뚜기의 메모장

정의 : 온라인에서 재화의 구입 또는 용역의 이용에 있어서 지급결제정보를 송신하거나 수신하는 것 또는 그 대가의 정산을 대행하거나 매개하는 업무 (전자금융거래법 제 2조 제 19호)

⇒ NICE정보통신, KG이니시스, NHN사이버결제등, 자체 결제시스템을 통해 가맹점의 결제대행을 수행하는 업체

 💡

필수 조건

1. 자본금 요건 10억원(3억원)이상
   • 최소 자본금 10억이상이어야 하나 소규모업자는 최소자본금 3억으로도 가능,
   • 소규모업자는 분기 전자금융거래 총액이 2분기 연속 30억원을 초과하지 않음
2. 재무건정성인 부채비율 요건 - 200%이내
   • 재무제표 상의 부채 총액을 자기 자본으로 나누어 재무건정성인 부채비율이 200% 이내
3. 인적 물적 요건
   • 인적요건 - 2년이상의 전산전문인력 경력 5명, 신청당시 전산업무 종사경력이 2년 이상인 임직원 5명 확보 또는 등록시점에 확보되어야 함
   • 물적요건
   1. 전자지급결제대행업에 필요한 전산기기 구비
   2. 전산장애 발생 시 전산자료 손실에 대비한 백업장치 구비
   3. 전자지급결제대행업에 필요한 각종 프로그램 구비
   4. 정보처리시스템 관리방안 확보 및 정보보호시스템 감시 모니터링 체제 구축
   5. 전산실 등의구조 및 내장, 설비등의 안정성을 확보하고 적절한 보안대첵 수립
4. 결격상유
   • 주요출자자가 등록이 말소된 날부터 1년이 지나지 아니한 법인 및 그 등록이 말소될 당시 그 법인의 대주주였던 자로서 마솔된 날부터 1년이 지나지 아니한 자
   • 주요출자자가 등록의 취소가 있는 날부터 3년이 지나지 아니한 법인 및 그 취소 당시 법인의 대주주였던 자로서 그 취소가 있는 날부터 3년이 지나지 아니한 자
   • 주요출자자가 회생절차 중에 있는 회사 및 그 회사의 대주주
   • 주요출자자가 금융거래 등 상거래에 있어서 약정한 기일내에 채무를 변제하지 아니한 자로서 종합신용정보기관에 신용정보가 등록된자
   • 주요출자자가 등록 신청일을 기준으로 최근 3년간 금융관게법령을 위반하여 벌금형 이상의 처벌을 받은 사실이 있는자
5. PG사 사업계획서

1. 3년간 예상 사업계획서
2. 3년간 추정 재무제표
3. 3년간 예상 수지계산서

벌칙 전자지급결제대행업을 등록하지 아니하고 업무를 행한자는 3년이하의 징역 또는 2천만원 이하의 벌금

용어정리

전자금융거래 : 전자적 장치를 통하여 금융상품 및 서비스를 제공하여 이용자가 비대면으로 자동화된 방식으로 이용하는 거래 형식. 유형에 따라 업종이 분류된다

전자지급결제대행 : 전자적 방법으로 재화의 구입 또는 영역의 이용에 있어서 지급결제정보를 송신하거나 수신 또는 그 대가의 정산을 대행하거나 매개하는것 ex) 1차 PG, 2차 PG

• 1차 PG : 자체 결제시스템을 통해 가맹점의 결제대행을 수행하는 업체 (KG, NHN한국사이버결제) 소비자→카드사·은행→1차 PG사→가맹점 순으로 대금 결제가 진행
• 2차 PG : 결제 편의성을 높이려는 의도로 결제·정산 서비스를 제공해 주는 경우로, 오픈마켓 등의 플랫폼 기업들 해당됨 (‘OO페이’(간편결제)) 결제대행 자체는 1차 PG사에 맡기되 입점업체를 대신하여 수수료와 대금의 정산 업무를 처리하여 주기 때문에, 대금 결제구조는 소비자→카드사·은행→1차 PG사→2차PG사→입점업체 순으로 진행

선불전자 지급수단 빌행 및 관리업 : 이전 가능한 금전적 가치가 전자적 방법으로 저장되어 발행된 증표 또는 그 증표에 관한 정보 ex) ㅇㅇ머니, ㅇㅇ포인트. 미리 충전한 선불금으로 대금을 지급하는 형태

간편결제 : 신용카드등 지급수단 정보를 전자적 장치에 미리 등록하고 결제시 간편한 인증만으로 결제하는 방식을 포괄적으로 의미.

VAN (Value Added Network) : 카드사를 포함한 금융기관과 가맹점 사이에 오프라인 카드 결제를 위한 통신망

결제 시스템을 이해하다 보면 VAN과 PG라는 두 가지 중요한 개념을 마주하게 된다.

