내 서비스에는 어떤 인증이 필요할까?

9분

2022.08.25.

34.9K

본인 인증은 시스템에 정당한 가입자가 접근했는지 확인하는 절차입니다. 인증은 보안상 꼭 필요한 절차이지만, 한편으로는 경험의 일관성을 방해하거나 너무 복잡해서 서비스 사용 의욕을 떨어뜨리기 때문에 사용자에게는 불편한 과정으로 인식됩니다. 그렇기 때문에 서비스의 특성에 따라 꼭 필요할 때만 적용하는 것이 중요한데요. 언제 어떤 인증 방식을 적용하면 좋을지 인증의 종류와 장단점, 이에 대한 해결 방법을 정리해 보았습니다.

인증의 종류

엄밀하게 인증은 본인확인기관에 본인임을 확인하는 본인 ‘확인’과 확인받은 수단을 서비스에서 활용하는 본인 ‘인증’으로 구분됩니다. 하지만 의미가 비슷해 보통 혼용되어 사용하고 있습니다. 인증은 회원정보 수집 후 이 정보를 활용해 마케팅을 하는 데 주로 사용되는데, 은행과 같이 가입자가 꼭 본인이어야 하는 서비스일수록 그 중요성이 커집니다. 이러한 본인인증에는 크게 다음과 같은 방식이 활용됩니다.

1) 지식 기반 인증: 아이디, 비밀번호 로그인

지식기반 인증은 자기가 알고 있는 정보를 활용해 인증하는 것으로써 대표적인 예로 아이디(이메일), 비밀번호를 활용한 로그인이 있습니다. 이런 지식 기반 인증은 검증이 확실하고 관리비용이 저렴한 장점 때문에 가장 널리 쓰이는 방식이기도 합니다. 하지만 그만큼 여러 가지 불편한 점을 안고 있습니다. 가장 큰 단점은 바로 기억하기 어렵다는 것인데요. 특히 비밀번호는 대부분 보안을 위해 설정 조건이 까다롭고 사이트마다 서로 다른 조건을 가진 경우가 많아 자주 들어가지 않는 사이트일수록 잘 잊어버리기 쉽습니다.

2) 소유 기반 인증: 공동인증(공인인증)

공동인증은 사용자가 가진 소유물을 확인해 인증하는 방법인 소유 기반 인증 방식에 해당합니다. 본래 공동인증서(공인인증서)는 정부에서 지정한 코스콤, 한국정보인증 등 5개의 본인확인기관에서만 발급할 수 있었는데요. 작년 12월 전자서명법이 폐지되면서 본인확인기관 자격을 획득할 시 사설인증 서비스를 출시하는 것이 가능해졌습니다. 다만 인증서는 암호화된 일종의 파일이기 때문에 한 번 분실하면 인증이 어렵고 다시 발급받아야만 합니다. 또 불법 복제처럼 타인의 도용 위험이 있어 안전성을 위해 다른 방식의 인증과 혼합해 쓰입니다.

3) 기기 기반 인증: 휴대폰 본인확인

핸드폰 본인확인은 본인확인기관인 통신사의 가입자 정보를 비교해 사용자가 실제 핸드폰 주인인지 검증하는 방법입니다. 입력창에 생년월일, 성명, 성별 등의 개인정보를 입력하고 그 정보가 가입자 정보와 같으면 본인의 핸드폰으로 인증번호를 전송합니다. 휴대폰 소유자의 개인정보를 알고, 실제로 그 핸드폰을 소유하고 있어야 하기 때문에 두 가지 조건 중 하나만 없어도 인증을 완료하기 어려워 강력한 인증수단으로 꼽힙니다.

본인확인 문자 — 통신사 핸드폰으로 본인확인 하는 휴대폰 인증 <출처: PASS, 문자>

하지만 이 방식은 ① 입력해야 하는 정보의 종류가 많아 혼란을 발생시킬 수 있으며, ② 서비스 사용의 맥락이 단절됩니다. 문자 인증이나 PASS 앱을 활용하게 되면 화면 밖으로 나갔다 돌아와야 하는 경우가 있는데, 특히 모바일 환경에서 흐름을 놓치거나 습관적으로 이전 버튼을 누르게 되어 인증을 처음부터 다시 해야만 하는 경우가 생기는 단점이 있습니다. 이런 과정이 반복되면 고객에게 불편한 경험을 제공할 수 있습니다.

