검색
화우

인증 관련 법적 쟁점

미국변호사

[2022.03.28.]



인증은 디지털금융으로 향하는 관문으로 인식되고 있습니다. 고객 입장에서는 금융거래를 할 때 처음 마주하게 되는 것이 인증입니다. 이에 따라 은행, 빅테크 기업 등 여러 사업자가 인증 시장에 새롭게 진입하고 있습니다. 금번 뉴스레터를 통해서 인증과 관련한 제반 법률 이슈들을 정리하여 도움을 드리고자 합니다.


1. 인증의 개념 및 현황

인증은 정보·시스템 등에 접근을 요청하는 자가 그 본인이 맞는지를 확인하고 접근 자격을 검증하는 일체의 과정[1]을 가리키는 개념으로, 실무상 본인확인, 본인인증 등의 개념과도 혼용되고 있습니다.


[각주 1] 실무상 (i) 이용자를 식별(Identification)하는 단계, (ii) 시스템 등에 접근한 자가 식별된 자가 맞는지를 확인하는 인증(Authentication) 단계, (iii) 인증 받은 자에게 접근권한 등을 허용하는 허가(Authorization) 단계로 통상 진행됩니다.


COVID-19 지속에 따른 비대면 금융의 가속화로 ‘인증’이 모든 비대면 금융거래의 최초 단계로서 관문 역할을 수행한다는 인식이 확대되었습니다. 또한 공인인증서 폐지 및 마이데이터 서비스에서의 사설인증서 필수 적용 의무 등으로 인해 금융업계의 사설인증서 경쟁이 치열해지고 다양한 인증·신원확인 기술 도입에 따른 안전성 확보의 중요성이 그 어느 때보다 부각되고 있습니다.


(1) 비대면 실명확인 가이드라인 적용 관련 이슈

· 금융위원회가 2015. 5. 금융개혁회의를 통해 ‘계좌개설시 실명확인 방식 합리화방안’을 발표하면서 비대면 인증을 이용한 실명확인방식이 허용되었습니다.[2] 이후 금융당국은 ‘비대면실명확인 관련 구체적 적용방안’(“비대면 실명확인 가이드라인”)이라는 법령해석의 형태로 비대면 실명확인 절차를 규제하고 있습니다.


[각주 2] 금융감독당국은 과거 금융실명제 도입(1993. 8.) 당시부터 상기 ‘계좌 개설시 실명확인 방식 합리화방안’ 발표 전까지는 (i) 금융실명법상 실명확인이 반드시 금융회사 직원이 고객의 실명을 대면(face to face)으로 확인해야 한다는 유권해석을 해왔고, (ii) 전자금융감독규정에 따른 접근매체 발급시 ‘실명확인 증표확인’ 역시 대면확인만을 의미하는 것으로 해석하였습니다.


· 비대면 실명확인 가이드라인에 따른 비대면 실명확인 방식은 (i) 금융실명법에 따른 계좌개설시 실명확인의무뿐 아니라, (ii) 인터넷을 통한 카드회원 모집시 본인확인의무(여신전문금융업법 시행령 제6조의7 제4항),[3] (iii) 전자금융거래법상 접근매체 발급시 실명확인의무(전자금융거래법 제6조, 전자금융감독규정 제34조 제3호),[4] (iv) 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법상 금융회사에 대출 신청 또는 저축성 예금·적금·부금 등 금융상품 해지시 본인확인조치의무(동법 제2조의4 제1항, 시행령 제2조의3 제1항 제3호) 등에도 적용됩니다. 금융회사 및 전자금융업자(이하 “금융회사등”)는 새로운 인증·신원확인 기술 도입에 앞서 비대면 실명확인 가이드라인 위반 여부를 면밀히 검토할 필요가 있습니다.


