매칭 플랫폼의 안전 취약성을 보완하기 위한 확실한 본인인증 방법 추가

Question

매칭 플랫폼의 안전 취약성을 보완하기 위한 확실한 본인인증 방법 추가

Opened this issue a year ago · 2 comments

KMU-dyheo commented a year ago

<현행 --> 카카오인증> : 보안상 취약점 근거 조사
신원보증을 위한 보완 방안 제안
규정마련에 대한 논의

Answer 1 · 2023-10-19T03:06:50.000Z

카카오 인증의 경우 회원가입을 할때 카카오계정과 비밀번호만 있으면 가능하기 때문에 본인 인증 과정으로는 부적합하다고 생각합니다.
가입과정에서 범죄 이력조회를 할 수 있다면 범죄를 100% 방지하지 못해도 조금 더 방지 할 수 있다고 생각합니다.
하지만 이런과정에서 사용자가 번거로움을 느낀다면 플랫폼을 사용하지 않을 가능성이 높아져서 조금 더 생각 해봐야 할 것 같습니다.
얼마전에 과외 매칭 플랫폼을 통해 범죄가 발생했었는데, 해당 플랫폼은 그 사건을 통해 이용자가 줄어드는 것을 대비해서
모니터링 강화, 신고프로세스 강화등을 해결 방안으로 내놓았습니다. 이 경우를 봤을때 범죄의 완벽한 사전 방지는 불가능하기 때문에 모니터링/빠른신고 등을 주요 해결책으로 생각 해야 할 것 같습니다.

Answer 2 · 2023-10-19T05:42:35.000Z

<현행 --> 카카오인증> : 보안상 취약점 근거 조사

- 보안상 취약점을 고려해야 할 필요성
온라인에서 오프라인 만남으로 이어지는 해당 플랫폼의 특성상, 서비스 사용 시 누굴 만나게 될지 몰라 안전 문제를 걱정할 수 있다고 생각하였습니다. 따라서 이런 안전 문제를 위해서는 최소한의 보호망이 필요하다고 보았습니다.

- 근거 조사
현재 해당 플랫폼은 카카오인증을 사용하는데, 이는 신원을 보증하기 힘들다는 취약점이 존재합니다. 카카오인증은 휴대폰 번호만으로 본인 인증이 가능하고, 실명 인증 또한 필수적이지 않습니다. 휴대폰 번호는 쉽게 도용될 수 있고, 가상 전화번호를 이용하여 카카오톡에 가입하는 방법 또한 존재합니다. 또한 실명 인증이 필수적이지 않기 때문에 신원 도용의 우려가 있습니다. 이처럼 카카오인증은 신원 보증의 강도가 약하기 때문에, 오프라인 만남으로 이어지는 플랫폼에는 적합하지 않은 신원 인증 방법이라고 생각하였습니다.

신원보증을 위한 보완 방안 제안

- 사용자의 신원을 보증하는 것이 중요한 다른 플랫폼들의 사례
- 데이팅 앱 ‘썸’: 실명 인증을 필수로 사용.
- 금융 앱 ‘토스’: 실명 인증을 필수로 사용.
- 금융 앱 ‘카카오페이’: 휴대폰 인증과 지문 인증을 결합한 다단계 인증을 사용.

- 관리 차원
1. 신용평가 및 평판 시스템: 회원들의 활동과 거래 기록을 바탕으로 신용평가 및 평판 시스템을 도입하여 신뢰할 수 있는 회원들을 구별하고, 부적절한 행동을 하는 회원들을 걸러냅니다.
2. 실시간 인증 및 모니터링: 실시간으로 사용자의 활동을 모니터링하고, 이상 행동이나 이상 거래를 감지하는 시스템을 구축하여 신속하고 적극적으로 대응할 수 있도록 합니다.
3. 피드백 및 불만 처리 시스템: 회원들이 플랫폼 내에서 불만 사항이나 문제를 제기할 수 있는 시스템을 구축하여, 문제가 발생할 경우 빠르게 대응할 수 있도록 합니다.

- 실명인증 차원
1. 실명 인증: 실명 인증은 사용자의 신원을 정부가 발급한 신분증, 공동인증서와 같은 공인된 서류로 확인하거나, 사용자의 이름과 주민등록번호를 등록하여 진행할 수 있습니다. 실명 인증은 가장 강력한 신원 인증 방법 중 하나로, 신원을 도용하거나 불법적으로 사용하는 것을 방지하는 데 효과적입니다.
2. 휴대폰 인증: 휴대폰 인증은 사용자의 휴대폰 번호로 본인 인증을 하는 방법입니다. 휴대폰 인증은 실명 인증보다 강도가 낮지만, 실명 인증보다 사용이 간편하고 편리하다는 장점이 있습니다.
3. 생체 인증: 생체 인증은 사용자의 지문, 홍채, 얼굴 등 생체 정보를 이용하여 본인 인증을 하는 방법입니다. 생체 인증은 휴대폰 인증보다 강도가 높으며, 휴대폰을 분실하거나 도난당하더라도 신원이 노출되지 않는 장점이 있습니다.
4. 다단계 인증: 다단계 인증은 한 번의 본인 인증으로 끝나는 것이 아니라, 두 개 이상의 요소를 사용하여 본인 인증을 하는 방법입니다. 예를 들어, 휴대폰 인증과 주민등록번호를 함께 사용하여 본인 인증을 하는 것이 대표적인 다단계 인증 방법입니다.

→ 개인적인 생각으로, 신용평가 및 평판 시스템과 더불어 신분증 사진 요구가 좋을 것 같다고 생각하였습니다. 실시간 인증 및 모니터링과 피드백 및 불만 처리 시스템이 원할하게 이루어진다면 바람직하겠지만, 그렇게 된다면 관리자의 책임이 생각보다 커질 것이라고 생각하였습니다. 그래서 관리 차원에서는 조금 더 원할하게 이루어질 신용평가 및 평판 시스템을 사용하고, 이와 더불어 실명인증 차원에서는 신분증 사진을 요구하는 것이 어떨까 생각하였습니다. 이는 신분증 사진을 찍어서 올리기만 하면 되기 때문에, 휴대폰 인증이나 주민등록번호 인증, 다단계 인증 등보다 간편하면서도, 생체 인증보다 좀 더 가시적으로 신원 보증이 되는 방법이라고 생각하였습니다. 다만 신분증 사진은 신분증의 도용이나 위조 가능성을 고려해야 하기 때문에, 신분증의 유효기간, 사진과 실제 얼굴의 일치 여부 등을 꼼꼼하게 확인해야 한다는 단점이 존재합니다. 또한 사용자의 불편함을 최소화하기 위해, 신분증 사진을 제출하지 않아도 기본적인 기능을 사용할 수 있도록 하는 것도 고려해야 할 점이라고 생각하였습니다.