예전에는 본인인증을 주민번호로 하여 한참 말이 많았었는데, 지금은 대부분의 사이트에서 주민번호 수집은 불가합니다.
대신에 대부분의 사이트에서 휴대폰 본인인증으로 변경되었습니다.
- 휴대전화 본인인증은 어떻게 진행될까요?
- 그리고 개인정보 유출로 부터 안전할까요?
궁금하시다면 이 글을 읽어보시기 바랍니다.
본격적으로 글을 시작하기전에 먼저, 상식하나.
휴대전화 본인인증 등 개인정보를 처리할 때는 주소창에 자물쇠 모양이 필수입니다.
회원가입 등 "개인정보"(이메일도 포함)를 다루는 사이트는 HTTPS를 필수로 이용해야됩니다.
미준수시 5천만원 이하의 벌금 등 법률 위반 제재가 가능합니다.
요즘에는 중복가입 차단, 쇼핑몰 등에서 만 14세 이상 연령 확인용, 성인인증 용도 등으로 대체하고 있는 휴대폰 본인인증 서비스에 대해서 알아보고, 원리를 소개해보려고 합니다.
본격적으로 설명하기 전에, 중복가입 차단, 쇼핑몰 등에서 만 14세 이상 연령 확인용, 성인인증 용도 중
쇼핑몰 등에서 만 14세 이상 연령 확인은 이유를 잘 모르실 수 있을 것 같은데 잡상식 하나를 더 설명해드리고 넘어가자면.
대한민국 법률상, 만 14세 미만의 `계약 등 동의를 한 행위`를 인정하지 않기 때문에
만 14세 미만이 게임에 수천만 원을 사용하거나, 기타 재화를 구매 후 부모가 환불 요청 시 손해를 감수하고도 환불해줘야 하는데 이로인해 대부분의 쇼핑몰은 구매자가 만 14세 이상인지 확인하게 됩니다.
이는 해외에도 비슷한 법률이 있으며, 미국 같은 경우에는 더 강력하게 아동의 개인정보를 혹시라도 수집한 경우 폐기하도록 하고 있습니다.
휴대전화 본인인증이란?
사용하는 휴대전화의 문자인증 등으로 본인임을 확인하는 방법입니다.
대한민국 국민이라면, 한 번쯤은 사용해봤을 법한 기능입니다.
이때 사용되는 개인정보는 어떻게 처리될까요?
개인정보 처리방법
이 인증과정에는 사람, 기관이 등장합니다.
- 사용자
- 쇼핑몰 등 가입하려는 "서비스(웹 사이트, 앱, 프로그램 등)"
- 이동통신사(SKT, KT, LG, 알뜰폰 등)
- 본인인증 회사(또는 신용평가 회사 별도)
본인 인증 회사에서 이동통신사에 휴대전화 정보로 개인정보를 확인 요청하여,
맞는지 확인 후 성공/실패 여부를 서비스(웹 사이트, 앱, 프로그램 등)로 전송해줍니다.
사용되는 개인정보는 아래와 같습니다.
- 필수
- 휴대전화 번호
- 이름
- 필수 아님
- 생년월일
- 성별
누가 이 정보를 처리할까요?
이 정보는 신용평가 및 본인인증 회사들의 페이지에서 본인인증이 이뤄지며, 맞는지 틀린 지 확인합니다.
가입하려 하는 웹사이트에는 일반적으로 CI/DI라고 하는 고유 인증코드, 성공 여부 등만 보내지고
경우에 따라 이름, 생년월일, 성별, 내외국인 정보, 이통사 정보, 휴대폰 번호 등을 추가로 제공합니다.
예를 들어 연령인증 목적이라면 생년월일이 있어야되겠지요.
정보는 일반적으로 팝업으로 열린 본인인증 회사와 사용자와 1:1로 통신하며, 웹사이트는 계약된 정보만 전달받습니다.
주민번호 가입과 차이점은 관리 책임은 신용평가사에 있으며 해독할 수 없는 암호화된 정보를 강제합니다.
보안이 검증되지 않은 회사들에 무방비하게 개인정보가 저장되어 있는것 보다는 신용평가사만 관리하는게 관리 및 보안측면에서 조금 더 이점이 있겠습니다.
제가 생각하는 "보안이 검증된 회사"의 기준은?
제가 보안을 아주 전문적으로 하지는 않지만 대기업에 보안문제를 제보해준것도 몇 개 있습니다.
대략 몇가지 기준을 생각해보면..