[각주 3] 금융위원회는 여신전문금융업법 시행령 제6조의7 제4항에 관한 법령해석 요청에 대하여 공인전자서명 없이도 본인이 카드 발급을 신청하였음을 확인할 수 있는 방식은 ‘계좌개설시 실명확인 방식 합리화 방안’에서 허용한 비대면 실명확인방식을 적용할 수 있을 것으로 보인다고 회신한 바 있습니다(금융위원회 2016. 1. 21.자 법령해석 회신문).


[각주 4] 금융위원회는 전자금융감독규정 제34조 제3호에 따른 실명은 주민등록표에 기재된 성명과 주민등록번호로 확인할 수 있으며, 2015. 12. 유권해석에 따른 비대면 실명확인 방법으로도 확인 가능하나, 그 밖의 방법은 현재로서는 인정되지 않는다는 입장입니다(금융위원회 2017. 5. 18.자 법령해석 회신문). 다만 향후 전자금융거래법 개정을 통해 전자금융거래에서의 실명확인 방법 등에 관한 특례가 마련될 수 있으므로(전자금융거래법 개정안(김병욱 의원안) 제6조의3 등 참고), 향후 법개정 경과를 살펴볼 필요가 있습니다.


· 비대면 실명확인 가이드라인 문언상 금융회사등에 비대면 실명확인 방법과 관련하여 상당한 절차적 자율성이 허용되는 것으로 볼 여지도 있으나,[5] 실무상 금융당국은 비대면 실명확인 가이드라인에 열거된 방식 외의 방식들에 대해 다소 유보적인 입장을 취하고 있고,[6] 금융회사등이 자율적으로 채택한 실명확인 방법이 명의도용·무권한거래 등의 사고로 이어지는 경우 엄격히 사후규제하고 있습니다. 따라서 금융회사등은 실명확인을 위한 인증방식 선택시 동일·유사 거래에 대한 업계 인증 수준, 특정 인증방식 채택에 따른 인증의 신뢰성·안전성 저하 또는 사고 발생 가능성, 과거 금융당국의 유권해석 및 제재 사례 등을 종합적으로 검토하여 인증방식을 결정해야 합니다.


[각주 5] 비대면 실명확인 가이드라인은 ‘의무사항(실명확인증표 사본제출/영상통화/접근매체 전달과정에서의 확인/기존계좌 활용/기타 이에 준하는 방법)’과 관련하여 ‘새로운 방식의 실명확인 방안에 대한 금융위원회의 승인은 불필요하고 금융회사가 자체적으로 판단하여 적용가능하다’고 설명하고 있고, ‘권고사항(그 외 타 기관 확인결과 활용)’과 관련하여서도 금융회사가 자체적인 실명확인 방법을 도입하는 것이 허용된다고 명시하고 있습니다.


[각주 6] 금융당국은 비대면 실명확인 가이드라인에서 정하는 방식 외에 분산 ID, 안면인식 기반의 실명확인·본인인증을 혁신금융서비스로 지정하여 금융실명법 및 전자금융거래법에 대한 특례를 인정하는 방식으로 허용하였는바, 금융당국은 비대면 실명확인 가이드라인에 열거되지 않은 방식은 예외적으로 허용된다는 입장인 것으로 이해됩니다.


(2) 전자금융거래법상 안정성·신뢰성 확보 의무 관련 이슈

· 현행 전자금융거래법은 기술중립성 원칙에 따라 특정 기술의 사용을 강제하지 않고, 금융당국 역시 금융회사등이 자신의 판단과 책임 하에 적절한 인증방법을 선택하여 사용하도록 하고 있습니다(전자금융거래법 제21조, 전자금융감독규정 제37조). [7]


[각주 7] 과거 금융당국은 구 전자금융감독규정(2009. 8. 26. 금융위원회고시 제2009-50호로 개정된 것)을 통해 모든 전자금융거래에 있어 전자서명법상 공인인증서 사용을 의무화 하고, 전자자금이체 시 공인인증서 외 일회용 비밀번호 사용의무를 부과하는 등 특정 보안·인증 기술 사용의무를 규정하였으나, 이후 특정 인증기술의 사용 강제가 이용자의 불편을 가중한다는 비판이 계속되면서 현행과 같이 기술중립성 원칙을 채택하게 되었습니다.


