금융당국과 금융기관들은 4차 산업 혁명과 포스트 코로나 시대에 새로운 금융 서비스를 위하여 적극적으로 추진하고 있는 온라인 비대면 거래에서 인증 방법의 허점을 이용한 새로운 형태의 금융 보안 사고가 다발하고 있다.
H, K사에서도 변조된 신분증을 이용하여 개통한 스마트폰과 타인명의의 계좌를 개설하여 불법 대출 및 계좌이체 그리고 출금까지 완료된 금융 사고가 발생하였다.
인터넷·모바일뱅킹 등 온라인 비대면 전자금융 거래가 보편화되고, 공인인증서의 지위를 폐지하는 ‘전자서명법’ 개정안이 국회를 통과하면서 간편비밀번호, 지문, 홍채 등을 활용한 생체인증 등 다양한 인증수단이 사용 가능하지만, 편리하면서도 안전한 인증 수단은 아직도 부족한 것이 현실이라는 것을 알게 해주는 사례가 되었다.
H사 불법 대출 사건의 경우 아직 경찰에서 수사가 진행 중에 있으나, 언론에 알려진 내용은 ①변조된 신분증(면허증은 정상 발급, 사진 변조) ②타인 명의의 스마트폰(변조된 신분증으로 개통) ③타 금융기관의 계좌(변조된 신분증과 스마트폰의 ARS 본인 확인으로 개설) ④인증서를 범용으로 신규발급(변조된 신분증, 스마트폰의 ARS 본인 확인) ⑤타인 명의의 대출 신청(타 금융기관의 본인 계좌, 변조된 신분증, 스마트폰의 ARS) ⑥타인 명의로 타 금융기관에서 대출 입금 및 출금 등이다.
타인 신분증과 타인 명의의 스마트폰을 보유한 고객이 쉽게 계좌를 개설하고, 타행의 계좌와 금융기관의 예금 등이 있으면 쉽게 대출을 받을 수 있는 비대면 금융 거래의 경우에도 거래를 하는 고객이 실제 본인인지 확인하는 수단인 신분증(주민등록증, 운전면허증)은 언제든지 유출(도난, 분실)이 될 수 있다.
위변조된 신분증을 통한 타인 명의의 스마트폰을 개통하고 타 금융기관의 계좌를 이용하여 공인 인증서를 발급, 타인 명의의 대출 신청을 통해 타 금융기관으로 대출 입금 및 출금을 하는 방식의 금융사기가 발생하였는데 이는 중간단계에서 금융사고를 막을 수 있는 방안이 있었음에도 아쉬움을 낳고 있다.
비대면으로 본인 인증을 하여 고객의 신분증이 위변조된 경우 고객의 신분 확인은 3단계로의 대응이 필요하다.
먼저 ①신분증 위조 여부(가짜 신분증 여부)를 확인해야 하며, 단순히 신분증 발급 사실 뿐만 아니라 사진의 동일인 여부(신분증의 사진 변경 등)에 대해도 행안부의 진위확인 통합서비스를 이용하여 확인하고, ②신분증 소유자와 비대면 고객의 실제 본인 여부에 대해서는 안면인식 솔루션을 이용하여 본인 확인이 필요하다.
현재 은행 등 금융권에서는 비대면 계좌개설 시 신분증에 대한 진위확인 서비스를 진행하여 위변조에 대응하고 있으나 신분증 진위 실패 시 화상통화나 타행계좌 보유 등 대체인증을 진행하고 있으나 보안에 취약하다. 일부 금융권에서는 신분증의 사진을 비교하는 방식이 아니라 발급사실만을 확인하는 스크랩핑 방식을 아직도 사용함으로 인해 변조된 신분증을 걸러내지 못하고 이와 같은 금융사고를 당하게 되는 것이다.
한국인식산업 이명성 대표는 현재 제공하고 있는 신분증진위확인 서비스는 신분증의 사진과 발급기관의 발급된 사진을 직접 비교함으로써 실제 신분증에 사진을 변조한 경우라도 신분증의 위변조를 걸러낼 수 있다.
지점으로 방문하는 고객에게 새로운 계좌를 대면으로 개설하는 경우에는 신분증 확인, 본인 확인 등 수 많은 확인을 하면서도, 얼굴도 보지 않는 비대면 계좌 개설에서는 본인 명의의 스마트폰과 타 금융기관에 계좌가 있다는 이유만으로 쉽게 계좌를 만들어 주는 것은 아닌지 이번 불법 대출 사건과 유사한 전체 비대면 서비스의 인증 방법에 대한 개선이 필요하다.
비대면으로 새로운 계좌를 개설하거나 대출 서비스 등을 하는 경우 절대로 타 금융기관의 인증 여부나 스마트폰 ARS 확인은 이미 보안성 취약점 등으로 인해 본인 인증을 하지 말아야 한다.
이번 사건과 유사한 사고의 재발을 방지하기 위해서는 고객이 금융거래를 위해서 보호해야 하는 개인정보(주민등록번호, 전화번호, 계좌번호, 비밀번호(PIN))가 유출되고, 신분증이 위변조가 되어도 실제로 고객의 개인정보를 사용하여 ‘진짜 본인 고객’인지 비대면으로 확인할 수 있는 새로운 본인 인증 수단의 관점에서 ‘안면인식’ 기술의 검토가 필요하다.
안면인식 솔루션 기술은 사진, 동영상으로 본인 인증을 하는 경우 라이브니스(인증 과정에서 사진, 동영상 여부를 확인하는 기술)로 실제 사람 여부를 확인하므로 신분증의 사진과 사용자의 진위 여부에 대한 확인이 가능하다.
보안업계 관계자에 따르면 “이미 많은 금융기관에서 신분증 진위확인 서비스를 사용 중이며 최근 기사에서 다루어지고 있는 사진인식오류는 신분증 사진이 바래지거나 빛반사 등으로 불명확한 사진들에 대한 거부율을 말하는 것으로 당연하게 신분증진위확인 인식불가 판정을 해야 되는 부분이며 실제 신분증 진위확인 서비스를 통해 위변조된 신분증이 통과된 사례는 서비스 개시 이후 전무하다. 현재 금융권에서는 본인인증 솔루션을 도입하는 추세이며 본인확인 사용시 신분증 위변조를 원천 차단할 수 있다.”고 말했다.
이번 사건은 신분증진위확인을 통해 불일치 알람을 보내주었음에도 고객유치를 위해 이를 간과함으로 인해 발생한 사건으로 오히려 현재 행안부가 서비스하고 있는 신분증진위확인 서비스가 신분증 위변조를 통한 금융사기를 방지하는 데 가장 신뢰성있는 방안임을 보여주고 있다.
이번 사건과 유사한 사고의 재발을 방지하기 위해서는 금융권 등 개인정보를 취급하는 분야에서도 신분증진위확인서비스 도입과 적극적인 활용을 통해 소중한 고객의 정보를 보호하고 금융사고를 막는 일에 앞장서야 하며 추가로 본인 확인 서비스를 더하면 더욱 더 완벽한 보안이 될 것이다.
한편, 본인확인 서비스는 신분증 진위확인 프로세스 중 실제로 신분증과 사용자가 일치하는지 체크하는서비스로 타인이 위변조된 신분증으로 타인 계좌개설을 방지하기 위해 본인여부를 체크하는 서비스로 타인 신분증을 이용한 금융거래를 원천 방지할 수 있다.