1. 보안 전문 인력이 있거나 믿을 수 있는 보안 전문 회사에 의뢰하며, 주기적으로 보안검증을 받는 경우
2. 언제나 열어두며, 버그바운티를 투명하게 공개하는 회사
3. 버그 수정하고 투명한 보고서를 제공하는 회사
이런 기준을 만족하는 대표적인 회사는 구글과 마이크로소프트 등이 있습니다.
1번 기준만 만족해도 괜찮은 회사입니다. (그 만큼 대부분 보안에 신경쓰지 않습니다.)
CI 값은?
"주민등록번호"를 추정 불가한(단방향) 암호화한 88BYTE 값입니다.
예시 값 : 2f0c8e1d4d5e53078d5ee6b7544201f88c3f19102f0c8e1d4d5e53078d5ee6b7544201f88c3f19108c3f1910
DI 값은?
주민등록번호와 사업자 고유번호(사업자 등록번호)를 암호화한 66BYTE 값입니다.
예시 값 : e0977ac6b52f6e831c886c4b57aa187b1057dc9a62a7ab3d7752a6ec45dedb5d5d
단방향 암호화(암호문으로 원문 해석불가)를 체험해보시려면 문자 해시 암호화 툴을 이용해보시면 됩니다.
단방향 암호화를 살짝 설명하고 넘어가자면 숫자를 3의 배수면 1 아니면 0으로 저장한다면,
9는 1로 변환되지만..
1을 보고는 9라고 알 수가 없습니다. 이런 과정을 반복하여 만들어진 암호문으로 해독이 불가합니다.
또한 각 암호문은 고유하게 생성됩니다.
웹사이트는 어떻게 중복가입을 막나요?
위의 정보중 DI값을 이용하면 중복가입을 막을 수 있습니다.
사업자등록번호와 개인의 고유번호를 합쳐서 암호화한 코드로 이 값은 같은 사람인 경우에만 같은 코드가 나옵니다.
위의 예시 값(e0977ac6b52f6e831c886c4b57aa187b1057dc9a62a7ab3d7752a6ec45dedb5d5d)을 저장해둔다면,
나중에 가입자 중에 e0977ac6b52f6e831c886c4b57aa187b1057dc9a62a7ab3d7752a6ec45dedb5d5d를 DI로 가지는 사람이 가입하려 한다면 같은 사람이라고 판단 가능합니다.
왜 인증에 실패하기도 하나요?
예를 들어 본명을 변경하여 신용평가회사에 등록된 내용과 다른 경우(수정 반영이 안된 경우)에 실패할 수 있습니다.
정보가 맞는지 대조하는 게 신용평가회사를 통해 진행되기 때문입니다.
본인 인증을 제공하는 회사 목록
- NICE아이디 www.niceid.co.kr/prod_mobile.nc
- NHN KCP kcp.co.kr/alpa.phone.do
- KMC 한국모바일인증 www.kmcert.com/cert/selfCert_3.jsp
- 드림시큐리티 www.dreamsecurity.com/service/ser_1_2.php
- 다날 www.danalpay.com/Service_Introduction/personal_check.aspx
- PASS developers.passlogin.com/intro/info
- SCI Bizsiren www.bizsiren.com/pccServiceIntro.do
- 토스인증 toss.im/tosscert/docs/guides/overview
누락된 회사가 있을 수도 있습니다.
구글 검색 시 상위 결과에 나오는 회사 목록입니다. 누락된 경우 댓글 달아주시면 확인 후 목록에 추가해드립니다.
'소개 > IT 상식' 카테고리의 다른 글
컴퓨터를 24시간이상 켜놓아도 괜찮을까? (1) | 2021.01.18 |
---|---|
파일 업로드/공유 원리, 그리고 주의점 (0) | 2021.01.18 |
VPN의 원리, 그리고 주의점 (1) | 2021.01.17 |
[유튜브] 썸네일 관심끌기를 피하는 방법 (0) | 2021.01.15 |
삼성페이의 원리 (0) | 2020.12.13 |
CAPTCHA 인증방식 원리 (0) | 2020.12.09 |
2021-09-30 이후부터 발생할 수 있는 인증서 문제 (Let's Encrypt) (1) | 2020.11.27 |
유튜브 아동용 영상 정책 (COPPA) 위반한다면? (0) | 2020.11.25 |
저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)
예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.
만약, 본문 공유를 원하신다면 링크 공유를 해주세요
저작권 정책 확인하기링크 공유하기