고자한다. 이를위해서기존의본인인증수단을문헌조사 ( 연구지, 학위논문, 연구보고서등 ) 을국회도서관전자도서관서비스를활용하여선정하였으며, 신규본인인증수단을인터넷기사검색서비스를활용하여조사기간기준 6개월자료를바탕으로조사하였다. 이렇게조사한사항을개인정보보호업무를수행하고있는전문가 ( 개인정보보호관련법제도, 기술, 실무등에종사한 10년이상해당분야경력자 ) 를대상으로전자설문조사를한내용을바탕으로인증수단의적절성및대체가능성을분석하였다. 이를위해서지난 2015년 8월 24일부터 9월 5일까지 (32명) 와 9월 7일부터 10월 2일까지 (30명) 2차례에거쳐설문조사를실시하였다. < 그림 2> 연구분석의틀 기존본인인증수단 휴대전화 SMS, OTP, 전화 (ARS), , 지문, 2 차 PW, PIN 패턴, 2 채널보안토큰 적합성평가기준 신규본인인증수단 생체인증, 행태인증, HCE 인증, 영상통화인증, 스마트인증, 기기인증, Secure SMS, 화자인증 보안등급 본인인증제도의개선방안 법적근거마련 인증기관점검 인증수단등급화 인증수단진전 인증수단간소화 본연구의세부진행사항을설명하면, 먼저, 본인인증수단의적용현황을조사하여현재본인인증제도가개선되기위한기초자료로활용하고자한다. 이과정에서기존에추가인증수단으로사용되고있는인증수단에대한인식조사를바탕으로인지되어사용되고있는정도를판단하고자한다. 또한, 본인인증수단을결합하였을때 1개인증수단 ( 단수인증요소 ) 의이용, 2개또는 3개인증수단 ( 다중인중요소 ) 의결합등에대해서활용방 176 Journal of Korean Association for Regional Information Society

11 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 법을도출해보고자한다. 둘째, 신규인증수단에대한수요조사를바탕으로최근이슈가되고있는인증수단을순위별로선정하여그에대한적합성기준과보안등급별활용방안을제시해보고자한다. 먼저, 새로운인증수단으로도입되고있는생체인증, HCE, 영상통화, 스마트, 기기인증서를통한기기인증, Secure SMS, 화자인증등을대상으로인지도를조사하였다. 이에대해인증기준의적합성기준을 8개항목에서 6개항목으로정리하여점검하고자한다. 또한, 보안등급별보안사고대응인증기술을적용해보아가장적합한인증수단이무엇인지선정하고인증수단의활용뿐만아니라기존본인확인수단과의결합에서도그활용도를검토해보고자한다. 셋째, 본인인증제도에대해서앞으로발전하기위해서필요한과제가무엇인지인증제도의보급및확산을위한관점에서제언해보고자한다. 1. 일반현황 Ⅳ. 분석결과 본설문조사에참여한전문가들을금융, 교육, 공공, IT, 정보통신, 정보보호, 법률등 분야에서개인정보보호및정보보호전문가로활동하고있으며, 기존인증수단현황분 석과신규인증수단에대한인지정도, 그리고보안수준향상을위한개선방안으로조사 해보았다. 그렇다면, 본인인증수단이적용되고있는분야가점차확대되고있는데, 먼 저, 기존의본인인증수단에대한적용분야의개선필요성에대해서조사하였는데, 8) 보 안성강화를위해적절한본인인증수단의선호정도가 OTP(One Time Password), 휴대 전화 SMS, 전화 (ARS), 등으로나타났다. 그렇다면, 가장자주이용하는인증수단 을조사 ( 중복응답 ) 하였는데, 휴대전화 SMS(91.2%) > OTP(61.8%) > 전화 (ARS)(41.2%) > (38.2%) 등의순으로나타났다. 그러나, PIN 패턴, 2 채널, 2 차패스워드, 보안토큰, 지문등에대해서는이용률이낮게나타났다. 따라서본인인증수단으로서휴대전화 SMS 의경우모바일기기등현재사용하고있는범위가확대되어갈것으로전망할수있다. 9) 8) 전문가들이볼때본인인증에대해개선이필요한분야는전자상거래분야서비스 (75.0%) > 금융분야서비스 (62.5%) > 행정분야서비스 (46.9%) > 통신분야서비스 (34.4%) > 의료분야서비스 (18.8%) > 교육분야서비스 (15.6%) > 기타 (6.3%) 순으로나타났다. 177

