본문 바로가기
🎨 Design/기획하며 디자인하기

[기획] 소셜로그인 / PASS NICE API 서비스 적용 / 개인정보 수집 시 고려할 점 / 그래서 디자인에 어떻게 반영되어야 하는 것인가 까지 (2)

by Claudia 끌라우 2024. 5. 16.
반응형

[Intro]

소셜 로그인 + 본인 인증  및 개인정보 수집 이 필요한 상황

현재 맡아서 하고 있는 서비스는 아직 런칭 일정도 제대로 안잡힌 극 초기 단계의 서비스이다.

입사를 했을 때는 서비스 브랜딩도 제대로 되어있지 않고, 서비스도 러프한 단계의 플로우만 나와있는 상황이었다 .

그리고 일하는 기획자이자 디자이너는 나 하나

(거의 1인기업이라 대표님과 둘이서 일하는 상황)

 

대표님은 회원가입 간소화를 위해 정보를 직접 입력하는 단계 생략(?)하고 소셜 로그인과 휴대폰 인증으로만 가입을 하기를 원하심

 

 

사용자로부터 필요한 정보

- 사용자 이름

- 휴대폰 번호

- 주민등록번호 -> 원천징수를 위함 (핀테크 회사임)

 

 

지난번 알아낸 정보

카카오 소셜로그인을 사용할 수 있으면 하되, 별도의 금융감독원 허가를 받아야 하고(컨설팅을 통한 해결 예정)

주민등록 번호 수집을 위한 별도의 프로세스가 필요함 확인.

 

[ PASS NICE API 서비스 적용하기 ]

일반적으로 본인인증 할 때 많이들 쓰는 PASS NICE API.

개발 API 적용 관련 글은 종종 보이나, 기획 및 디자인단에선 어떻게 해야 하는 지에 대한 정보가 거의 없었다.

아마 초기 단계의 서비스에 대한 기록을 하지 않아서 일까.

여기저기 물어보고 다니고, 검색도 많이 했었다.

 

 

PASS NICE API 둘러보기

 

https://www.niceinfo.co.kr/business/NICEAPI.nice

 

NICE평가정보㈜

신용희망캠페인 서비스가 정비중입니다. 1588-2486으로 연락바랍니다.

www.niceinfo.co.kr

 

https://www.niceapi.co.kr/#/

 

나이스평가정보 API-M

나이스평가정보

www.niceapi.co.kr

 

 

우선 나이스에서 제공하는 API의 종류는 아래와 같다.

그리고 우리 서비스가 적용시켜 볼 만한 것에 표기를 했다.

 