4) 생체인증: 안면인식, 지문인식

홍채, 얼굴, 지문, 음성 등 다수의 사람이 공통으로 가지고 있는 고유한 생체적 특징을 기반으로 인증하는 방식입니다. 사용이 쉬우며 분실이나 도난의 위험이 없고 복제가 어려운 장점이 있지만, 변경이나 재발급을 할 수 없어 관리가 어렵다는 단점이 있습니다. 또 해킹될 경우 치명적인 결과를 불러올 수 있는 점에서 아직 거부감을 갖는 사람들이 많습니다. 그리고 사람마다 환경이나 시간의 변화에 따라 생체적 특징이 조금씩 바뀔 수 있는데 이때도 동일인을 정확히 인식할 수 있는가에 대한 이슈도 있습니다.

생체인증 가입 — (좌)아이폰은 생체인식 수단으로 Face ID를, (우)갤럭시는 지문 등록을 활용했다. <출처: 아이폰, 갤럭시>

불편함, UX 관점에서 해결하기

UX 원칙 중 ‘테슬러의 법칙’은 모든 시스템에 더 줄일 수 없는 일정 수준의 복잡성이 존재한다는 내용입니다. 인증 과정에서의 복잡성은 보안을 이유로 더욱 두드러지는데요. 이제껏 UX 분야에서는 정보 보안을 저해하지 않으면서 사용자가 감당해야만 하는 시스템의 복잡함을 덜어주기 위해 다양한 시도를 해왔습니다.

1) 한 번에 하나의 입력만 요청하기

한 화면 안에 입력해야만 하는 정보가 여러 개라면, 입력 과정에서 실수할 확률이 늘어납니다. 그리고 사용자는 오래 같은 화면을 보면서 급기야 지루함마저 느낄 것입니다. 모바일처럼 작은 화면일수록 이런 부담은 점점 커지게 됩니다. 같은 인증 과정이라도 한 번에 한 개의 정보만을 입력하도록 요청함으로써 사용자의 부담을 줄여 줄 수 있습니다.

한 번의 이미지 입력을 통해 필요한 정보를 추출해 자동 입력하는 OCR(광학문자인식) 기술을 활용한 인증 방법도 있습니다. 대표적으로 신분증, 운전면허증 촬영이 있는데요. 금융거래를 위해 고객의 신분증 확인이 필요한 금융 관련 서비스나 킥고잉과 같이 이용을 위해 간편한 인증이 필요한 서비스에서 주로 찾아볼 수 있습니다.

OCR 인증 — (좌)빗썸 고객확인과 (우)킥고잉 면허증 촬영 <출처: 빗썸, 킥고잉>

2) 가입 뒤로 미루거나, 혜택 제안으로 유도하기

서비스 제공자 입장에서 본인 인증은 간편한 방식일 수 있지만, 반대로 사용자에게는 서비스 이용을 어렵게 만들 수 있는 방법이기도 합니다. 그래서 어떤 서비스들은 사용자들이 더 편하게 이용할 수 있도록 회원가입 시 이메일과 비밀번호만 요구하고, 결제와 같은 기능을 사용하고자 할 때 본인인증을 요구하도록 이용 경로를 조정했습니다. 본인인증을 완료하면 혜택을 제공하는 경우도 있는데요. 29cm는 회원가입 시 이메일, 비밀번호 입력 뒤 바로 본인인증을 하면 이벤트 당첨 확률을 높여주거나 쿠폰을 더 주는 방식의 혜택을 제안해 사용자의 회원가입이 본인인증으로 이어지도록 유도하고 있습니다.

회원 간편가입 — 29cm 회원가입은 아이디(이메일)와 비밀번호만 받고 본인인증을 선택 사항으로 제시했다. <출처: 29cm>

3) 소셜 로그인

인증의 불편을 줄인 가장 대표적인 방식은 소셜 로그인입니다. 네이버, 카카오와 같이 사람들이 많이 사용하는 플랫폼에서 API를 제공함으로써 여러 플랫폼에서 적극적인 도입이 이루어져 왔고 이제는 대표적인 대체인증방식으로 자리 잡았습니다. 이러한 소셜 로그인의 특장점은 바로 편리하다는 것입니다.

서비스 제공자는 소셜 로그인을 통해 가입 과정에서 번거로움을 느껴 이탈하는 소비자를 막을 수 있습니다. 도입 방식도 다양한데 위 이미지의 ‘요기요’처럼 여러 개의 소셜 로그인을 지원하기도 하지만, 우측의 캐치테이블처럼 카카오 로그인 하나만을 중점으로 두기도 합니다. 이처럼 소셜 로그인은 서비스가 강조하고 싶은 방식에 따라 연동되는 플랫폼도, 연동되는 위치도 각기 달라질 수 있습니다.

