진 팡, 컨설트 하이페리온 수석 컨설턴트(Fime 자문), 작성

 

작성자: Jean Fang

보도일자: 2025년 8월 4일

출처: Biometricupdate.com

 

동남아시아 전역의 금융기관들이 신원 사기와 금융 사기의 급격한 증가에 직면하고 있다. Sumsub이 발표한 APAC 신원 사기 보고서에 따르면, 싱가포르·태국·인도네시아 등 일부 국가에서는 신원 사기가 200% 이상 급증하며 이 지역 전반에서 급격한 증가세를 보이고 있다.

사기범들은 점점 더 정교해지고 있으며, 첨단 기술을 활용하고 기존 시스템과 인간 행동의 취약점을 악용하고 있다. AI 기반 도구는 문서 위조와 매우 그럴듯한 딥페이크 제작에 널리 사용되어, 초기 신원 확인 절차에서 신뢰할 수 있는 사용자로 위장하거나 생체인식 시스템을 속이는 데 악용되고 있다. 이러한 사기 행위는 KYC(고객확인) 프로세스가 포함된 초기 온보딩(신원 확인) 단계부터, 고객 계정의 지속적인 인증 단계에 이르기까지 전 과정에 걸쳐 발생한다. 이처럼 갈수록 적대적인 디지털 환경 속에서 금융기관은 다음과 같은 핵심 목표들을 시급히 해결해야 한다.

 

규제 준수 달성: 요구된 기한 내에 엄격한 규정을 준수해야 한다. 규제 불이행은 막대한 벌금, 평판 손상, 운영 제한으로 이어질 수 있다.

 

사기 행위로 인한 재무 손실 방지: 사기로 인한 직접적인 재무 손실은 상당할 수 있으며, 이는 수익성과 안정성에 타격을 줄 수 있다. 자산을 보호하기 위해서는 강력한 신원 인증 및 사기 방지 메커니즘이 필수적이다.

 

브랜드 보호 및 고객 신뢰 유지: 계정 탈취(ATO), 딥페이크, AI 기반 사기 등 정교한 공격과 사기의 확산은 고객 신뢰를 직접적으로 약화시키고 은행의 평판을 손상시킨다. 치열한 금융 환경에서 신뢰를 유지하는 것은 무엇보다 중요하다.

 

고도화된 사기 대응을 위한 규제 관리 강화

동남아시아 전역의 중앙은행과 규제 당국은 생체인식, 다중 인증(MFA), 고급 사기 관리 시스템의 의무 도입을 통해 디지털 보안을 강화하고, 신원 인증을 개선하며, 금융 사기를 방지하기 위한 노력을 가속화하고 있다. 이러한 움직임은 KYC와 인증 단계에서 급증하는 사기 행위에 직접 대응하는 것이다.

 

말레이시아에서는 말레이시아 중앙은행(BNM)이 2024년 4월 개정한 e-KYC 정책을 통해 안전하고 효과적이며 위험 비율에 적합한 e-KYC 조치를 의무화했다. e-KYC 솔루션 기술 공급업체는 문서 검증, 생체 매칭, 생체감지(liveness detection) 모듈을 ISO 19794-5 및 ISO 30107-3 등 표준에 따라 신뢰할 수 있는 외부 독립 평가기관으로부터 평가받아야 한다. 금융기관은 이러한 요건을 3년마다 또는 주요 변경 발생 시마다 재검토해야 한다.

 

필리핀에서는 필리핀 중앙은행(BSP)이 금융계좌 사기 방지법(AFASA)에 따라, 감독 대상 기관이 2026년 6월까지 사기 관리 시스템을 개선하도록 요구하고 있다. 이는 강력한 인증을 강조하며, SMS·이메일 OTP처럼 사회공학적 공격에 취약한 방법의 사용을 제한한다. 권장 방법으로는 생체인증(지문, 얼굴, 음성 인식)과 행동 기반 생체인증을, 그리고 상황 기반 적응형 인증을 결합한 방식을 포함한다.

 

싱가포르에서는 싱가포르통화청(MAS)이 2025년 6월 개정된 지침을 발표하며, 금융 기관이 2025년 9월 12일까지 온라인 금융 서비스에 대해 2단계 인증(2FA)을 시행할 것을 강력히 요구했다.