12 한국지역정보화학회지 제 20 권제 3 호 < 표 4> 전문가들이자주이용하는인증수단과편리한인증수단선호도 (%) 구분 잘아는수단 자주이용 가장편리 구분 잘아는수단 자주이용 가장편리 휴대전화 SMS 차 PW OTP PIN 패턴 전화 (ARS) 채널 보안토큰 지문 이러한인증수단에대해인증절차에서안전성 편리성을고려하여결합되는다중인증수단의선호도를조사하였는데, 2개인증수단결합이 58.8% > 1개인증수단이용 (23.5%), 3개인증수단결합 (8.8%) > 기타 (8.8% 순으로응답하였다. 그렇다보니, 2개인증수단이결합할경우, 가장적합하다고생각하는조합으로는 OTP+ 공인인증서 라는응답이 69.0% 로가장높은가운데, 휴대전화 +OTP (62.1%) > 공인인증서 +OTP (55.2%) > 보안카드 + 공인인증서 지문 + 휴대전화 (44.8%) > IC( 신용 ) 카드 +OTP 모바일 + 지문 (41.0%) > TP+(ID/PW) (37.9%) 등의순으로높게나타났다. 특히, OTP와휴대전화의경우는이미보편적으로사용되고있으며, 편리한인증수단으로활용되고있다. 이처럼기기에대한인증수단이더편리하다고보았으며, 결합된인증수단에서도선호하는인증수단임을알수있다. < 표 5> 2개인증수단결합시적합한조합 2개인증수단결합 비율 2개인증수단결합 비율 2개인증수단결합 비율 OTP+ 공인인증서 69.0 PIN+ 공인인증서 27.6 PIN+(ID/PW) 10.3 휴대전화 +OTP 62.1 신용카드 + 지문 27.6 지문 + 계좌번호 10.3 공인인증서 +OTP 55.2 보안카드 + 휴대전화SMS 24.1 IC( 신용 ) 카드 +USIM 10.3 보안카드 + 공인인증서 44.8 지문 + 비밀번호 24.1 모바일 + 음성 10.3 지문 + 휴대전화 44.8 PIN+USIM( 휴대전화 ) 17.2 OTP+NFC 6.9 IC( 신용 ) 카드 +OTP 41.4 지문 + 신용카드 17.2 음성 + 고객정보 6.9 모바일 + 지문 41.4 OTP+ 계좌번호 13.8 정맥 + 홍채 6.9 OTP+(ID/PW) 37.9 안면 + 홍채 13.8 ATM+ 지문활용 6.9 OTP+USIM( 휴대전화 ) 31.0 음성 + 전화상담 13.8 모바일 + 홍채 6.9 공인인증서 + 비밀번호 31.0 공인인증서 +USIM ) 이응답에대한결과인잘아는수단 (t=3.045, 유의확률 =0.016), 자주이용하는수단 (t=2.836, 유의확률 =0.22), 가장편리한수단 (t=1.625, 유의확률 =0.143) 에대한상호응답간의상관관계를비교해보았는데, 0.01 수준에서유의미한것으로나타났다. 178 Journal of Korean Association for Regional Information Society

13 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 그렇다면, 본인인증수단을 3개요소로결합하였을경우적합하다고응답한내용을정리하였는데, 공인인증서 + 저장매체 +[OTP( 인증정보 )+ 패스워드 ](88.2%) 와휴대폰 (USIM) +OTP+ 패스워드 (88.2%) > 휴대폰 +IC카드 +[ 공인인증서 / 패스워드 /OTP 중 1개선택 ](70.6%) > 휴대폰 +IC카드 + 패스워드 (64.7%) > PIN+ 저장매체 +[OTP( 인증정보 )+ 패스워드 ], 지문 ( 손가락 )+2개이상결합 [ 패스워드 / 신용카드 / 계좌번호 / 핸드폰중 2개선택 (58.8%) > 공인인증서 + 저장매체 +[OTP( 인증정보 )+ 패스워드 ](41.2%) 등의순으로높게나타났다. 그러나인증수단의다양화는선호나는반면에복잡한인증절차는서비스이용의저조를가져오기때문에 2개인증수단까지적절히활용되고있는실정이다. < 표 6> 3 개인증수단결합시적합한조합 10) 3개인증수단결합 비율 3개인증수단결합 비율 공인인증서 + 저장매체 +[OTP( 인증정보 )+PW] 88.2 지문 ( 손가락 )+IC카드 +PW(PIN) 35.3 휴대폰 (USIM)+OTP+PW 88.2 휴대폰 +[IC카드 /PW 중 1개선택 ]+[ 지문 / 정맥 ( 손바닥 ) 중 1개선택 ] 29.4 휴대폰 +IC 카드 +[ 공인인증서 / 패스워드 /OTP 중 1 개선택 ] 70.6 IC 카드 + 정맥 ( 손바닥 )+PW 23.5 휴대폰 +IC카드 +PW 64.7 공인인증서 + 저장매체 + [ H S M ( 인증정보 )+PW] 23.5 PIN+ 저장매체 +[OTP( 인증정보 )+PW] 58.8 PIN+ 저장매체 +[HSM( 인증정보 )+PW] 17.6 지문 ( 손가락 )+2 개이상결합 [PW/ 신용카드 / 계좌번호 / 핸드폰중 2 개선택 ] 58.8 정맥 ( 손바닥 )+2 개이상결합 +[PW/ 신용카드 / 계좌번호 / 핸드폰중 2 개선택 ] 공인인증서 + 저장매체 +[OTP( 인증정보 )+PW] 41.2 IC카드 +PW+[ 정맥 ( 손바닥또는손가락 )] 11.8 IC카드 +PW+[ 지문 ] 35.3 정맥 ( 손바닥 )+IC카드 +PW(PIN) 11.8 PIN+ 저장매체 +[USIM( 인증정보 )+PW] 신규인증수단의적합성분석 본인인증수단의안전성을높이고편리한서비스를제공하기위해서인증수단중 2 개요소를결합한인증수단을선호하고있으며, 생체인증 ( 뇌파, 심전도, DNA 등 ), 기기인증서를통한기기인증등을통한인증수단 ( 인지도 50%) 외에스마트인증, 행태인증, Secure SMS, 영상통화인증순으로적절하다고보았다. 그렇다면, 새로운인증수단에 10) 본응답사항에대해비모수검정을한결과, 독립표본 Kruskal-Wallis 검정시유의확률 0.421(p=0.5) 이다. 179

