점유인증과 본인인증, 서비스에서 개인인증이 필요할 때 뭘 써야 할까

인증을 붙일 때 제일 먼저 물어야 하는 건 솔루션 이름이 아닙니다.

문자를 쓸까, PASS를 쓸까, 인증서를 붙일까가 먼저가 아닙니다.

질문은 하나입니다.

우리는 지금 사용자에 대해 무엇을 증명해야 하지?

이 질문을 놓치면 인증 설계가 금방 이상해집니다. 휴대폰 번호만 확인하면 되는 곳에 본인인증을 붙이고, 반대로 사람 자체를 확인해야 하는 곳에 문자 인증만 붙입니다.

겉으로는 둘 다 “휴대폰 인증”처럼 보이지만, 본질은 다릅니다.

점유인증은 수단을 확인한다

문자로 인증번호를 보내고, 사용자가 그 번호를 입력했다고 해봅시다.

이때 증명된 건 딱 하나입니다.

“이 사람은 지금 이 휴대폰 번호로 온 문자를 볼 수 있다.”

그 이상은 아닙니다.

그 번호가 본인 명의인지, 사용자가 성인인지, 실제 이름이 무엇인지, 한 사람이 여러 계정을 만들고 있는지는 알 수 없습니다. 가족 명의 휴대폰일 수도 있고, 회사폰일 수도 있고, 재사용된 번호일 수도 있습니다.

그래서 문자 전송 인증은 본인인증이 아니라 점유인증입니다.

점유인증의 본질은 “이 연락 수단을 지금 통제하고 있는가”입니다.

회원가입 때 연락 가능한 번호인지 확인할 때, 비밀번호 찾기용 번호를 등록할 때, 예약 알림을 보낼 번호를 확인할 때, 가벼운 어뷰징을 줄일 때는 이 정도가 충분한 경우가 많습니다.

이때 필요한 건 사람의 법적 신원이 아니라 연락 수단의 유효성입니다.

본인인증은 사람을 확인한다

PASS 휴대폰 본인확인은 다릅니다.

PASS는 단순히 “문자를 받을 수 있나”를 보는 절차가 아닙니다. 통신사와 본인확인기관을 통해 이 사람이 본인 명의 휴대폰을 기반으로 확인된 사람인지 보는 절차입니다.

그래서 PASS는 본인인증, 더 정확히는 본인확인에 가깝습니다.

본인인증의 본질은 “이 사람이 제도상 특정한 사람인가”입니다.

성인 여부를 확인해야 할 때, 한 사람에게 하나의 권리만 줘야 할 때, 정산이나 출금처럼 책임 소재가 중요한 기능을 열 때, 법적으로 본인확인이 필요한 흐름에서는 점유인증만으로 부족합니다.

이때는 휴대폰을 가지고 있는지가 아니라 그 사람이 누구인지가 중요합니다.

둘을 섞으면 제품이 망가진다

문자 인증을 본인인증처럼 쓰면 위험합니다.

사용자는 휴대폰 번호를 확인했을 뿐인데, 서비스는 성인 확인이나 실명 확인까지 된 것처럼 판단할 수 있습니다. 이러면 정책도 흔들리고, 운영 대응도 흔들리고, 나중에 문제가 생겼을 때 설명하기 어렵습니다.

반대로 점유인증이면 충분한 곳에 본인인증을 붙이면 제품이 무거워집니다.

사용자는 가입하기도 전에 이탈하고, 서비스는 불필요한 개인정보를 더 많이 다루게 됩니다. 인증을 많이 붙인다고 항상 안전해지는 게 아닙니다. 필요 없는 본인인증은 보안이 아니라 마찰이고, 책임입니다.

요약

서비스가 알아야 하는 게 휴대폰 번호라면 문자 인증이면 충분할 수 있습니다.

서비스가 알아야 하는 게 사람 그 자체라면 PASS 같은 본인인증이 필요합니다.

연락 가능한 번호인지 확인하려면 점유인증.

성인 여부, 실명, 동일인, 법적 책임을 확인하려면 본인인증.

돈, 정산, 출금, 고위험 거래를 다루면 본인인증에 추가 인증과 이상거래 탐지까지 봐야 합니다.

수단이 필요하면 점유인증, 사람이 필요하면 본인인증.

이게 핵심입니다.

좋은 인증은 사용자를 많이 붙잡는 절차가 아닙니다.

필요한 순간에, 필요한 만큼만, 정확한 것을 증명하는 절차입니다.