· 특정 인증방법이 전자금융거래의 안전성 및 신뢰성을 확보하지 못하거나 그로 인해 전자금융사고가 발생하는 경우 금융회사등은 과태료 및 기관·임직원에 대한 제재조치 등을 부과 받을 수 있습니다. 따라서 금융회사등은 새로운 인증방식을 도입하거나 기존 인증방식을 간소화 하고자 하는 경우, 대상 거래의 종류·성격·위험수준에 대한 면밀한 분석과 함께 금융당국의 동향 및 전자금융거래법령 개정 움직임 등을 종합적으로 고려하여 인증방법을 선택할 필요가 있습니다. 또한 자체 보안성 심의기준 등 내규·매뉴얼·개별 업무프로세스 정비를 통해 향후 민원발생 또는 금융검사시 금융회사가 채택한 인증방법의 안전성 및 신뢰성을 입증할 수 있는 기반을 마련할 필요가 있습니다.


(3) 전자서명법상 인정사업자 등 관련 이슈

· 전자서명법 개정[8]으로 공인인증서 제도가 폐지되고, 전자서명인증여부 운영기준 및 운영기준 준수사실 인정제[9]가 도입되었습니다. 비록 개정 전자서명법이 전자서명인증사업자에게 운영기준 준수여부에 대해 평가를 받을 의무를 부과하고 있는 것은 아니나, 이용기관의 입장에서는 인정사업자[10]외 사업자가 발급한 인증서를 채택할 유인이 낮고, 개별 법령에서 인정사업자가 제공하는 인증서 등으로 본인확인을 이행할 의무를 부과하는 경우[11]도 있어 사실상 주요 전자서명인증사업자들은 중장기적으로 평가절차를 거치는 방안을 고려할 수 밖에 없을 것으로 보입니다.[12]


[각주 8] 전자서명법, 법률제17354호, 2020.6.9.전부개정, 2020.12.10.시행


[각주 9] 정부는 전자서명법 개정으로 공인인증서와 사설인증서 사이의 구분이 없어짐에 따라 전자서명수단의 신뢰성을 제고하고 가입자 및 이용자가 합리적으로 전자서명인증서비스를 선택하는데 필요한 정보 제공을 위해 국제기준 등을 고려한 전자서명인증업무 운영기준을 마련하는 한편 운영기준준수사실을 평가하여 증명서를 발급하는 인정제도를 도입하였습니다.


[각주 10] ‘인정사업자’는 전자서명인증업무 운영기준을 준수하는 사실을 인정받은 전자서명인증사업자를 말합니다(전자서명인증업무 운영기준, 과학기술정보통신부 고시 제2020-69호,2020.12.10.,전부개정)


[각주 11] (i) 상법 시행령은 주주가 전자투표하는 경우 ‘운영기준 준수사실의 인정을 받은 전자서명인증사업자가 제공하는 본인확인의 방법’ 등으로 주주 본인임을 확인할 것을 규정하고 있고(상법 시행령 제13조), (ii) 마이데이터 통합인증기관 자격 요건 역시 전자서명법상 평가·인정 절차를 완료한 인정사업자에 한하며(「금융분야 마이데이터 기술 가이드라인(20211110)」 제109면), (iii) 전자금융거래법 개정안(김병욱 의원안)은 금융회사 등에 지시용매체로서인증서에관한업무를제공하려는자는평가·인정절차를 완료할 것을 정하고 있습니다(개정안제6조의2제3항).


[각주 12] 2022.3.현재 NHN페이코㈜, 네이버㈜, ㈜비바리퍼블리카, ㈜뱅크샐러드 등17개사업자가평가절차를 받아 증명서를 받았습니다.


