인터넷으로 제공되는 다양한 서비스를 사용하다보면 "실명인증"과 "본인확인"을 거쳐야만 하는 경우를 많이 볼 수 있다. 게다가 taeho 처럼 개인정보 및 정보호호 관련 일을 하는 사람들은 해당 서비스가 "실명인증(또는 실명확인)"만 거치면 제공받을 수 있도록 해야 하는지 아니면 개인정보보호를 위해 "본인확인"을 반드시 거쳐야하는지를 판단할 수 있어야 한다.


그런데 최근 관련 업무를 하고 있음에도 "실명", "비실명", "실명확인", "본인확인"의 의미를 명확하게 구분하지 못하는 컨설턴트를 볼 수 있었다.


"실명"이란?

"실명"이란 어떤 "이름"이 실제 살아있는 사람의 이름임을 의미한다. 


하지만 단순히 이름만으로는 누구의 이름인지, 실존하는 사람의 이름인지 특정할 수 없다. 그래서 우리나라에선 "실명"이란 이름과 주민등록번호를 함께 쌍으로 확인하여 실제 살아있는 사람의 이름과 주민번호인지를 확인하게 된다. 


그렇다면 "비실명"이란 무엇인지 감이오지 않는가?



"실명확인(인증)"과 "본인확인" 이란?

인터넷을 통해 제공되는 서비스, 특히 공공기관의 서비스를 이용하다보면 "실명확인"이라는 이유로 "이름"과 "주민등록번호"의 입력을 요구하는 경우가 있다. 법적으로 주민등록번호를 사용할 수 있는 공공서비스의 경우 이름과 주민등록번호로 실명여부를 확인하게 된다.


그런데 이 때 실명여부만 확인하지 주민등록번호를 입력하는 사람이 실제 입력하는 주민등록번호의 소유자인지 여부는 확인하지 않는 경우가 많다.


여기서 더 나아가 이용자가 입력하는 이름 및 개인정보가 입력하는 이용자 본인의 것이 맞는지까지 확인하는 것이 "본인확인"이다. 하지만 본인확인은 아무나 할 수 없다. 반드시 정보통신망법에 의해 허가받아 "본인확인기관"으로 지정받은 곳에서만 본인확인을 할 수 있다. 


가장 대표적인 본인확인 기관은 바로 이동통신사들이다. 이동통신 서비스에 가입하고 부여받은 휴대폰번호를 기반으로 본인확인을 하는 것이다. 하지만 휴대폰 번호로 4자리 혹은 6자리 숫자를 문자메시지로 보내 입력하도록 한다하여 그것이 "본인확인"으로서 인정받을 수 있는가 하면 "그렇지 않다"가 정답이다.


아래와 같은 경우다. 아래의 화면은 모 공공기관에서 법령에 근거하여 이름과 주민등록번호를 입력받아 처리하는 서비스의 화면이다.


모 공공기관의 실명인증 화면모 공공기관의 실명인증 화면


언뜻보기엔 휴대폰 번호를 통해 인증번호를 보내 입력받은 이름과 주민번호의 실 소유자임을 확인하는 "본인확인"처럼 보일 수도 있지만 이름과 주민번호, 휴대폰 번호를 모두 갖고 "본인확인"을 해줄 수 있는 곳은 KT, SKT, LGT 등 통신사와 신용카드사들 뿐이다. 


심지어 위 화면만으로는 입력한 이름과 주민등록번호의 소유자가 일치하는지 여부를 검증하는지 조차 알 수 없다. 다만 위 공공기관은 행정안전부의 주민등록센터에서 공공기관을 대상으로 제공하는 실명인증시스템과 연동하여 이름과 주민등록번호의 일치여부를 확인하고 있다는 인터뷰 답변을 통해 알 수 있었다.


하지만 이 화면에서 수집한 이름과 주민등록번호가 입력한 휴대폰 번호의 소유자와 일치하는지 여부(즉 본인확인)는 제 아무리 공공기관이더라도 확인할 수 없다. (통신사만 확인할 수 있다.)