14 한국지역정보화학회지 제 20 권제 3 호 대해서어느정도알고있으며, 활용할수있는지에대해전문가들을대상으로조사해보았다. 앞으로블록체인, FIDO 등과같이새로운특징정보를활용해서본인인증수단의확산에있어서새롭게제기된인증수단의보급확대가인증서비스의보편화에중요한영향을미치리라본다. < 표 7> 전문가대상의신규인증수단에대한인지도 신규인증수단 인지도 신규인증수단 인지도 생체인증 ( 뇌파, 심전도, DNA 등 ) 76.7% 스마트인증 46.7% 행태인증 ( 스마트사인등 ) 40.0% 기기인증서를통한기기인증 56.7% HCE(Host Card Emulation) 인증 6.7% Secure SMS 40.0% 영상통화인증 33.3% 화자인증 20.0% 국가기술표준원 (NIST) 은 2013년 8월 전자인증가이드라인 (SP ) 에서인증수단별보증수준을 4개등급으로구분하였다 (NIST, 2013; William E.Burr etl, 2013). 이에대해우리나라에적합한수준을 3개등급으로재분류하였는데, 보안위협을예방하기위한편의성, 안전성, 보편성등을고려하였다. 11) 이에대해적용하거나적용하고있는인증수단의보안등급을적용하면다음과같다. 이들인증기술은서로결합하여다중인증수단으로사용할경우보다높은등급과결합할경우보안수준을높일수있다. 12) < 표 8> 인증수준의보안및보증수준 인증수단 보안등급 인증수단 보안등급 생체인증 ( 뇌파, 심전도, DNA 등 ) 2등급 스마트인증 1등급 행태인증 ( 스마트사인등 ) 3등급 기기인증서를통한기기인증 2등급 호스트카드에뮬레이션 (HCE) 인증 2등급 Secure SMS 3등급 영상통화인증 2등급 화자인증 2등급 11) 3 등급은가장낮은안전성을제공하며, 제시된인증정보의유효성에대한신뢰성이낮은수준이다. 이는인증과정에서온라인추측, 재전송, 세션하이재킹, 도청, 중간자공격등의위협으로부터보안요구사항을제공한다. 2 등급은 3 등급보다높은안전성을제공하며, 제시된인증정보의유효성에대해신뢰성은보통인수준이다. 2 등급에서의보안위협에다가피싱 / 파밍등에대한보안요구사항을제공한다. 1 등급은가장높은안전성을제공하는단계로가장높은신뢰성을가지며, 중간자공격에대해 2 등급보다강력하게대응하는보안요구사항을제공해야한다. 12) 인증수단 (3 등급, 소유기반 ) + 인증수단 (3 등급, 지식기반 ) 인증수단 (2 등급 ) 180 Journal of Korean Association for Regional Information Society

15 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 이에대해인증수단을도입할경우기존의인증수단에대한적합성기준및신규인증수단을선택할때고려해야할기준에대한선호도를조사하였는데, 편의성 과 안전성 이공동 1위를차지하였다. 13) 그렇다면, 보편적인인증수단이되기위해서는편의성과보안성은반드시갖추어야할요소라고볼수있다. 이응답결과는평균 42.15, 표준편차 , 유의확률 0.416(p=0.05) 이며, 군집분석을한결과에서는 2개로군집이가능하다. < 표 9> 신규인증수단이갖추어야할요소조사결과 평가기준 응답률 (%) 순위 선택수 순위 편의성 보편성 안전성 지속성 연속성 경제성 이에따라, 신규인증수단의적합성기준중전문가조사에서응답률이높았던편의성과안전성을중심으로각중요도를조사해보았다. 편의성에대한신규인증수단의중요도 ( 상, 중, 하 ) 를조사하였는데, 스마트인증, 기기인증서를통한기기인증이공동 1 위를차지하였고, Secure SMS가 3위를차지하였고생체인증이 4위를차지하였다. 안전성에대한신규인증수단의중요도 ( 상, 중, 하 ) 를조사하였는데, 생체인증 이 1위, 다음으로 스마트인증 (2위), 기기인증서를통한기기인증 ( 공동 3위 ), Secure SMS ( 공동 3위 ) 순이었다. 13) < 표 > 전자금융인증기술의특징중편의성과안전성 구분 주요설명 세부사항 편의성 휴대및이용이간편하고, 언제어디서든지쉽게이용할소지편의성, 사용편의성, 관리편의성, 발급편의성, 수있는인증기술인지여부교육편의성 보안성 지속적으로발전하는신규해킹기술에대응하여부정거오프라인공격대응, 온라인공격대응, 거래조작공래방지의효과여부격대응 자료 : 조효제외 (2013). 181

