업계기사
글로벌 규제가 디지털 신원을 재편하다: 경영진이 알아야 할 핵심 사항
시다르트 간디, 1Kosmos 아태지역 최고운영책임자(COO), 작성
작성자: Siddharth Gandhi
보도일자: 2025년 8월 4일
출처: Biometricupdate.com
전 세계 정부들이 디지털 신원 규칙을 다시 쓰고 있는 가운데, 이 백오피스 IT 기능이 이제 이사회 차원의 컴플라이언스 필수 요건이 되었음이 분명해졌다. 그 대표적인 사례가 바로 인도다. 인도의 금융 규제 당국은 최근 세계에서 가장 엄격한 신원 규제를 제안했다.
무단 금융 거래를 방지하기 위해 고안된 인도의 새로운 기술 기반 조치는 브로커들이 거래 계정을 사용자의 모바일 SIM과 기기, 그리고 생체인증에 연동하도록 의무화한다. 그러나 이런 움직임은 인도만의 일이 아니다. 전 세계 주요 금융 허브에서도 유사한 규제들이 속속 등장하고 있다.
이는 일시적인 현상이 아니다. 장기적인 변화다. 모든 보안 리더들이 알아야 할 핵심 사항, 그리고 더 중요한 ‘다음에 무엇을 해야 하는지’가 여기에 있다.
전 세계로 확산되는 신원 확인 강화 움직임
여러 지역의 규제 당국이 특히 금융, 트레이딩, 결제 분야에서 신원 확인 요건을 강화하고 있다. 최근 몇 가지 사례는 다음과 같다.
인도: SEBI(증권거래위원회) 제안은 SIM, 기기, 거래 계정을 반드시 연동하고, 여기에 생체인증 로그인을 의무화한다. 동시에 인도중앙은행(RBI)은 고객을 사기와 자격 증명 탈취로부터 보호할 필요성을 언급하며, 은행들이 SMS 기반 OTP를 넘어서는 더 안전한 인증 방식을 모색하도록 촉구하고 있다.
필리핀: 정부는 국가 디지털 신원 프로그램인 PhilSys를 추진하며 생체 정보 등록과 이를 금융 및 통신 서비스에 통합하는 규정을 마련하고 있다. 은행과 핀테크 기업들은 이제 강력한 KYC(고객확인)와 신원 확인의 기반으로 PhilSys와의 정합성을 맞추도록 압박받고 있다.
싱가포르: 다수의 은행 앱에서 생체인증을 포함한 SingPass 디지털 신원 인증이 필수로 요구된다.
유럽연합(EU): PSD2의 강력한 고객 인증(SCA)은 다중 인증을 의무화하며, 종종 생체인증과 기기 검증을 함께 사용한다.
나이지리아: 통신 및 금융 서비스 모두에서 SIM은 국가 신분증 번호와 연동되어야 한다.
대한민국: 모바일 뱅킹과 트레이딩 플랫폼에서 SIM 기반 신원 인증이 필수로 요구된다.
아랍에미리트(UAE): 국가 디지털 신원 시스템은 금융 거래 서비스에 생체 기반 인증을 의무화하고 있다.
기술적 세부 사항은 다르지만, 패턴은 동일하다. 정부는 계정에 접근하는 사람이 누구인지, 이를 기기로 검증하고 생체인증으로 강화된 형태의 증명을 원하고 있다.
이들 규제가 공통적으로 지닌 특징
표면적으로는 차이가 있어 보이지만, 대부분의 규제는 CISO나 CDO가 이해해야 하는 공통된 구조를 가지고 있다.
우선 가장 중요한 것은 기기와 SIM 연동(Device & SIM Binding)의 확산이다. 이러한 규제의 상당수는 SIM 스왑 사기와 계정 탈취를 방지하는 데 초점을 맞추고 있으며, 이를 위해 모든 금융 계정을 인증된 모바일 기기와 SIM 카드에 직접 연동하도록 요구하고 있다. 사용자의 휴대폰 번호, 기기, 계정을 하나로 묶음으로써 규제 당국은 무단 접근의 장벽을 높이고 있다.
다음으로 생체인증이 선택적 부가 수단이 아닌 기본값(Default)으로 빠르게 자리 잡고 있다. 지문 인식, 얼굴 인식, 실시간 셀피 인증은 이제 여러 시장에서 의무화되고 있으며, 단순히 권장되는 수준이 아니다. 일부 규제 당국은 백업 수단으로 PIN이나 비밀번호를 허용하지만, 생체인증이 주된 인증 방식으로 자리잡아가고 있다.
또 하나 반복적으로 등장하는 요건은 QR 기반 다중 기기 로그인이다. 사용자가 데스크톱이나 노트북에서 계정에 접근해야 하는 경우, 규제 당국은 QR 코드 기반 로그인을 장려하고 있다. 이러한 시스템은 인증된 모바일 기기를 통해 새 세션을 승인하며, 보통 근접성과 시간 제한이 적용된 QR 코드를 사용하고, 기기 간 활성 세션을 관리·해지하기 위한 강력한 제어 기능을 갖춘다.
