방송통신위원회(이하 방통위)는 지난 2012년 SK텔레콤, 케이티, LG유플러스를 본인확인 기관으로 지정하고 매년 정기점검을 시행하고 있으며, 금년에는 5월 본인확인기관인 통신사를 대상으로 정기점검을 실시하였다.

 금년 방통위는 ▲본인확인서비스 모듈 관리 강화, ▲본인확인 결과로 제공되는 정보 최소화, ▲본인확인 이력정보 보관기간 최소화, ▲본인확인서비스 이용사 정보관리 강화, ▲개인정보 처리 동의내용 관리 강화, ▲소켓방식의 최소화 등의 항목에 대한 개선조치를 요구하였다.

 특히, 금번 방통위 지적사항은 각 대행사와 가맹점(서비스 이용사)간의 개인정보 관리에 대하여 집중적인 개선을 요청하고 있다. 본인확인기관으로 방통위의 점검을 받는 통신사는 NHN한국사이버결제, NICE평가정보, 다날, 드림시큐리티, 에스씨아이평가정보, 케이지모빌리언스, 코리아크레딧뷰로, 한국모바일인증 등(이상 대행사)을 통하여 휴대폰본인확인 서비스를 공급하고 있으며, 각 대행사는 통신사의 본인확인시스템과 가맹점(서비스 이용사)을 연결하는 역할을 담당하게 된다.

 모바일인증표준협회는 각 대행사와 가맹점간 연동을 목적으로 배포된 서비스 모듈에 대하여 버전관리 및 취약성 점검의 강화를 주문하였으며, 취약성 점검 후 업데이트가 필요한 모듈의 경우 즉시 교체를 진행할 수 있는 프로세스 마련을 요구하고 있다. 이를 위해서 각 대행사는 2019년 12월까지 전체 배포 모듈을 재점검 예정이다.

< 모바일인증표준협회 개요 > 

 그리고, 본인확인서비스 이용목적에 따라 각 가맹점에 제공되는 정보를 세분화하여 제공할 것을 요구하고 있다. 현재 본인확인서비스는 본인확인 완료 후 ‘성명, 생년월일, 성별, 휴대폰번호’ 등의 본인확인정보를 가맹점에 제공하고 있는데, 성년확인을 위하여 본인확인서비스를 이용할 경우에는 생년월일 정보만을 제공하여, 각 가맹점의 불필요한 개인정보의 오남용을 제한하는 것이 목적이다.

 기술적으로 대행사는 가맹점과 통신사의 본인확인시스템을 연결하기 위하여, 자체적으로 개발한 모듈을 가맹점과 연결하고 본인확인을 위한 본인확인정보 입력창을 제공하고 있다. 이때 대행사와 각 가맹점 간의 연동방식은 표준창 방식, 소켓방식으로 구분되어 개인정보관리 측면에서 차이가 있으며, 금번 방통위 정기점검에서는 소켓방식 공급의 중단을 요구하고 있다.

  표준창 방식의 경우 본인확인기관인 통신사의 가이드에 따라 운영되며, 개인정보관리를 본인확인기관의 관리 하에 있는 대행사가 직접 수행하고 있는데 반해, 소켓방식의 경우 각 가맹점에서 개인고객으로부터 개인정보를 입력 받아 이를 대행사에 제공하는 방식으로 구성되어, 본인확인기관이 개인정보를 관리하는 것과 외부 공격을 차단하는 데에 한계가 있다는 것이 방통위의 지적사항이다.

 통신사와 대행사(8개사)로 구성된 모바일인증표준협회는 지난 7월 방통위 지적사항을 확인하고 조치계획을 수립하여, 금월부터 각 가맹점에 해당내용을 안내하고 이행작업을 진행하고 있다.

​

 특히, 통신사는 이번 방통위 점검의 조치계획의 일환으로 2020년부터는 정보보안 및 관리에 취약한 소켓방식 인증은 전면 중단하고 모든 인증은 표준창 방식을 통해 이루어질 수 있도록 조치하기로 하였다. 통신사 관계자는 “소켓방식 인증 중단으로 인해 발생할 수 있는 고객 혼선을 줄이기 위해 대고객 캠페인 진행 등 충분한 홍보와 조정기간 확보에 힘쓸 예정”이라고 밝혔다. 그리고, 이와 같은 조치계획 이행에 따라 “휴대폰본인확인 서비스에 대한 안전성과 신뢰성을 제고할 수 있을 것으로 기대”하며, “대행사, 가맹점 간의 프로세스를 보완하여 개인정보보호를 위해 더욱 노력하겠다”고 밝혔다.