16 한국지역정보화학회지 제 20 권제 3 호 < 표 10> 신규인증수단의편리성과안전성인식수준 14) 신규인증수단 편의성안전성상중하순위상중하순위 생체인증 ( 뇌파, 심전도, DNA 등 ) 행태인증 ( 스마트사인등 ) HCE(Host Card Emulation) 인증 영상통화인증 스마트인증 기기인증서를통한기기인증 Secure SMS 화자인증 주 1) 통계분석을위하여상을 3 점, 중을 2 점, 하를 1 점으로입력함 이렇게조사한신규인증수단의보안등급을반영하여, TTA 기준에따른추가신규 인증기술 (8 가지 ) 의보안등급을분석하였더니 3 개의등급으로분류되었다. 즉, 공격유형 에따라서대응가능한수준을배치하여스마트인증 1 등급, 생체인증, HCE 인증, 영상 통화인증, 기기인증서를통한기기인증, 화자인증등 2 등급, 행태인증, Secure SMS 등 3 등급으로정리할수있다. 따라서보안등급도높은스마트인증은스마트기기를연 계한본인인증수단으로적절하다고볼수있다. < 표 11> 신규인증수단의보안등급분류결과 보안등급 보안요구사항 인증기술 1등급 물리적공격대응보다강력한공격대응 스마트인증 2등급 피싱 / 파밍공격대응 생체인증, HCE 인증, 영상통화인증, 기기인증, 화자인증 온라인추측공격대응 3 등급 재전송공격대응 세션하이재킹공격대응 도청공격대응중간자공격대응 행태인증, 화자인증 14) < 표 > 신규인증수단에대한편리성과안전성의기술통계분석결과 구분 t 유의확률 표준편차 평균표준오차 상 편의성 중 하 상 안전성 중 하 Journal of Korean Association for Regional Information Society

17 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 이상과같이, 편의성과보안성을고려한결과값과보안등급을반영하여새로운인증수단에대해서선정할때우선고려해야할인증수단을정리하였다. 즉, 편리성측면에서는기기인증서를통한기기인증과스마트인증이공동 1위, 다음으로 Secure SMS가 3위였으며, 안전성측면에서는생체인증이 1위, 스마트인증 (2위), 기기인증서를통한기기인증 ( 공동 3위 ), Secure SMS( 공동 3위 ) 순이었다. 이를종합하여정리해보니, 스마트인증이 1위, 기기인증서를통한기기인증 2위, 생체인증 ( 뇌파, 심전도, DNA 등 ) 순이었다. 즉, 스마트인증이앞서보안등급이높게평가도되었지만편의성이나안전성에서도우수함을알수있다. 분야별인증기술이서비스분야별업무특성의중요도에따라최대 3개까지인증수단을추가하여적용하거나, 단계적으로적용할수있다. 즉, 인증기술의보안등급과평가결과를조합하여분야별업무특성을분석하여중요도를평가한후인증기술의보안등급평가결과와조합하여적용한사례를제안할수있다. < 표 12> 신규인증수단선택시고려해야할적합성평가 신규인증기술 보안등급분류 전문가조사결과 ( 순위 ) 편의성 안전성 생체인증 ( 뇌파, 심전도, DNA 등 ) 2 등급 행태인증 ( 스마트사인등 ) 3 등급 HCE(Host Card Emulation) 인증 2 등급 영상통화인증 2 등급 스마트인증 1 등급 기기인증서를통한기기인증 2 등급 Secure SMS 3 등급 화자인증 2 등급 종합순위 서비스분야 ( 업무 ) 별의중요도를평가할때고려해야할사항에는이용하는업무에서처리되는개인정보의민감도, 사용분야의신뢰성등을들수있다. 여기서개인정보의민감도는인증기술이취약하여유 노출되는개인정보가미치는영향도를의미하며다음과같이 3단계기준으로평가할수있다. 또한, 사용분야의신뢰도는취약한인증기술의사용이해당분야의신뢰성에미치는영향도를의미하며다음과같이 3단계기준으로평가할수있다. 15) 이렇게분야별중요도점수는개인정보의민감도점수와사용분 183