하지만 소셜 로그인은 연동하는 소셜 계정이 삭제되거나 해킹을 당하게 되면 연결된 서비스도 함께 사용할 수 없는 단점이 있습니다. 그리고 소셜 로그인 API에서는 개인정보를 함께 제공하지 않습니다. 따라서 소셜 로그인도 1)과 마찬가지로 사용자가 금융거래나 성인인증과 같이 본인확인이 필요한 서비스를 이용하려면 추가 인증 절차를 거쳐야만 한다는 한계가 있습니다.

4) 안으로 넣거나 시스템에 의지하거나

핸드폰 본인확인이 가져오는 불편함을 완화하기 위해서도 다양한 방법이 사용되고 있는데요. 사용 맥락을 끊기게 하지 않기 위해 UI 창을 직접 디자인하는 방법이 많이 쓰입니다. 인증번호 자동입력이라는 시스템 자체의 기능을 활용하기도 합니다. iOS는 키보드에 뜬 인증 번호를 선택하면 입력창에 자동으로 입력해주는 기능을 지원하고 있습니다. 또 본인확인 인증창을 제공하는 업체 중에서는 ‘이름/생년월일 기억하기’ 기능을 제공해 반복 입력의 번거로움을 덜고자 노력하기도 합니다. 하지만 이러한 방식은 운영체제의 종류나 버전마다, 사이트마다, 그리고 업체마다 달라지기 때문에 일관성 확보가 어렵다는 단점이 있습니다.

휴대폰 본인확인 — 왼쪽부터 자사 UI 도입(우리WON뱅킹), iOS 자동 입력 기능, 인증정보 기억하기 <출처: 각 플랫폼>

5) 블록체인 활용: DID 인증

DID는 분산신원증명, 분산ID라고도 불리는 블록체인 기술 기반의 인증 방식입니다. 중앙기관 없이 개인 간의 거래를 모두 기록해 분산 저장하는 블록체인 원리를 활용한 것으로, 각 개인이 스스로에 대한 개인정보를 완전하게 통제하고 관리할 수 있습니다. 최근 공인인증서 제도가 폐지되면서 주목받고 있습니다. 특히 사설인증사업을 시작한 핀테크, 테크핀 업체에서 편의성과 보안성을 확보하기 위해 사용하는데요. 이러한 DID 기반 서비스에는 카카오페이 인증, 네이버 인증, SKT텔레콤의 이니셜, 백신여권 쿠브 등이 있습니다.

DID 기술을 활용한 인증은 아직 초기 단계로 우리나라에서는 마이키핀 얼라이언스, 한국디지털인증협회 등 협의체 위주로 서비스 개발과 확산이 이루어지고 있습니다. 과학기술정보통신부에서는 '민관 합동 DID 협의체'를 출범시키기도 했습니다. 또한 지난 7월, 인터넷 표준을 정하는 ‘월드와이드웹 컨소시엄(W3C)’에서 DID기술을 새로운 웹 표준으로 승인하면서 더 다양한 서비스에 DID가 적용될 전망입니다.

사용자가 서비스를 신뢰하려면

아이디, 패스워드 로그인부터 블록체인까지. 위의 사례에 더해 런드리고나 당근마켓의 ‘위치기반 동네인증’, 토스의 ‘1원 인증’과 같이 서비스에 익명의 누군가가 바로 나라는 증명을 하는 방법은 다양합니다. 서비스에 어떤 인증이 맞을지 고민할 때는 나의 서비스가 어떤 가치를 제공하며 여기에 어떤 회원정보가 필요한지, 이 정보를 서비스 사용 중의 어떤 과정에서 요청할 것인지 설계하는 과정이 우선되어야 합니다. 사람들은 이미 여러 건의 대규모 해킹 사고를 직간접적으로 겪어 왔기에 필요 이상의 정보를 요구하면 또 다른 진입장벽을 만남과 동시에 서비스에 대한 신뢰를 잃어버리게 될 것이기 때문입니다.

새로운 웹이 거론되는 지금 개인정보 보호의 중요성은 앞으로도 계속해서 강조될 것입니다. 개인정보를 강력하게 보호하면서도, 사용자가 편리하게 이용할 수 있는 인증 방식을 고민하실 때 이 글이 참고가 되었으면 좋겠습니다.

로그인하고 자유롭게 의견을 남겨주세요.