'카메라로 찰칵'…비대면 신분증 진위확인, 얼마나 믿을 수 있을까?

[IT동아 권택경 기자] 요즘에는 어지간하면 은행 갈 일이 없을 정도로 비대면 금융거래가 일상화됐다. 신분증 확인 절차도 스마트폰으로 사진을 찍기만 하면 되니, 정말 편리하지 않을 수 없다. 그런데 잠깐, 편리함과 보안성은 반비례라는 말도 있지 않은가? 대면도 하지 않고 이렇게 신분증 사진만 가지고 본인 인증을 하는 게 과연 얼마나 정확하고, 안전할까?

실제로 아이티동아에 이런 의구심을 자극할 만한 제보가 들어왔다. 제보자가 전한 자초지종은 이렇다. 신분증에 있는 사진이 많이 훼손된 상태라 인증이 불가능하길래, 그 위에 증명사진을 올려놓고 촬영을 했더니 인증이 됐다는 것이다.

본인 증명사진을 썼다곤 하나, 엄연히 신분증에 새겨진 사진과는 다른 사진이다. 만약 이런 방식으로도 인증이 된다면 본인 사진이 아닌 다른 사람 사진의 경우는 어떨까?

실제로 직접 KB스타뱅킹 앱으로 실험을 해봤다. 신분증 위에 신분증에 있는 사진과는 다른 증명사진을 올려놓고 촬영을 했더니 정상적으로 인증이 됐다. 지인에게도 같은 테스트를 부탁해봤다. 마찬가지로 정상적으로 인증이 됐다. 이번엔 전혀 다른 엉뚱한 사람 사진을 올려놓고 촬영을 해봤다. 우려와 달리 이 경우에는 인증이 불가능했다.

결국 신분증에 있는 사진과 다르더라도 같은 사람 사진이라면 인증이 되지만, 다른 사람이라면 인증이 되지 않는 셈이다. 이 신분증 확인은 어떤 절차로 이뤄지길래 이런 결과가 나오는 걸까?

진위 판별은 '알고리즘' 몫

신분증 위변조 여부를 확인하는 방법은 크게 두 가지로 나뉜다. 이름, 주민등록번호와 발급 일자 등 정보만 가지고 확인하는 방식과 신분증에 있는 증명사진까지 확인하는 방식이다. 전자는 분실한 주민등록증인지, 재발급 이전의 주민등록증인지 간단히 확인하는 용도로 활용할 수 있다. 정부24 홈페이지 민원을 이용하면 누구나 이 방법으로 주민등록증 진위 여부를 바로 알 수 있다.

그러나 은행에서는 이름, 주민등록번호, 발급일 확인에 더해 증명사진 일치 여부까지 확인하는 방식을 쓴다. 앱에서 신분증 사진을 촬영하면 이 데이터를 금융결제원이 행정안전부의 행정정보공동이용망에 등록된 원본 데이터와 대조해서 일치 여부를 판단한다. 이 과정은 물론, 사람이 아니라 알고리즘에 의해 이뤄진다.

그렇다면 신분증에 원래 있던 증명사진과 다른 증명사진으로도 인증이 되는 상황을 어떻게 설명해야 할까? 금융결제원에 따르면 신분증 사진을 대조할 때는 촬영한 사진을 그대로 대조하는 게 아니라 사진에서 추출한 ‘특징점’을 대조하는 방식을 쓴다. 특징점이란 사진에 나타난 주요한 특징들을 인공지능 알고리즘으로 수치화한 정보를 말한다.

원칙적으로는 동일 인물이라고 해도 사진이 다르다면 인증이 되지 않아야 정상이지만, 같은 사람이 비슷한 구도로 찍은 사진이라면 인증이 될 가능성도 없지는 않다는 것이다. 다시 말해 우리 눈엔 좀 다르게 보이더라도 알고리즘이 판단했을 때 특징점이 비슷한 사진이라면 인증이 가능한 셈이다.

다만 어디까지나 ‘그럴 가능성도 있다’는 얘기일 뿐이다. 원칙적으로는 아무리 같은 사람 사진이라도, 사진이 다르다면 인증이 되지 않아야 하는 상황에서 인증이 됐다는 점에서 문제의 소지가 없지는 않다. 그런 점에서 금결원 관계자도 이 문제에 관해 “확인이 필요할 것 같다”는 입장을 밝혔다. 다만 동일 인물이 아닌, 다른 사람 사진을 적용했을 때 인증이 될 가능성은 0에 수렴한다고 잘라 말했다.

금융결제원은 통보만, 판단은 은행이

반대로 본인 신분증이 맞더라도 신분증이 오래됐거나, 사진이 훼손됐거나, 제대로 촬영이 되지 않아 인증이 안 되는 경우는 비교적 흔하다. 신분증 인증 시스템의 정확도가 문제가 되는 건 대부분 이런 경우다. 본인 신분증이 맞는데도 인증 불일치가 뜨는 경우가 적지 않다 보니, 거래 고객을 놓치고 싶지 않은 은행 측이 불일치 통보를 무시하는 일도 벌어진다.

지난해 4월 위조범이 위변조 신분증으로 한 인터넷 은행에서 계좌를 개설한 사건이 이런 경우였다. 금융결제원 시스템은 ‘불일치’ 통보를 했지만, 이 은행은 임의로 계좌 개설 절차를 진행했다. 금융결제원 시스템은 어디까지나 판정 결과를 통보할 뿐, 거래를 진행할지 말지는 순전히 은행 판단이다. 물론 이런 경우 영상통화와 같은 추가 확인 절차를 거친다. 하지만 이 사건에서 은행 측은 영상통화로도 위변조 신분증을 걸러내지 못했다. 결국 사람이 하는 일이다 보니 허점이 있었다.

다행히 앞으로는 위변조 신분증에 의한 보안 문제 걱정을 좀 덜 해도 될 전망이다. 행정안전부가 블록체인 기반 DID(Decentralized Identifier)라는 기술을 활용한 디지털 신분증 도입을 추진하고 있기 때문이다. 신분증 진위를 확인할 수 있는 정보를 암호화한 뒤 여러 곳에 분산해서 저장하기 때문에 위변조가 사실상 불가능하다. 조만간 금융 거래를 포함한 여러 분야에 널리 활용할 수 있을 것으로 기대된다.

글 / IT동아 권택경 (tk@itdonga.com)