18 한국지역정보화학회지 제 20 권제 3 호 야의신뢰도점수를고려하여다음과같이중요도를측정할수있다. 16) 즉, 분야별중요도 ( 점수 )= 개인정보의민감도점수 + 사용분야의신뢰도점수 로산정하여분야별중요도에따라계산된점수를 3개등급인가등급, 나등급, 다등급으로재분류할수있다. 17) 분야별중요도에대한등급에따라서적용가능한인증수단은최소 2개에서최대 3개까지단계적으로적용할수있는데, 다중인증수단의보안등급분류기준을활용할수있다. 특히, 본인확인수단을제공함에있어서개인정보유출로인한침해사고로인해위협요인이급증하고있는실정이다. 따라서본인확인수단의안전성을높이기위해인증수단을결합할경우 1개이용에대해서는 46.7% 가응답하였고, 인증수단 2개와결합할경우 2개까지연결이가능하다는데 53.3% 가답변하였다. 이에따라앞서제언한분야별중요도에대한등급별적용가능한사례를다음과같이제시해보았다. 중요도등급 중요도점수 인증기술수 < 표 11> 본인확인수단과연계한인증기술의연계 인증기술의보안등급 연계방법 가등급 5~6 3 개 1 등급본인확인수단 ID/ 비밀번호 + 추가인증기술 1+ 추가인증기술 2 나등급 4 3 개 2 등급본인확인수단 ID/ 비밀번호 + 추가인증기술 1+ 추가인증기술 2 다등급 2~3 2 개 3 등급본인확인수단 ID/ 비밀번호 + 추가인증기술 1 15) < 표 > 개인정보의민감도및사용분야의신뢰도구분 구분 개인정보의민감도 사용분야의신뢰도 16) < 표 > 분야별중요도등급 내용 상 (3) 인증수단이취약하여노출되는개인정보가개인에게미치는영향도가매우높음. 중 (2) 인증수단이취약하여노출되는개인정보가개인에게미치는영향도가높음 하 (1) 인증수단이취약하여노출되는개인정보가개인에게미치는영향도가미흡함 상 (3) 취약한인증수단의사용이분야의신뢰성에미치는영향도가매우높음. 중 (2) 취약한인증수단의사용이분야의신뢰성에미치는영향도가높음 하 (1) 취약한인증수단의사용이분야의신뢰성에미치는영향도가미흡함 분야별중요도등급 가등급 나등급 다등급 등급분류기준 ( 중요도점수 ) 5~6점 4점 2~3점 17) < 표 > 분야별중요도점수 사용분야의신뢰도 상 (3) 중 (2) 하 (1) 상 (3) 개인정보의민감도 중 (2) 하 (1) Journal of Korean Association for Regional Information Society

19 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 이처럼국내외적으로본인인증수단으로서다양한방식이도입되고있으며, 생체인증을통한본인인증이확대되고있다. 본인인증수단중에서생체인증에대한선호도가 30.3% 인데, 18) 최근금융서비스에도입되고있는생체인증방법중에서선호하는방식을조사해보니, 지문을통한인증방식이 81.8% 으로상당히많은비중을차지하고있으며, 그외에홍채 손바닥정맥 (6.1%), > 손가락정맥 음성 (3.0%) 등의순으로높게나타났다. 19) 최근금융서비스분야에서 FIDO(Fast IDentity Online) 얼라이언스를통해세계적인생체인식기술을결제에활용하기위한국제표준화가활발히진행중이다. 이미애플의 애플페이 에서도이를도입하고있으며, 점차표준화가확대되어채택이늘어날전망이다. 우리나라에서는일부금융기관의내부관리용으로지문등생체인식기술이적용되고있으나사용자의본인인증수단으로활용되지못하였다. 그러나해외에서는점차지문, 홍채, 정맥, 얼굴등이활용되기시작하였고, 은행및교육현장에서활용되고있다 ( 이세득, ). 20) 따라서본인인증수단이다양화됨에따라편의성과안전성을고려하여추가적인증수단을도입할경우생체인증수단을적용하는방안도함께검토되어야할것이다. 본연구는우리나라의본인인증제도에대한개선방안을도출하기위해서기존에활용되고있는본인인증수단과새롭게도입되고있는본인인인증수단의적합성기준에맞는보안수준을고려하고안전성을높일수있는방안을도출하기위해전문가대상의선호도및의견수렴을바탕으로연구를하였다. 그러다보니, 보편적으로본인인증수단 18) < 표 > 해외주요인증수단의선호도 구분 생체인증 eid 디지털 ID 2채널 행동패턴인증 응답률 (%) ) < 표 > 생체인증방식에대한선호도 구분 지문 홍채 손바닥정맥 손가락정맥 음성 응답률 (%) ) < 표 > 바이오인식기반오프라인결제서비스 서비스제공회사 바이오인식기술 서비스지역 출시연도 Uniqul 얼굴 핀란드 2013 Paypal 얼굴 영국 2013 Nexus Smart Pay 지문 미국 2013 PayTango 복수의지문 미국 2013 Biyo 손바닥정맥 미국 2014 Quixter 손바닥정맥 스웨덴 2014 자료 : 이재득 ( ). 185

