네이버·카카오·토스, 본인확인기관 신청 고배

토스는 대체인증 수단 발급 못해, 네이버·카카오는 대체수단 탈취 우려

방송/통신입력 :2021/03/09 16:58    수정: 2021/03/09 17:07

네이버, 카카오, 비바리퍼블리카(토스)가 정부에 신청한 신규 본인확인기관 심사에 탈락했다. 자격 요건 미달로 추가심사를 거쳤지만, 엄격한 기준을 갖춰야 하는 본인확인기관 지정 기준에 미치지 못했다.

방송통신위원회는 9일 전체회의를 열고 토스, 네이버, 카카오가 신청한 신규 본인확인기관으로 지정하기 어렵다고 결론을 내렸다.

본인확인기관은 주민등록번호를 사용하지 않고 대체 인증 수단을 제공하는 곳으로 방통위의 심사를 거쳐야 한다. 과거 일부 기업에 의해 주민번호가 대량으로 유출되는 사고가 빈번하게 일어나면서 인터넷 상에서 주민번호 활용을 최대한 억제하기 위해 도입된 제도다.

방통위 심사를 거쳐 본인확인기관에 지정되면 주민번호를 수집할 수 있고 정보통신서비스 제공자에 대체인증수단을 제공하는 방식의 본인확인업무를 수행할 수 있다.

이날 지정이 거부된 3개 법인은 한국무역정보통신과 함께 심사를 받기 시작했지만, 개인정보 가운데 높은 관리 수준을 요구하는 주민번호를 수집하고 이용하는 특별허가에 해당하는 만큼 첫 심사에서 기술적 보안 수준과 다른 서비스 연관성 등을 살피기 위해 추가 심사를 받았다.

사진 = 이미지투데이

■ 본인확인기관 기본 기준에 못 미쳐

심사 결과에 따르면 토스는 본인확인정보의 발급과 대체 수단을 생성하고 발급하는 설비를 갖추지 않았다. 본인확인기관의 기본적인 요건을 갖추지 않았다는 설명이다.

네이버와 카카오는 주민번호 대체수단을 발급하지만 실제 이용자와 같은지 확인할 수 없다는 점이 발목을 잡았다.

이소라 방통위 인터넷이용자정책과장은 “토스는 본인확인 시스템을 별도로 구축했지만 본인확인 위한 주민번호 대체수단을 직접 생성치 않고 다른 기관의 수단을 활용해 본인확인 서비스를 제공할 계획으로 대체수단 발급설비를 갖추지 않았다”고 설명했다.

또 “이에 따라 본인확인정보 발급, 본인확인정보, 중복가입확인정보, 연계정보를 관리하고 제공하기 위한 설비 항목에서 부적합하다”고 덧붙였다.

이소라 과장은 또 “카카오와 네이버는 기존 비실명 계정에 가입된 회원에게 본인확인서비스를 제공하기 위해 주민등록번호 대체수단을 발급하지만, 대체수단 소유자와 실제 이용자의 동일성 여부를 식별할 수 없어 대체수단 탈취나 해킹 등의 부정이용 가능성이 존재한다”고 밝혔다.


■ 식별정보는 안전이 우선...다른 목적 사용은 안 돼

본인확인 지정기준에 미치지 못한 점과 외부 심사위원회 심사의견을 더해 본인확인기관을 지정하기 어렵다는 게 사무처의 결론이다.

이같은 결론에 방통위 상임위원들은 모두 같은 뜻을 밝혔다.

김효재 상임위원은 “토스는 조건부 허가를 요구하지만 기본적으로 부적합하다고 판단된다”면서 “과거 유사사례는 부적합 사항이 아니라 적합하지만 경미하게 개선할 부분을 지적해 개선계획을 제출하면 이행점검을 통해 지정했던 것이기 때문에 이 사례와는 다르다”고 지적했다.

이어, “네이버와 카카오는 근본적으로 해결해야 할 부분인데 본인 확인은 ‘내가 나다’라는 유일성을 입증해야 하는데 탈취 우려가 있다는 전문가 의견을 해결할 명확한 방법이 없다면 국가기관에서 본인확인인증기관으로 지정하기 어렵다”고 덧붙였다.

안형환 상임위원은 “신청기관들이 새롭고 혁신적인 본인확인서비스를 준비해 출시할 수도 있고 이를 고려할 필요도 있다”면서도 “그러나 인터넷 상에서 주민번호 수집의 최소화라는 취지와 보안성, 이용자 보호를 종합적으로 고려할 때 심사위의 심사 결과에 동의한다”고 말했다.

관련기사

안 위원은 또 “향후 비대면 디지털 사회로 진입이 본격화돼 기존 통신사나 인터넷 사업자 외에도 본인확인기관 신청에 관심을 가질 것”이라며 “서비스 수요와 안정성을 고려한 적정기관의 수가 몇이나 되는지 고려할 필요가 있고 효율적인 심사 절차 개선 논의도 필요하다”고 강조했다.

한상혁 위원장은 “심사 과정에서 최소한의 이용자 편익 요구와 민간 개인정보를 수집하는 만큼 보호와 안전에 가치를 둬야 한다는 의견을 종합적으로 검토했다”며 “본인확인기관은 식별정보를 취급하는 사업자인데 목적 외 방식으로 식별정보를 활용하다가 사고가 발생하고 이후에 대응하는 것은 많은 문제점이 있을 수 있다”고 말했다.