즉 IT감사자 혹은 컨설팅을 수행하는 개인정보보호컨설턴트 또는 개인정보영향평가전문인력, ISMS-P인증심사원 등은 입력하는 이름과 주민등록번호와 휴대폰 번호의 소유자가 달라도 되는 서비스인지 검증할 필요가 있다. 이는 해당 서비스가 본인확인의 필요성이 있는 서비스가 아닌지를 확인해야 하기 때문이다.


만약 공공기관이 아닌 민간기관에서 서비스를 제공할 때 이름과 주민등록번호의 유효성확인을 위해 "실명인증"을 필요로 한다면 다음과 같이 국가에서 지정한 실명인증 기관의 서비스를 이용해야 한다.


나이스평가정보의 실명인증 서비스나이스평가정보의 실명인증 서비스


이런 실명인증(확인)은 주민등록번호의 단순 "유효성"을 체크하는 것과는 본질적으로 다르며 이용자 본인여부를 확인하는 본인확인과도 엄연히 다른 개념임을 이해해야 한다.


실명인증에서 더 나아가 이용자가 입력한 이름과 주민등록번호 혹은 개인정보가 실제 이용자의 정보가 맞는지 확인하는 "본인확인"은 다음과 같이 이용자가 입력하는 이름과 주민등록상의 생년월일, 성별 그리고 휴대폰번호가 통신사에서 보유하고 있는 정보가 일치하는지 여부와 해당 휴대폰을 실제로 소유하고 있는 사람인지까지 확인하는 것을 의미한다. (요즘에는 신용카드사도 본인확인 서비스를 제공한다.)


KCB에서 통신사와 연계하여 제공하는 본인확인 서비스KCB에서 통신사와 연계하여 제공하는 본인확인 서비스


비실명의 의미를 잘못 이해한 사례

앞에서 언급했던 실명인증 화면을 이용해 실제 "비실명"이라는 단어를 잘못 사용한 사례를 들어보겠다.


어떤 심사원이 인터넷으로 제공되는 서비스를 검토하다 아래와 같은 화면을 발견했다.


모 공공기관의 실명인증 화면모 공공기관의 실명인증 화면


앞에서 언급했듯 이 화면에서는 입력하는 사람이 타인의 이름과 주민등록번호를 입력하고 입력하는 사람의 휴대폰 번호를 이용해도 서비스 이용이 가능하다. 그런데 서비스에 대해 검토하다 보니 이렇게 타인의 이름과 주민등록번호를 이용해 서비스를 사용할 경우 민감한 개인정보가 유출될 가능성이 발견되었다. 그래서 다음과 같이 문제점을 지적하였다.


"비실명 개인정보를 이용해 실명인증이 가능함"


이 문장은 매우 잘못된 문장이다. 비실명이라 함은 존재하지 않는 이름과 주민등록번호를 의미하므로 잘못되었다. 이 서비스의 경우 행정안전부의 실명인증을 거쳐야하기 때문에 비실명으로는 해당 서비스를 이용할 수 없다. 이 문장은 다음과 같이 바뀌어야 한다.


"타인의 개인정보를 이용해 실명인증이 가능함"


그래야 본인확인 등을 통해 서비스 신청자 본인에게만 서비스를 제공하도록 할 수 있는 것이다.


#실명인증 #본인확인 #실명 #비실명


  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">
  1. thumbnail
    더 니르바나

    잘 읽고 갑니다.
    코로나 때문에 세계가 시끄러운데,
    조심하시고요.
    오랜만에 들어와서 안부 남기고 가네요.

  2. thumbnail
    [찌쏘]'s Magazine

    아하 평소에 잘 신경쓰지 않았던 부분이긴 한데..
    확실히 알게되었네요 ^^
    코로나가 빨리 종결되었으면 좋겠습니다. ㅎ 투자하기 너무 어려운 환경이네요

    • thumbnail
      taeho Tae-Ho
      2020.02.26 12:10 신고

      맞습니다. 코로나도 코로나지만.. 경제에도 타격이 클 것 같습니다. 불가항력이긴 하지만요.