· 평가준비 사업자들은 사전 컨설팅을 통해 인증업무 운영기준 준수사실의 평가 및 인정 절차, 평가기관 별 구체적 평가기준,[13] 선행 평가사례 및 노하우 등에 대한 분석을 바탕으로 평가과정에서의 보완사항을 최소화 하고 재심사 등으로 인한 사업계획에의 차질이 발생하지 않도록 유의할 필요가 있습니다. 또한 인정·평가 완료 후 인정사업자는 일반 전자서명인증사업자와 달리 개정 전자서명법에 따라 운영기준 준수사실 표시의무(제13조), 신원확인 의무(제14조), 전자서명인증업무 준칙의 준수의무(제15조) 등을 부담하고 위반시 과태료 등을 부과 받을 수 있으므로, 사전에 인정사업자에 부과되는 의무를 면밀히 파악하고 내부통제에 각별히 유의해야 합니다.


[각주 13] 현재까지 3개 평가기관(한국정보통신기술협회(TTA), 금융보안원, 딜로이트(안진회계법인))이 선정되어 평가업무를 수행하고 있으며, KISA는 향후 평가적체상황 등을 고려하여 평가기관 확대 역시 고려하고 있습니다.


(4) 개인정보 보호법상 생체 및 행동 기반 인증 관련 이슈

· 편의성 및 보안성을 강조한 생체·행동 기반 인증에 대한 수요가 지속적으로 증대되고 있습니다. 그런데 개인정보 보호법 시행령 개정[14]으로 ‘개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보’가 민감정보의 한 유형으로 신설됨에 따라(개인정보 보호법 시행령 제18조 제3호) 생체·행동 기반 인증을 도입하고자 하는 이용기관 등에서는 민감정보 수집·이용·제공·보관·파기 단계별 의무사항 준수에 유의할 필요가 있습니다.


· 생체·행동 기반 인증을 활용하고자 하는 사업자는 자사 본인확인 과정에서 처리되는 정보가 일반적인 생체정보인지 생체인식정보인지, 생체인식 원본정보인지 특징정보인지 등을 검토하여 개인정보 보호법상 민감정보 해당여부를 판단해야 합니다.[15] 또한 처리되는 정보가 민감정보에 해당될 경우 적법한 동의절차 이행을 위한 동의서 개편은 물론 그 분실·도난·유출·위조·변조 또는 훼손을 방지하기 위해 안전성 확보에 필요한 조치를 적용해야 합니다(개인정보 보호법 제23조 제1항 제1호, 제2항, 제29조).


[각주 14] 개인정보보호법 시행령, 대통령령 제30892호,2020.8.4.일부개정2020.8.5.시행


[각주 15] 생체정보’는 특정 개인을 인증·식별하기 위한 목적으로 처리되는 ‘생체인증정보’와 인증·식별 목적이 아닌 개인에 관한특징(연령·성별·감정 등) 을 알아보기 위해 처리되는 ‘일반적인 생체정보’로 구분됩니다. 이중 ‘생체인증정보’는 다시 개인을 인증 또는 식별할 목적으로 입력장치 등 등을 통해수집·입력되는‘생체인식원본정보’와이로부터특징점을추출하는등일정한기술적수단을통해생성되는‘생체인식특징정보’로 구분되며, 이때 특징정보가 개인정보보호법 시행령 제18조제3호에 따른 민감정보에 해당합니다.


(5) 정보통신망법상 본인확인기관 등 관련 이슈

· 본인확인기관 지정을 추진하는 금융회사 및 전자금융업자 역시 늘어나고 있습니다.[16] [17]이에 따라 본인확인기관 지정을 준비하는 금융회사 등은 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 본인확인기관 지정 등에 관한 기준 등 관련법령의 개정 경과를 면밀히 살피면서 지정심사계획에 맞추어 ①자체 인증서 출시, ②전자서명인증사업자 인정, ③본인확인기관 지정으로 이어지는 인증서 사업을 계획·추진할 필요가 있습니다.