규제는 또한 강력한 복구 메커니즘을 일관되게 요구한다. 기기와 SIM이 분실되거나 손상될 가능성을 고려해, 규제 당국은 기업이 안전한 복구 옵션을 제공하도록 한다. 여기에는 보통 신규 기기 등록을 허용하기 전에 정부 발급 신분증 확인, 화상 KYC 절차, 또는 통신사 기반의 검증 등을 통한 사용자 신원 재확인이 포함된다.
일부 시장에서는 규제 당국이 가족 계정 관리 문제도 다루고 있다. 특히 가정 내 트레이딩이나 투자 시나리오에서 공유 기기가 흔하다는 점을 인식한 것이다. 이러한 프레임워크는 하나의 기기에 여러 계정을 공식적으로 연동할 수 있도록 허용하되, 안전한 접근 관리를 위해 공식 동의와 감사 가능한 절차를 요구한다.
마지막으로, 거의 모든 규제는 프라이버시 및 설계 단계에서의 컴플라이언스(Privacy & Compliance by Design)를 강조한다. 민감한 시원 데이터의 암호화, 사용자 제어형 등의 메커니즘, FIDO2, ISO/IEC 30107-3 등 공인 보안 표준 준수는 이제 많은 규제에 내재되어 있다. 규제 당국은 단순히 사기를 방지하는 데 그치지 않고, 그 과정에서 프라이버시와 데이터 보안을 보호하는 것에도 똑같이 관심을 기울이고 있다.
경영진이 지금 취해야 할 조치
이번 신원 확인 흐름은 단순히 컴플라이언스 체크리스트를 채우는 데 그치지 않는다. 규제에 기반해 조직의 보안 수준을 향상시키고, 사기를 줄이며, 사용자 경험까지 개선할 수 있는 기회를 제공한다. 다음은 집중해야 할 핵심 사항이다.
사용자 여정 초기에 기기와 SIM을 연동하라. 온보딩 단계에서 기기, SIM, 계정 연동을 설정하라. 이를 통해 첫날부터 사용자와 기기 간에 강력한 암호화 연결을 구축할 수 있다.
생체인증을 기본 로그인 방식으로 설정하라. 일상적인 로그인을 위해 Face ID, 지문 인식 등 기기 내장 생체인식을 사용하라. 고위험 거래의 경우, 라이브 셀피를 통한 얼굴 매칭과 같은 고급 생체검사와 생체감지(Liveness Detection)를 결합해 강력한 신원 확인과 스푸핑 방지를 보장하라.
QR 기반 다중 기기 로그인과 철저한 세션 관리를 활성화하라. 데스크톱과 보조 기기에 QR 코드 기반 로그인을 도입하되, 사용자가 자신의 기본 모바일 기기에서 이러한 세션을 직접 모니터링·제한·해지할 수 있도록 해야 한다.
강력한 복구 메커니즘에 투자하라. 분실 기기에 대비해 안전하고 간소화된 복구 옵션을 제공하라. 정부 발급 신분증이나 통신사 인증을 활용한 신원 검증을 통해 재연동(re-binding)을 진행하고, 다중 인증(MFA)을 적용해 예비 요건(fallback requirements)에 부합하도록 하라.
공식적으로 승인된 가족 계정 연동을 지원하라. 하나의 기기/SIM이 여러 관련 계정에 승인될 수 있도록 유연한 신원 관리와 동의 기반 연동을 제공하되, 권한은 문서화된 절차를 통해 안전하게 관리하라.
신원 관리 아키텍처에서 설계 단계부터 프라이버시를 우선시하라. 정지 상태와 전송 중인 신원 데이터를 모두 암호화하고, 분산 원장(distributed ledger)과 같이 사용자만 개인 키를 통해 데이터에 접근할 수 있는 개인적·허가 기반 저장 모델을 채택하라. 또한 FIDO2, NIST 800-63-3, ISO/IEC 30107-1/3, SOC 2, ISO 27001 등 표준에 부합하도록 접근 방식을 정렬하라.
전 세계적으로 높아지는 규제 요건에 직면해, 조직은 오늘날 현대적이고 적응형이며 표준 기반의 신원 시스템에 투자하는 것을 고려해야 한다. 지금 신원 아키텍처에 유연성을 내재화하는 것은 사기와 데이터 유출을 방지하면서, 원활하고 안전한 사용자 경험을 제공할 수 있는 미래 대비 전략이 된다.
저자 소개
시다르트 간디는 1Kosmos의 공동 창립자이자 아시아 태평양 지역 COO로, 이 지역의 전략적 성장과 운영을 총괄하고 있다. 엔터프라이즈 기술과 사이버 보안 분야에서 20년이 넘는 경험을 보유한 그는 RSA 시큐리티, NetIQ, Sify 테크놀로지스 등 여러 기업에서 리더십 역할을 맡아왔다. 그의 경력은 신원 관리, 사기 방지, 안전한 접근 솔루션 전반을 아우르며, 정부와 대기업이 디지털 신원 인프라를 현대화하도록 지원하는 데 중점을 두고 있다.