  • 본인확인(통합형) : 휴대폰 본인확인, 공동인증서, PASS인증서를 통합해서 제공하는 서비스
    • 사용자 식별 값(CI/DI)을 제공받아 회원관리(회원가입, 비밀번호 변경 등)를 할 수 있다. (단, PASS인증서 이용 시 DI 제공불가)
  • 아이핀 : 방송통신위원회가 지정한 본인확인 기관에서 제공한 아이디/패스워드 기반의 본인확인 서비스
  • 개인실명확인 : 성명과 주민등록번호의 일치여부를 확인하는 서비스
    • 사용자의 성명, 주민등록번호에 대한 유효성을 확인할 수 있음 * 성인인증 목적으로 사용 불가
    • 주민등록번호 수집/활용의 법적 근거가 있는 경우에만 제공이 가능
    • 원천징수자의 정보수집 또는 금융/의료/통신업권의 서면접수로 입수된 주민등록번호의 유효성 확인 및 주민등록번호 확인이 필요한 ARS 상담 등에 활용할 수 있다.
  • 휴대폰본인확인 : 이동통신사 휴대전화 개통정보를 바탕으로 사용자의 개인정보 일치 여부를 확인하는 서비스
  • 신분증 안심 패키지 : 본인확인에 신분증 진위확인 및 안면인식 시스템이 추가된, 금융권 비대면 실명확인 올인원 서비스
  • 공동인증서 : 전자서명 또는 전자서명에 준하는 인증을 제공하는 서비스
  • 계좌점유인증 : 1원 이체를 통해 계좌정보의 유효성을 확인하는 서비스
    • 실제 사용자의 계좌에 1원을 이체 후 입금자명의 인증코드를 통해 계좌점유를 확인 할 수 있다.
    • 계좌점유확인은 계좌의 유효성 검증을 넘어 실제 사용자의 계좌 점유여부 확인이 가능
    • 자동이체 등록계좌 및 결제 환불계좌 확인 등에 활용할 수 있다.
  • CI 변환 : 주민등록번호를 CI로 변환하는 서비스 (마이데이터 통합인증 사용가능) - 마이데이터 사업자 전용
  • SMS소지확인 : SMS로 문자를 보내어 실존하는 휴대전화인지 확인하는 서비스
  • 법인실명확인 : 사업자 정보의 유효성을 확인하는 서비스
  • 간편실명확인 : 이용자의 성명+생년월일 일치 여부를 확인하는 서비스
  • 외국인실명확인 : 외국인등록번호와 성명의 일치여부를 확인하는 서비스
  • 계좌확인 : 계좌정보에 대한 유효성을 검증하는 서비스
    • 계좌 소유주 정보(이름, 생년월일), 금융회사명, 계좌번호가 실제로 존재하며 유효한 상태인지 확인 할 수 있다.
    • 계좌확인은 결제 환불계좌, 포인트 환급계좌 등의 유효성 검증이나 입금자 정보에 대한 자체DB 구축에 활용할 수 있다.
  • PASS인증서 : 통신사 PASS앱을 통한 전자서명을 제공하는 서비스
    • 통신사 PASS앱에서 인증서를 간편하게 발급받아 이용 가능
    •  본인명의의 휴대폰만 있으면 증빙, 날인, 통지 등 전자서명이 필요한 상황에서 유용하게 사용할 수 있다.
    • 복잡한 비밀번호가 아닌 생체인증 또는 6자리 PIN만으로도 전자서명, 간편로그인 및 간편인증이 가능
    • 서면, 녹취, ARS를 대체하여 PASS앱을 통해 출금이체동의를 손쉽게 수행 할 수 있다.

 

https://yozm.wishket.com/magazine/detail/2488/

 

기획자가 알아두어야 할 ‘CI, DI’ 개념 정리 | 요즘IT

기획자로서 제품을 만들다 보면, 사용자 개인을 식별해야 하는 상황(중복 회원가입 방지 등)이 발생할 수 있는데요. 주민등록번호를 수집할 수 없는 상황에서 무엇으로, 어떻게 개인을 식별할

yozm.wishket.com

 

 

출처 : KISA 교육자료

 

CI, DI 란?

CI 연계 정보(Connecting Information)의 약자로

온라인에서 개인식별을 위해 주민등록번호에 기반하여 생성된 사실상 온라인 주민등록번호라고 할 수 있다.

 

DI중복가입 확인 정보(Duplicated Joining Verification Information)의 약자로

CI가 개인의 주민등 록번호를 해시화한 값이라고 본다면, DI는 주민등록번호와 각 웹사이트의 식별번호를 가지고 생성하는 방식이다.

 

 

PASS API 사용 시, 화면단에서 필요한 건 PASS를 불러올(?) 트리거 역할을 하는 버튼 정도

 

예를 들면, 가입 단계에서 관련 이용약관 등을 동의한 뒤 [ 휴대폰 인증 ] 이라는 버튼을 누르면 PASS 인증 새 창이 열린다.

(앱일 경우 PASS 실행 - 열림)

PASS 실행 시 열리는 창

 

이 페이지를 통해 사용자는 PASS 혹은 문자(SMS)인증을 마친 뒤,

해당 창이 닫히면서(앱일 경우 PASS 앱 종료) 원래 가입하던 프로세스로 돌아간다.

 

 

위 내용을 미루어 보았을 때, 결론적으로 우리 서비스가 필요로한 항목과 적용시켜 볼 수 있는 것은

본인확인(통합형), 개인실명확인, 계좌점유인증 or 계좌확인 정도 라고 판단된다.

