[금융D-택트] 카카오뱅크, 무자각 인증 뒷 이야기

[지디넷코리아]

카카오뱅크가 이용자들이 인식하지 못하지만 스마트폰 터치 습관 데이터를 통해 본인이 금융 거래를 진행했는지 확인하는 무자각 인증을 이용하고 있다는 기사가 나갔습니다. (참고기사☞스마트폰 터치 습관으로 이상거래 잡는다)

보도 이후 일부 독자들은 '그렇다면 카카오뱅크가 내 스마트폰의 터치 습관, 패턴의 정보를 무단 수집하고 있는 것 아니냐'는 의문을 표했습니다. 스마트폰 화면 속 숫자를 어느 부분을 주로 터치하는지, 시간은 얼마나 소요되는지에 따라 개별 고객을 판별할 수 있다면 개인정보인데 이를 카카오뱅크가 수집하고 저장하는 것은 기업의 데이터 수집 범위가 너무 넓다는 지적이었습니다.

이와 관련해 카카오뱅크 측의 입장을 취재했습니다. 무자각 인증, 즉 ▲스마트폰 터치 습관 데이터는 어떤 방식으로 수집되고 ▲이 데이터는 어떻게 활용되며 ▲어떤 방식으로 폐기 혹은 저장되는지를 말입니다.

일단 카카오뱅크는 ▲무자각 인증 모형 개발과 ▲인증 과정에서 두 가지 데이터가 활용된다는 점을 알려왔습니다.

모형 개발에 사용되는 데이터는 익명으로 수집된 것으로 철수의 패턴인지 영희의 패턴인지 구별할 수 없습니다. 카카오뱅크 측은 "데이터전문기관인 금융보안원을 통해 익명 처리 적정성 평가를 통과했다"고 밝혔습니다.

인증 과정에 쓰이는 데이터는 철수와 영희의 패턴인지 구분이 가능하지만, 인증 과정서 입력한 패턴 데이터는 고객으로부터 수집에 관해 선택적 동의를 받고 있다고 카카오뱅크는 설명했습니다. 동의하지 않았다면 카카오뱅크의 고유 서비스를 쓰는데 어려움은 없지만 무자각 인증 기술이 쓰이지 않는 것이지요.

개별을 식별할 수 있는 입력 패턴 데이터는 어떻게 활용되는 걸까요. 카카오뱅크는 개발한 모형서 나온 예측값과 실제 사용자의 입력 패턴이 어느 정도 일치하는지를 통해 본인이 한 거래인지, 아닌지를 판단한다고 합니다.

카카오뱅크가 만든 모형은 연령대를 구별하는 모형인데, 인증 과정서 해당 연령서 나올 수 있는 예측값을 얼마나 벗어나는지를 통해 이상 거래 여부를 확인한다는 부연입니다. 고객의 실제 연령이 60대인데 무자각 인증 모형이 분석한 연령대가 20대라면 본인이 아닐 가능성이 높다고 해석하는 것입니다.

카카오뱅크 측은 "인증 과정에서 입력한 패턴은 서버에 저장되지 않고 예측값 계산에만 사용되고 폐기된다"고 강조했습니다.

그렇다면 앞서 무자각 인증 기술 연구는 어떻게 이뤄진걸까요. 카카오뱅크 측은 "익명 처리 과정을 거쳐 연령대, 성벼려 등 특정 개인을 식별할 수 없는 정보만 연구에 이용했다"며 "개인정보보호법 58조 2항에 따라 익명 처리된 정보는 개인정보법 적용 대상에서 제외된다"고 말했습니다.

                                

디지털 컨택트(Digital Contact)가 일상으로 자리잡은 지금, 한 주간 금융업권의 디지털 이슈를 물고, 뜯고, 맛보는 지디의 '금융 D-택트'를 토요일 연재합니다. 디지털 전환의 뒷 이야기는 물론이고 기사에 녹여내지 못했던 디테일을 지디넷코리아 독자 여러분에게 소개합니다. [편집자주]