신원 검증 (Identity Verification, IV)
2. 신원 검증 (Identity Verification, IV) · 5개 통제항목
정의
신원 증명은 시스템 접근을 위한 자격 증명을 설정할 목적으로 대상 사용자의 신원 정보를 수집, 검증 및 확인하기 위한 통제항목이다.
보안통제 항목 (5)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-IV-1 | 관리자 승인 | 정보시스템 사용자 계정(대민서비스 등 서비스 이용자 계정 제외) 부여를 위한 계정 등록 절차에 정보시스템 관리자(정보화담당관 또는 이에 준하는 관리자)의 승인을 포함한다. | C S |
| N2SF-IV-2 | 신원 증거 제출 | 개인은 신원을 증명할 수 있는 증거를 등록 기관에 제출한다. | C S |
| N2SF-IV-2(1) | 신원 증거 검증 | 제출된 신원 증거를 검증한다. | C S |
| N2SF-IV-3 | 외부 신원 검증 수용 | 동등한 수준의 보증을 제공하는 외부 기관 또는 업체의 신원 검증 결과를 수용할 수 있다. | C S O |
| N2SF-IV-M1 | 대면 신원 증거 검증 | 대면을 통한 신원 증거를 검증한다. | C |
구현 방법 예시
신원 증거 수집 및 보호
- 사용자가 제출하는 신원 증거(정부 발급 신분증, 인증서, 바이오 매트릭스 등)는 안전한 경로(SSL/TLS 암호화 채널)로 수집한다.
- 수집된 신원 증거는 법적 요건을 충족하도록 암호화 저장하고, 접근 통제를 적용한다.
- 신원 증거는 정해진 보존 기간 이후 안전하게 폐기하거나 삭제 절차를 거친다.
외부 신원 검증 결과 수용 절차
- 신뢰할 수 있는 제3자(정부, 금융기관, 공인 인증기관 등)로부터 신원 검증 결과를 받아들이는 경우, 기관 간 연동 프로토콜을 안전하게 구축한다.
- 외부 검증 결과 수신 시 데이터 위·변조를 방지하기 위해 전자서명 및 무결성 검증 절차를 추가한다.
자동화된 신원 검증 시스템 구축
- 신원 증거 제출 및 검증 과정을 자동화하여 신원 확인 속도를 향상시키고, 사용자 오류 및 담당자 수작업 오류를 최소화한다.
- OCR(Optical Character Recognition) 및 AI 기반 신원 증거 자동 판독 솔루션을 도입하여 신분증, 문서 등을 신속히 검증한다.
- 자동 검증 실패 시 관리자 수동 검토 프로세스를 병행하여 정확성을 확보한다.
대면 신원 검증 절차 마련
- 중요도 높은 계정이나 특별권한 사용자 계정 신청 시 대면 검증 절차를 필수화한다.
- 대면 검증은 영상통화 기반 실시간 확인 또는 방문 검증을 통해 수행하며, 확인 결과를 신원 검증 이력에 기록한다.
- 대면 검증 담당자는 사전 지정된 교육 수료자만 수행할 수 있도록 한다.
신원 검증 실패 관리
- 신원 검증 실패 시, 즉시 시스템 접근을 차단하고 추가 신원 증명을 요구하는 재검증 절차를 마련한다.
- 다수의 신원 검증 실패가 발생할 경우 자동으로 계정을 잠그고 보안팀에 알림이 전송되도록 구성한다.
법적 요구사항 반영
- 국내외 개인정보보호법 및 인증기준에 부합하는 신원 검증 절차를 적용한다.
- 지역 및 서비스 특성에 따라 연령확인, 실명확인 등의 추가 신원 검증 요건을 설정한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 신원 확인 절차 도입 | 정부 발급 신분증 검증, 전자 인증서 확인, 생체 인식 등록 |
| 다단계 신원 검증 적용 | 2단계 신원 확인, 접속 환경 변화 감지 시 추가 검증 |
| 외부 신원 검증 수용 | 공공·금융기관 등 연동, 전자서명 검증 |
| 자동화된 신원 검증 시스템 | OCR, AI 기반 자동 판독, 신분증·문서 자동 검증 |
| 대면 신원 확인 절차 | 영상통화 검증, 방문 검증, 검증자 자격 등록 및 기록 관리 |
| 신원 검증 실패 대응 | 검증 실패 시 계정 잠금, 보안팀 알림, 재검증 요청 절차 적용 |
| 법적 요건 및 서비스 특성 대응 | 개인정보보호법, 인증기준 반영, 연령확인, 실명확인 등 요건 설정 |