 

하지만, NICE API가 사용자 대조 및 확인만을 돕는건지, 자체 DB를 내부에 쌓을 수 있는지 여부는 아직 확인 불가.

PASS API는 기본적으로 허가된 사용자에게만 API를 제공한다.

 

 

 

관련 내용을 NICE API를 사용해보았다는 동문 개발자에게 문의 결과,

PASS는 본인 확인을 돕는 용도이지, 정보 수집을 돕지 않는다는 답변을 받았다.

 

 

그럼 민감한 개인의 정보를 서비스 단에서 어떻게 수집하고 관리할 수 있을까? 필요 시 마다 유저에게 입력을 받아야 할까?

[ 개인정보 수집 시 고려해야 할 점 ]

지난 2014년 안전행정부에서 발표한 개정 「개인정보보호법」시행(’14.8.7.)에 따른 주민등록번호 수집 금지 제도 가이드라인에 의하면,

주민번호 수집 원칙적 금지, 유출시 과징금 부과 등을 주요 내용 으로 개인정보보호법 개정하고 (공포 ’13.8.6일, 시행 ’14.8.7일)

이에 따라, ‘14.8.7일부터 법령상 근거 없이 불필요하게 주민번호를 수집하는 행위가 엄격히 제한한다.

 

 

 

정리를 하자면, 불 필요한 주민번호의 수집은 엄격히 금지한다 라는 것.

 

하지만 아래 예외 사항이 있다.

 

< 주민번호 예외적 처리 허용 사유 >

1. 법령(법률.시행령.시행규칙)에서 구체적으로 주민번호 처리를 요구.허용한 경우 
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요한 경우 
3. 기타 주민번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

 

 

또한, 주민등록번호 수집 허용 법령 이란 것을 보면 

 

원천징수 건에 한하여, 주민등록번호 수집을 허용하고 있다.

주민등록번호가 원천징수에 의해 필요한 부분임으로 허용될 수 있을 가능성이 있다.

하지만 이 부분은 전문 법률 상담 및 담당 설계가 필요해 보인다. (여기 부터는 내 역할의 밖이다...)

 

 

 

개인정보를 수집한다는 것은 정말 민감하고 조심스럽게 다뤄져야 하는 일이다.

그리고 그 유출에 대한 대비 또한 잘 갖춰져 있어야 한다고 생각한다.

단순히 서비스의 이용 편의를 위해서 불필요하게 수집되는 부분은 없어야 한다. 

하지만 사용성을 생각했을 때 얼만큼의 밸런스를 잡을 수 있을지에 대해 항상 고민하는 부분이다.

 

개인정보보호 법령이 개정된 이후,

회원가입단계 등에서 주민등록번호를 서면(텍스트)을 받는 서비스는 금융권을 제외하고 잘 보지 못했던 것 같다.

그래서 더 관련 레퍼런스를 찾기 어려운 것도 사실이다.

 

단순한 기획과 디자인에 앞서서 일단 우리 서비스가 개인정보 수집(특히 주민번호)가 가능한지 여부를 미리 판단하는 과정을 거쳤고,

관련 법령과 가이드라인 등을 통해 어느정도 가능성을 판가름 했으니, 최종적인 가능 여부는 대표님께서 알아봐주시기로 했다.

 

 

 

다음엔 이를 토대로 관련 레퍼런스를 찾아보고 필요한 요소들이 무엇인지에 대해 기록해보고자 한다!

 

 

아래는 관련 조사할 때 참고했던 문서 리스트

주민등록번호 수집 허용 법령.pdf
0.41MB
행정안정부 보도자료.hwp
1.34MB
개발자_대상_개인정보_보호조치_적용_가이드(인쇄본).pdf
2.73MB

 

 

반응형

'🎨 Design > 기획하며 디자인하기' 카테고리의 다른 글

[기획] 소셜로그인 / PASS NICE API 서비스 적용 / 개인정보 수집 시 고려할 점 / 그래서 디자인에 어떻게 반영되어야 하는 것인가 까지 (1)  (0) 2024.05.13

관련글

댓글

티스토리툴바