 

태국에서는 태국 중앙은행(BOT)이 2023년 9월 금융 서비스에서의 생체인식 기술 도입 가이드라인(Guideline for Biometric Technology Adoption in Financial Services)을 발표했다. 이 지침은 안전한 생체인식 활용을 촉진하며, ISO·NIST·FIDO 생체인식 요건 등 국제 표준 준수를 강조하고, 특히 생체 데이터와 제3자 공급업체가 포함된 시스템에 대해 외부 평가를 요구한다.

 

베트남에서는 2024년 7월부터 디지털 거래에 대한 엔드 투 엔드(end-to-end) 생체 인증을 의무화했으며, 특히 1,000만 VND 이상 송금 시 스마트폰 카메라를 통한 얼굴 인식 스캔을 요구한다. 2024년 50호 회칙(Circular 50/2024/TT-NHNN)은 온라인 뱅킹 서비스 제공자가 2026년 7월 1일부터 프레젠테이션 공격 탐지(PAD)에 대해 ISO 30107-3을 충족하고, FIDO 인증을 획득하도록 규정하고 있다. 이러한 솔루션은 FIDO Alliance가 인정한 기관에서 테스트를 받아야 한다.

 

규제 당국이 설정한 이러한 마일스톤을 충족하지 못하면 은행 서비스에 중단이 발생할 수 있으며, 이는 비즈니스에 부정적 영향을 미치고 고객 신뢰 저하로 이어질 수 있다.

 

공급업체 선정 및 적격성 평가의 과제

명확한 기준과 필요한 솔루션에 대한 충분한 이해가 있더라도, 금융기관이 eKYC 공급업체를 선정하고 적격성을 평가하는 과정은 여러 과제로 가득 차 있다

 

내부 전문성 부족: 특히 고급 디지털 신원 솔루션에 익숙하지 않은 많은 금융기관은 AI 기반 위험 평가, 생체인식, 생체감지(liveness detection), FIDO 표준과 같은 복잡한 기술을 철저히 평가할 수 있는 사내 기술 지식을 갖추고 있지 않다. 이는 위험을 과소평가하거나 공급업체의 역량을 과대평가하는 결과를 초래할 수 있다.

 

통합의 복잡성: 최신 eKYC 솔루션은 은행의 복잡한 기존 레거시 시스템과 원활하게 통합되어야 하며, 이 과정에서 상당한 기술적 장애, 예기치 못한 비용, 프로젝트 지연이 발생하는 경우가 많다.

 

벤더 종속(Lock-in vendor): 독점 솔루션을 선택하면 단일 공급업체에 장기적으로 의존하게 되어, 해당 솔루션이 부적합하거나 더 나은 기술이 등장했을 때 전환이 어렵고 비용도 많이 든다. 이는 유연성과 향후 혁신을 저해한다.

 

변화하는 규제 환경: 규제 변화 속도가 매우 빠르기 때문에, 오늘날 규정을 준수하는 솔루션이 내일은 비준수 상태가 될 수 있다. 금융기관은 최신 규제에 발맞출 뿐만 아니라 새로운 의무사항에 적극적으로 대응할 수 있는 파트너가 필요하다.

 

투자 낭비: 최종적으로 성능이 저조한 솔루션(예: 사기 탐지에서 높은 오탐률, 정상 고객에서 높은 누락률)에 막대한 투자를 하면 자원이 낭비되고 위험 노출이 계속된다. 비효율적이거나 자격이 부족한 솔루션은 기대했던 이익을 빠르게 잠식하여, 투자를 재정적 부담으로 바꿔버릴 수 있다.

 

운영 리스크 과소평가: 특히 다양한 시장에서는, 새로운 eKYC 솔루션이 고객 여정과 내부 프로세스에 미치는 운영적 영향을 깊이 있는 맥락 이해와 지역별 사례 연구 없이 예측하기 어렵다.

 

데이터 보안 및 개인정보 보호 우려: 민감한 고객 데이터를 제3자에게 맡기려면, 해당 업체의 프로토콜, 데이터 처리 방식, 현지 데이터 거주 요건 및 개인정보 보호법 준수 여부에 대한 철저한 심사가 필수적이다.