20 한국지역정보화학회지 제 20 권제 3 호 을확대하기에는이용자중심의의견을실질적으로반영하는데에는한계가있다. 더욱이전문가의업무분야에따라선호하는본인인증수단이다르기때문에답변에영향을미칠수있으며, 연구기간외에새롭게논의되는본인인증수단을본연구의범위에반영하지못하여연구의결과값에제약이따르는문제가있다. 그러나본인확인수단에대해서어떻게활용할것인가에대해서다음과같이편의성과보안성을중심으로개선해야할방안을도출하는데본연구의성과가좋은기준이되리라본다. V. 본인인증제도의개선방안 이상과같이본인인증수단을제공하기위해서적합성기준에맞는인증방법을도출하고, 그에따라보안등급을측정하여필요한보안수준의인증수단을도출해보았다. 그러나이를실제활용하기위해서는다음과같이세부적인실천과제가추진되어야본인확인수단에머무르지않고본인인증제도가보편화되도록개선할수있으리라본다. 첫째, 공통적으로본인인증제도를위한법적근거를마련한다면, 본인인증과정에서발생할보안의취약성을해소하고안전하고신뢰받는온라인서비스환경을구현할수있다. 현재본인확인수단으로국한하여본인확인을위한규정을포괄하여적용하기에는한계가있고, 그렇다고본인확인수단을본인인증수단으로만활용하기에는그범위가작아합리적인대안이되지못하고있다. 현재본인확인수단에관해서는 정보통신망법, 개인정보보호법, 전자서명법 등에의해서운영근거를두고, 방송통신위원회고시로본인확인기관을지정하여운영하고있다. 그러나 I-PIN, 공인인증서, 휴대전화인증에한정하여본인확인수단을지정하고있는실정이다. 따라서, 다양한본인확인수단을적용하기위해서, 자율성을보장해줄법적근거가마련되어야한다. 현재핀테크를비롯하여다양한결제시스템이도입되고있으며, 그과정에서본인인증이이루어지고있다. 일례로, 네이버는페이팔처럼네이페이를개발하여네이버 ID+ 휴대전화번호로인증이가능하도록제공하고있고, 은행과직접제휴하여차별화된송금기능을제공한다. 이외에도본연구에서제기한생체인증, OTP 등을비롯하여적용할수있는서비스환경과신규인증기술이지속적으로개발하여보급될수있도록하여야한다. 둘째, 본인인증수단의보안수준및안전성을확보하기위해서는새로운본인인증수 186 Journal of Korean Association for Regional Information Society

21 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 단을적용함에있어서개인정보보호수준을높이도록 ISMS, PIMS 등정보보호인증기관의점검을연계할수있다. 물론, 본인인증서비스를고려할때편리성과안전성이모두중요하며, 특히보안수준을높이기위해보안등급도고려하였다. 그러나본인인증수단을활용하는이용자입장에서는본인인증서비스의확산에따라이용할수밖에없는입장이지만, 그과정에서무엇보다편안하게신뢰하고사용할수있는환경이필요하다고느끼고있다. 셋째, 본인인증수단의등급화가이루어져야하는데, 앞서본인인증수단이필요하다고제시하였던전자거래분야, 통신분야, 금융분야등의서비스에맞게적합한인증수단을도입하기위한등급화가이루어져야한다. 일례로, 단순한사용 ( 회원관리등 ), 보통사용 ( 행정정보등조회 ), 중요사용 ( 금융처리등 ) 에따라인증수단도서비스의연계및적용성에따라등급을적용하여안전성을강화하도록한다. 넷째, 본인인증수단의지속적인개발이이루어져야하는데, 이는사물인터넷, 핀테크, 클라우드서비스등과관련된새로운정보통신환경을지향하기때문에, 지속적으로본인인증을요구하고있다. 현재본인확인수단의경우한정된본인확인수단을보편적으로사용하고있는데, 개인정보유출사고가발생하면그인증체계자체의불신이거칠수밖에없다. 따라서, 편리한본인확인수단의다양성을보장하기위해인증수단의개발로고도화된본인확인수단시장을확대해가야한다. 이와관련하여명시적으로사용자에게많은인증절차를요구하는것보다, 사기방지시스템을도입하여정상적인패턴에서벗어난인증패턴을보이는사용자에게만더강력한추가인증을요구하는단계적인증방안을구축하는것이필요하다. 다섯째, 인증절차의간소화가필요한데, 현재본인확인수단으로적용하고있는 I-PIN 인증의경우는그절차가복잡하여많은사람들이다른인증수단을사용하고있다. 더욱이최근금융거래, 전자상거래, SNS 등과같은다양한서비스를이용하기에는신속하고편리한인증수단의적용이요구되어진다. 따라서각서비스에적용되는인증수단 (ID/PW, 신용카드, OTP 등 ) 을다시한번관리하기위해암기하거나보관하는것이불편할수있으므로, 쉽게적용할수있는방안이마련되어야한다. 187