[각주 16] 특히 개정 전자서명법이 본인확인기관인 인정사업자만이 실지명의 확인을 할 수 있도록 규정하고(전자서명법 시행령 제9조 제1항 제1호), 실무상 실지명의 확인이 가능한 인증서·전자서명이 구 전자서명법 하에서의 공인인증서 및 공인전자서명을 대체하고 있어, 주요 사업자들은 본인확인기관으로 지정 받지 못해 실지명의 확인이 불가할 경우 전자서명인증사업자로서의 사업 범위에 상당한 제약이 발생할 것으로 판단한 것으로 이해됩니다.


[각주 17] 2022. 3. 현재까지 국민카드, 신한카드, 현대카드 등 8개 카드사와 비바리퍼블리카가 등이 본인확인기관으로 지정 받았으며, 카카오, 네이버 등은 2021. 3. 본인확인기관 지정심사과정에서 부적합 판단을 받은 바 있습니다. 최근 신한은행, 하나은행, 국민은행, 카카오뱅크가 뱅킹 앱 활성화 및 비용절감을 위해 본인확인기관 지정신청절차 진행 중에 있습니다.


· 2022. 3. 1. 부터 시행되는 본인확인기관 지정 등에 관한 기준의 경우, 기존에는 해당 고시에 명시된 92개 심사항목에 대해 모두 ‘적합’판정을 받은 사업자에 대해서만 본인확인기관으로 지정해 왔으나, 심사항목에 대한 경중 등을 고려해 점수평가제를 일부 도입하였습니다. 불필요한 항목은 삭제하고, 최신 기술·보안 이슈 등을 반영하여 심사항목(평가기준)을 기존 92개에서 87개로 재구성하였으며, 87개 심사항목 중 중요 심사항목(21개)과 계량평가 항목(2개)에 대해 ‘적합’ 평가를 받고, 나머지 심사항목(64개)에 대해 1,000점 만점에 800점 이상 획득한 경우 본인확인기관으로 지정될 수 있습니다. 중요 심사항목 및 계량평가 항목 ‘적합’, 총점 800점 미만인 경우 조건부로 지정될 수 있습니다.


· 정보통신 진흥 및 융합 활성화 등에 관한 특별법 제37조에 따라 과학기술정보통신부는 '행정·공공기관 고지서 모바일 전자고지 서비스'를 위하여 주민등록번호 수집·처리 법적 근거를 보유한 행정·공공기관의 요청에 한하여, 본인확인기관이 주민등록번호를 연계정보(CI)로 일괄 변환할 수 있도록 임시허가를 부여해왔습니다. 다만 해당 임시허가 유효기간은 최장 4년이며, 2019. 2. 14. 제1차 임시허가를 부여받은 서비스의 유지를 위해서는 유효기간 만료 전인 2023년 2월 이전에 정보통신망법에 CI 일괄변환을 위한 관련 근거 마련이 필요함에 따라 방송통신위원회는 해당 법제 정비 작업에 착수 중에 있습니다.


· 금융회사등은 본인확인기관 지정 신청에 앞서 은행법 등 개별 근거 법령상 부수업무 신고 요부, 내부 정관 및 규약 정비 요부 등을 사전에 점검해야 합니다.



3. 향후 전망

향후 다양한 인증·신원확인 기술이 발전하고 비대면 금융거래가 확대됨에 따라 인증 관련 규제개선이 지속될 것으로 보입니다. 이에 따라 사업자들은 관련법령 개정 동향 및 금융당국의 규제 추이, 해외 규제 동향 등을 주시하고, 유사·동종 업계의 우수·사고사례 등까지 고려하여 새로운 인증 기술·서비스 도입 여부를 결정할 수 있는 내부 체계를 구축할 필요가 있습니다.



이광욱 변호사 (kwlee@hwawoo.com)

이주용 변호사 (jylee@hwawoo.com)

이근우 변호사 (klee@hwawoo.com)

이수경 변호사 (sgyi@hwawoo.com)

최용호 변호사 (yhchoi@hwawoo.com)

주민석 변호사 (msjoo@yoonyang.com)

종합법무관리솔루션

관련 법조인