 

이러한 복잡성은 철저하고, 정보에 기반하며, 독립적인 평가 프로세스의 필요성을 분명히 보여준다.

 

공급업체 선정 및 적격성 평가 시 고려해야 할 핵심 분야

신원 확인 및 인증 솔루션 공급업체를 선정할 때는, 선택한 솔루션이 조직의 특정 요구사항과 규제 요건에 부합하도록 포괄적인 평가가 필수적이다. 이 평가는 다음과 같은 핵심 분야를 다룬다.

 

적용 범위(Coverage): 이는 지리적 범위와 신원 확인·인증 기능을 포함한다. 예를 들어 신분증 진위 검증, 생체 매칭, 생체감지(liveness detection), AI 기반 위험 분석 솔루션 등이 해당된다. 솔루션이 미래 지향적(future-proof)이어야 하며, 디지털 신원 프로그램이나 새로운 결제 사례 등 변화하는 요구사항에 적응할 수 있는지도 중요한 평가 요소다.

 

품질(Quality): 이는 공급업체가 솔루션 개발에 사용하는 데이터의 신뢰성과 출처에 초점을 맞춘다. 조직은 데이터 출처의 신뢰성과 잠재적인 품질 문제를 면밀히 검토해야 한다. 중복 제거, 매칭, 교차 검증 도구의 효과성은 품질을 판단하는 중요한 지표가 된다.

 

효율성(Efficiency): 솔루션의 자동화 수준, 디지털화 정도, 지원되는 고객 상호작용 채널을 평가한다. 주요 목표는 데이터 검증에 필요한 수작업을 최소화하면서 사용자 여정의 마찰을 줄이고 고객 경험을 향상시키는 것이다.

 

지원(Support): 솔루션 개발과 지속적인 운영 관리에서 공급업체의 서비스 수준을 평가한다. 성능 저하나 사기 증가와 같은 문제에 대응할 수 있는 능력을 확인하는 것이 중요하다. 공급업체의 안정성, 다양한 운영체제에서의 일관된 성능도 핵심 요소다.

 

성숙도(Maturity): 솔루션의 검증된 실적을 평가한다. 여기에는 테스트 방법론, 성능 지표, 관련 외부 인증에 대한 이해가 포함된다.

 

보안(Security): 이는 가장 중요한 요소로, 솔루션이 공격에 대한 저항력과 가짜 또는 합성 신원을 탐지하는 능력에 초점을 맞춘다. 공급업체는 외부 인증 등 기술 성능을 입증할 수 있는 검증 가능한 증거를 제공해야 한다. 계정 탈취와 기타 사이버 공격에 대한 방어력, 비정상 행동 모니터링 등 위험 평가 메커니즘과 통합된 사기 탐지·방지 조치가 핵심이다. 또한 피싱이나 사회공학적 공격과 관련된 위험을 완화할 수 있는 대안을 제공할 수 있는 능력도 필수적이다.

 

규제 준수(Compliance): 이는 매우 중요한 요소로, 솔루션이 AML(자금세탁방지), KYC(고객확인), CDD(고객실사) 및 대상 국가의 적용 정책에 따른 개인정보 보호법을 준수한다는 보장이 필요하다. 일부 규제는 지정된 표준 준수를 입증하기 위해 외부 평가기관이나 감사기관의 증빙이나 인증을 요구할 수 있다.

 

안전한 디지털 미래를 위한 전문가 파트너와의 협력

디지털 신원 인증, 사기, 규제 준수라는 험난한 과정을 항해하려면 단순한 내부 검토만으로는 충분하지 않다. 금융기관은 이 중요한 여정을 전 과정에 걸쳐 지원할 수 있는 신뢰할 수 있고, 전문성을 갖추며, 중립적인 파트너가 필요하다.

 

저자 소개

진 팡은 Fime의 자문을 받아 디지털 신원 및 결제 시장에서 컨설팅 서비스를 제공하는 컨설트 하이페리온(Consult Hyperion)의 수석 컨설턴트로, 생체인식과 인증 분야에 중점을 두고 있다.