22 한국지역정보화학회지 제 20 권제 3 호 Ⅵ. 결론 : 정책적시사점 우리나라는인터넷강국이라고할만큼인터넷서비스를연계한다양한서비스를구현하고있으며, 그과정에서금융서비스, 교육서비스, 엔터테인먼트등다양한분야에서본인임을확인하는수단을적용하고있다. 이에따라우리나라에서본임임을증명하는본인확인수단을개발하여주민등록번호대신사용하도록하였고, 최근에는핀테크등의발달로인하여본인인증서비스에대한다른접근이이루어지기를기대하고있다. 따라서본연구에서는기존에사용하고있는 I-PIN, 공인인증서, 휴대폰등의본인확인수단이아닌본인인증수단의적용을확대해나갈방안을제시해보고자하였다. 본연구에서는본인인증으로서적합한지를평가하는보편성, 지속성, 유일성, 편리성, 안전성, 경제성, 이용성, 연속성을기준으로적합성기준을살펴보았으며, 이에따라선정된휴대전화 SMS, OTP, 전화 (ARS), , 지문, 2차 PW, PIN 패턴, 2채널, 보안토큰등에대한인식정보를측정해보았다. 그결과휴대전화 SMS, OTP, 전화 (ARS), 순으로인증수단을인식하고있었으며, 2개이상기존인증수단과결합할경우 OTP, 휴대전화등의순으로결합가능성에대한인식도를측정할수있었다. 그렇다면, 최근이슈가되고있는인증수단을선정하여조사하였는데, 생체인증 ( 뇌파, 심전도, DNA 등 ), 행태인증 ( 스마트사인등 ), HCE인증, 영상통화인증, 스마트인증, 기기인증서를통한기기인증, Secure SMS, 화자인증등에대해서도각각인증수단의필요성및활용가능성을인지하고있었다. 특히, 인증수단으로서의적합성기준에대해편의성과안전성이중요하다고보았으며, 각해당되는인증수단을국가기술표준원에서제시한보증수준을대입해보았을때, 스마트인증을제외하고 2등급이상높게나타났다. 더욱이편의성과안전성을고려하여사용할수있는인증수단의순위를평가한결과생체인증, 스마트인증, 기기인증서를통한기기인증순으로그순위가높게나타났다. 물론, 이과정에서보안등급과연계하여침해사고발생이가능한공격유형별대응방안을갖춘인증수단을조사하였고, 각인증수단을활용함에있어서사용분야의신뢰도및개인정보의민감도를고려한인증기술을적용할때생체인증과기기인증을선별하여적용하는것이적절하다고나타났다. 이처럼본인인증수단을적용함에있어서편리성과안전성을우선으로하는인증수단을적용할수있기위해서는다음과같은측면에서개선되어야한다. 즉, 첫째, 관련 188 Journal of Korean Association for Regional Information Society

23 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 법률과규정이마련하여보안의취약성을해소하고안전하고신뢰받는온라인서비스환경을구현해나가야한다. 둘째, 안전한인증수단이구현될수있는환경을구축하기위해서는본인인증서비스를활용할수있도록 ISMS, PIMS 등정보보호인증을확보하여야한다. 셋째, 신기술도입에따른본인인증방법의다양화에대응할수있도록인증수단의개발과함께강력한인증체계의연계가이루어져야한다. 넷째, 본인인증수단을인증수단의적합성및보안성등을고려하여특징적인업무및서비스에맞는인증수단을적용할수있도록등급화하여적용하는기준을제시해주어야한다. 다섯째, 지금적용하고있는공식및비공식적인인증수단의적용절차를간소화하여인증대비소요시간과불편을최소화하여편리한인증서비스를제공할수있어야한다. 앞으로금융거래, 전자결재, 엔터테인먼트등의서비스가확대되면될수록그에따른간편결재서비스를제공하기위해서는본인인증서비스가확산될수밖에없다. 따라서안전하고편리한서비스를지원하기위해서본인인증서비스에대한인식변화와그에따른서비스의연계와수단의다양화가보장될수있는정보사회가구현되어야할것이다. 참고문헌 금융보안연구소. (2013). 신인증기술적합성평가. 금융보안연구소. (2013). 신인증기술적합성평가. 금융보안연구원. ( ). 보안등급별이체한도차등화정책.. (2011). 전자금융신인증기술연구보고서. 금융위원회. 금융용어사전. 김보라. (2009). 비대면지급결제서비스에서의본인인증수단현황과전망. 금융결제원.. ( ). 지급결제서비스에서본인인증수단현황과전망. 自動認識 保安. 14(9): 9-12 김선주 조인준. (2011). OTP를이용한 PKI 기반의개인키파일의안전한관리방안. 한국콘텐츠학회논문지. 14(12): , 김정동 조관태 이동훈. (2011). OTP에기반한비연결성을보장하는온라인본인확인에대한연구. 정보보호학회논문지. 21(5): 네이버지식백과. (2015). 국방기술품질원, 국방과학기술용어사전. 189

