본인확인과 본인인증

'본인확인'과 '본인인증'의 차이점은?

전자서명법 제2조 6호에 의하면 "인증"이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다. 일반적인 금융업무에서는 '신분증' '통장인감과 비밀번호' '서명' 등이 활용되고 온라인에서는 공인인증서, 보안카드 OTP, 이체비밀번호, SMS 또는 ARS 인증, 결제비밀번호, 휴대폰 전화인증, 지문인증 등이 활용된다.

핀테크 산업이 활성화되고 '비대면거래(CNP, Card Not Present)'가 증가하면서 "본인확인"과 "본인인증"에 대한 혼선이 있는게 현실이다. "본인확인"은 '특정한 방법을 통하여 특정인이 본인인지 아닌지를 식별하는 방법'이고 "본인인증"은 '특정한 방법을 통하여 특정인이 본인임을 증명하는 방법'입니다. 

그 차이가 미비하여 혼용되어 사용되고 있습니다. 사실 그렇게 혼용되어 사용되더라도 유사한 의미가 전달되기 때문에 명확한 용어로 구분하지는 않습니다.

하지만 이를 구분하여보면, 공인인증서를 발급받기 위해 휴대폰 실명확인 등을 통해 본인인지 아닌지를 식별하는 것은 "본인확인"으로 정의합니다. 금융거래를 위해 이미 발급받은 공인인증서를 사용하여 본인임을 증명하는 것은 "본인인증"으로 구분합니다.

한편 인증방법은 다음과 같이 분류됩니다. 

(1) 지식기반 인증 : 알고 있는 어떤 것에 대한 확인을 기반으로 인증하는 방법으로 아이디(ID), 패스워드(PW), 아이핀 등이 대표적이며, 구현이 쉽고 가장 안정성이 낮다.

(2) 소유기반 인증 : 소유하고 있는 물리적 개체를 기반으로 인증하는 방법으로 스마트카드, 보안토큰(HSM), OTP 등이 대표적이며, 물리적 매체의 제조비용 등이 소요되나 보안 안정성이 높다. (=소지기반 인증)

(3) 특성기반 인증 : 개체를 특정할 수 있는 특성을 기반으로 인증하는 방법으로 생체인증, 스마트서명 등이 대표적이며 개체 특성을 사전에 등록하여 사용하며 보안 안정성이 높다.

(4) 기기기반 인증 : 사용자 고유의 기기를 사전 인증 방식을 통해 인증하는 방법으로 휴대폰 유심(USIM)을 이용하는 스마트인증이 대표적이며 유료서비스 비용이 소요되지만 보안 1등급으로 가장 안정성이 높다

이외에 사전에 약속한 물리적 물체를 기반으로 인증하는 방법인 '점유기반 인증'이 있다. '점유기반 인증'은 '소유기반 인증'과 '기기기반 인증'을 포괄하여 수용하기도 한다. SMS인증이나 ARS인증이 대표적인 '점유기반 인증'이다.

---

인터넷 서비스에 회원가입을 할 경우 '휴대폰 본인확인' 또는 'SMS인증'을 경험하게 된다. "휴대폰 본인확인"은 사용자가 입력한 개인정보(이름, 생년월인, 휴대폰 전화번호)를 이동통신회사의 정보와 매칭하여 유무를 판별하고, SMS로 발송하는 인증번호로 본인여부를 판별하는 방식이다. '지식기반 인증과 점유기반 인증이 결합된 형태'이다

이와 달리 'SMS인증'은 휴대폰번호로 SMS인증번호를 발송하고 수신된 인증번호를 입력하여 본인여부를 확인하는 방식이다. 단순한 '점유기반 인증 방법'이다. 비슷한 방식으로 전화 연결을 한 후 ARS 안내에 따라 본인여부를 확인하는 'ARS인증' 방식이 있다.    

---

최근 핀테크, 인터넷전문은행 등 새로운 금융제도가 생기며 거론되는 '비대면 본인확인' '비대면 실명확인' '비대면 신원확인' 등 다양한 용어가 혼재되어 사용된다. 사실상 같은 의미이나 '비대면 본인확인' '비대면 본인인증'이 정확한 표현이다.  즉 말 그대로 비대면 상에서 특정한 방법을 통해 특정인이 본인인지 아닌지 식별하는 방법을 지칭한다.

이는 금융거래에 있어서 비대면 상에서의 본인확인은 기본적으로 실명을 기반으로 본인확인이라는 전제가 내포되어 있다. 실명확인이란 신청자의 실제 명의를 토대로 한 본인인지 여부를 식별하는 방법이다. 따라서 '비대면 실명확인'이라는 용어는 '실명으로 등록된 계좌거래'를 통하여 본인 여부를 판별 등록하는 방식이 출현하면서 임의로 사용하는 표현이다 () '휴대폰 본인확인 Mcerti'