Skip to content

휴대폰 본인인증 #
Find similar titles

Structured data

Category
Programming
Description
휴대폰을 통한 본인인증 로직

본인인증의 목적 #

주민등록번호 수집 불가 정책(행정안전부)에 따라 대부분의 웹&앱 서비스는 본인인증을 통해 사용자를 식별한다. 이를 통해 서비스는 만 14세 이상 연령, 성인인증, 중복가입 여부를 확인할 수 있다. 이러한 인터넷 본인인증은 사용자의 개인정보가 유출될 리스크를 낮추며 개인정보보호 보안성이 향상될 수 있다.

본인인증 API #

인터넷 본인인증을 구현하기 위해서는 KCB, NICE 등 공식으로 지정된 본인확인 인증기관을 이용하거나, 이와 연계된 서비스를 제공하는 업체의 API를 이용해야 한다. 기본적으로 휴대폰, 공인인증서를 이용한 방법이 대표적이며 추가로 아이핀 인증, 계좌 인증 등이 있다. API는 본인인증이 성공적으로 완료되면 사용자의 개인정보와 CI, DI를 응답한다.

CI(Connecting information)란? #

CI는 주민등록번호를 암호화하여 생성된 88byte의 정보(영대/소문자+특수문자+숫자). 개인 고유번호인 주민등록번호를 단방향으로 HASH 처리하기 때문에 원래의 데이터로 복원이 불가능하다. 어느 업체에서 발급해도 고유하고 유일한 값으로 발급되므로 웹 사이트에서 사용자를 식별할 수 있는 값이 된다.

DI(Duplication Information)란 #

DI는 CI를 업체 정보와 연계하여 암호화한 64byte의 정보(영대/소문자+특수문자+숫자). 인증 업체별로 사용자에게 부여하는 고유번호이기 때문에 DI를 이용한다면 중복가입을 방지할 수 있다.

주의할 점 #

CI와 DI 모두 한번 발급받으면 다시는 변경되지 않는 고유한 값이다. 따라서 업체는 CI, DI 정보를 암호화하여 관리해야 한다. 특히 CI는 개인정보만으로 구성되어있기에 이를 메인으로 사용해서는 안 된다. 업체는 DI를 메인으로 사용자를 구분해야 한다. 또한, 주기적으로 사용자의 개인정보가 유출되지 않았는지 확인해야 한다.

CI와 DI의 단점 #

CI와 주민등록번호 #

CI는 주민등록번호에서 암호화된 값으로 고유하고 변경되지 않는다는 특징이 있다. 주민등록번호 수집을 금지하고자 도입한 CI이지만 사실상 주민등록번호와 1:1 매칭이 되고 있으며, 사용자 식별이 가능하다는 점에서 동일한 문제점이 발생하게 된다.

법적 보호 #

CI는 법적으로 보호가 강제되는 자원이지만 DI는 그렇지 않다. 무단으로 사용되고 있는 DI에 대한 규제가 강화되어 동일한 보호 대상으로 지정되어야 한다는 것이 대다수의 의견이다.

CI 오남용 #

CI는 한 번 부여되면 주민등록번호가 변경되지 않는 이상 변하지 않는 특징을 이용해 특정 기관, 업체에서 광범위하게 이용하고 있다. 사용자가 동의하지 않은 사이트에서 연락이 오는 등 개인정보가 무분별하게 사용되는 문제점이 발생한다.

0.0.1_20210630_7_v33