24 한국지역정보화학회지 제 20 권제 3 호 마이민트뉴스. ( ). 스마트폰뱅킹고객 7000만명돌파 하루이용 3.2조. 마이민트뉴스. 배동희 김철진. ( ). 모바일환경에서의 Secure SMS 본인인증기법에관한연구. Inernet and information security. 1(2): 서대웅. ( ). 전자금융본인인증수단앞으로고객이직접선택한다. 머니투데이. 서정우 민동욱 문종섭. (2003). 다중생체인식시스템을이용한사용자인증에관한연구. 한국정보과학회학술발표논문집. 30(1): 송종근 김태용 이훈재 장원태. (2012). 이중패스워드방식을이용한스마트폰뱅킹관리, 한국인터넷방송통신학회논문지. 12(3): 신영진. ( ). 개인정보보호를위한본인확인수단의개선에관한연구- 이용자중심의주민번호대체수단활용을중심으로. 한국정책학회춘계학술대회 ( ). " 우리나라의본인인증제도발전에관한연구." 한국정책학회동계학술대회발표논문집 (2017.6). 본인확인수단의개선에따른개인정보보호에관한연구- 이용자대상의주민번호대체수단을중심으로 - 한국지역정보화학회지]. 한국지역정보화학회. 20(2): 신영진 김종배 손형섭 이자성 신승호 한흥렬 홍경수 한웅기 김규리 강원현. ( ). 주민번호대체수단연구및인증절차개선방안조사. 신영진 신승호 이자성 한웅기. ( ). 한국에서의본인확인수단개선방안에관한연구. 한국지역정보화학회지. 18(4): 신영진 한상국. ( ). 공공분야의주민등록번호수집최소화방안에관한연구 : 주민등록번호수집의법적근거및필요성에관한실태조사를중심으로. 국정관리연구. 8(2): 신영진 한웅기. ( ). 우리나라본인확인수단의개선방안연구 : 전문가입장에서의정책제언을중심으로. 한국행정학회동계학술대회발표논문집 신용녀 전명근. (2012). 바이오보안토큰을이용한프라이버시보호형사용자인증기법, 정보보호학회논문지. 12(2): 연합뉴스. ( ). 민간업체 70% 주민번호여전히수집 ' 정보유출우려 '. 연합뉴스. 이민영. (2004). 생체정보의보호에관한법제도적정책방향, 정보통신정책. 16(21): 이상혁 김혁 이동훈. (2013). 사용자편의성을강화한모바일메신저기반의 two-factor 인증기법. 보안공학연구논문지. 10(5): Journal of Korean Association for Regional Information Society

25 우리나라의본인인증제도개선방안 : 본인인증수단의보안수준진단및안전성확보방안을중심으로 이홍섭 박진섭. (2003). 정보보호관리. 생능출판사. 이재득. ( ). 바이오인식기술의금융서비스적용현황및발전과제, 지급결제와정보기술. 이일호. ( /6월 ). 독일, 다양한방식으로본인인증및개인식별. 지역정보화. 86: 이준정. (2013. 여름 ). 비대면금융거래시본인인증수단의변화. Nice credit insight. Summer : 조효제 이동희 김홍근 염흥열. (2011)., 국내외전자인증수단및전자인증연구동향, 정보보호학회지, 2(6): 1.; 최필주 박상선 김동규. (2012.). 모바일지급결제및바이오인식융합기술동향. 정보보호학회지. 22(4): 한국인터넷진흥원. (2005). 대국민전자서명이용실태조사.. (2016). 한국인터넷백서. 한국전자통신연구원. (2015.5). 생체인식기술의종류와활용. IT기술동향. 한국정보통신기술협회. (2014). 전자거래보증수준별인증방법요구사항. 정보통신단체표준.. 한국정보통신기술협회. TTA정보통신용어사전. terms.tta.or.kr 허종오 조희준 남경식. (2011). 정보보호전문가의 CISSP노트. 인포더북스. Joseph Bonneau, Cormac Herley, Paul C.van Oorschot, Frank Stajano. (2012). The Quest to Replace Passwords : A Framework for Comparative Evaluation of Web Authentication Schemes.Proceedings of the IEEE Symposium on Security and Privacy. San Francisco, California, USA: ; William E.Burr, Donna F.Dodson, Elaine M.Newton, Ray A.Perlner, W.Timothy Polk, Sarbari Gupta, Emad A.Nabbus. (2013). Electronic Authentication Guideline. NIST SP

26 한국지역정보화학회지 제 20 권제 3 호 21) 신영진 ( 愼英珍 ): 성균관대학교에서행정학박사학위를취득하고 ( 논문 : 정보보호정책의국제비교연구 : 정책지표개발과전략적우선순위분석을중심으로, 2003), 현재배재대학교에재직중이다. 주요관심분야는정보통신정책, 정보보호정책, 미래전략등이며, 주요논문으로는 클라우드서비스에서개인정보보호의적합성평가지표개발에관한연구 (2015), 소셜네트워크서비스 (SNS) 의역기능사례검토및정보윤리를통한개선방안에관한연구 (2016), 본인확인수단의개선에따른개인정보보호에관한연구 : 이용자대상의주민번호대체수단을중심으로 (2017) 등이있다 (jinsyj@yahoo.com) 한흥렬 ( 韓興烈 ): 성균관대학교정보통신대학원석사학위를취득하였고, 현재 씨피이보안컨설팅대표로재직중이다. 관심분야는정보통신정책, 정보보호정책, 정보보호기술등이며, 주요저서로는전문강사자격취득하기 (2002), 인터넷보안가이드북 (2003) 등이며, 주요정책과제보고서로는주민번호대체수단연구 (2015), 주민번호대체수단안전성강화방안조사 (2015) 등이다 (reichs@hanmail.net). < 논문접수일 : / 논문수정일 : / 게재확정일 : > 192 Journal of Korean Association for Regional Information Society