오프라인 매장부터 온라인 쇼핑몰까지 결제 서비스를 원활하게 제공하기 위해서는 카드사, 금융기관, 그리고 상점 간의 데이터를 주고받을 통신망이 필요하다.
이 과정에서 VAN과 PG는 각기 다른 역할을 수행하며 소비자와 판매자 간의 결제를 지원했는데

오프라인에서는 VAN 이, 온라인에서는 PG로 이해해볼수 있다.
하지만 최근에는 서로의 영역을 확장해 나가는 듯 하다.
무엇보다 이커머스 시장의 발달로 보다 갑이었던 VAN 의 입지가 많이 줄어들었다고 해야할까..

VAN (Value Added Network)

온·오프라인 카드 거래 데이터 중개 사업
VAN은 카드사와 가맹점 간의 통신을 연결하는 부가가치통신망 서비스를 제공합니다. 특히, 오프라인 매장에서 카드 단말기(POS 단말기)를 통해 결제가 이루어질 때, VAN이 중개 역할을 담당합니다.

주요 특징

• 신용카드 거래에 특화 (최근 다양한 결제수단으로 영역 확장 중)
• 매출 정산 서비스 미제공
• 각 카드사의 매출 데이터를 개별적으로 확인해야 함
• 수수료가 없어 고정비는 줄지만, 관리가 번거로움

PG (Payment Gateway)

온라인 결제 대행 및 정산 대행 서비스
PG는 카드사와 직접 계약이 어려운 온라인 쇼핑몰 등을 대신해 결제 프로세스를 대행합니다. 또한, 다양한 결제 수단(신용카드, 계좌이체, 통신사 결제 등)을 지원하며, 매출 정산까지 한 번에 처리할 수 있습니다.

주요 특징

• 신용카드 외에도 다양한 온라인 결제 수단 지원
• 오프라인 영역으로도 점차 확장 중
• 매출 정산 서비스 제공
  별도의 매출 관리 없이 통합 정산 가능
• 수수료가 VAN보다 높음

VAN과 PG의 비교

온라인과 오프라인의 경계가 희미해지면서, 두 시스템이 융합되거나 하나의 플랫폼에서 통합된 결제 서비스를 제공할 가능성이 높습니다. 특히, 모바일 결제와 핀테크 기술의 발전이 이러한 변화를 가속화할 것입니다. 각자의 강점을 유지하며 혁신을 이어가는 것이 결제 시스템의 핵심 과제가 될 것입니다.

AI, IoT, 그리고 Big Data 기술의 눈부신 발전은 기존 시장의 확장을 넘어 새로운 서비스를 탄생시키고, 때로는 기존 시장의 질서를 완전히 바꾸기도 한다.

이러한 기술 혁신 속에서 핵심이 되는 것은 바로 데이터이다.
양질의 데이터를 효과적으로 수집하고, 이를 안전하게 관리하고 활용하는 것이 앞으로의 경쟁력이라고 할 수 있겠다. 

그래서 내가 관심 있게 보고 있는 분야 중 하나는 바로 마이데이터.

마이데이터의 핵심은 "데이터의 주권은 나에게 있다" 라고 생각하는데,,,
어떠한 데이터를 만들어내기 위해서는 먼저는 본인인증 절차가 필수이다.
최근 본인인증 방식이 점차 다양화되면서 그 방식과 기술이 발전하고 있는데, 본인인증 방식의 종류와 기술을 정리해보았다.
(챗지피티 최고)

본인인증 방식의 종류와 특징

1. 지식기반 인증 (Knowledge-based Authentication)
   • 방식: ID, PW, 이메일 주소 등 사용자가 알고 있는 정보로 본인임을 증명합니다.
   • 특징: 가장 널리 사용되지만, 보안에 취약합니다. 특히 비밀번호가 유출되면 계정이 위험에 처할 수 있습니다.
   • 단점: 단순한 정보로 인증이 이루어지므로, 해킹이나 피싱 등의 공격에 취약합니다.
2. 소유기반 인증 (Possession-based Authentication)
   • 방식: OTP(일회용 비밀번호), 하드웨어 키, 동글(Dongle) 등의 물리적 장치를 사용하여 인증합니다.
   • 특징: 안전하지만 다소 번거롭습니다. 공인인증기관에서 발급받은 인증서나 물리적 장치가 필요합니다.
   • 단점: 물리 매체에 대한 관리 비용이 발생하고, ESG(환경적 지속 가능성) 측면에서 비효율적일 수 있습니다.
3. 생체기반 인증 (Biometric Authentication)
   • 방식: 지문, 홍채, 얼굴 인식 등 개인의 생체 정보를 통해 본인을 인증하는 방식입니다.
   • 특징: 보안성이 매우 높고, 해킹이 어려운 특성을 가지고 있습니다.
   • 단점: 생체 정보가 훼손되거나 손상될 경우, 예를 들어 손가락이 절단되었거나 눈을 다친 경우 대체 인증 방법이 필요할 수 있습니다.
4. 기기기반 인증 (Device-based Authentication)
   • 방식: 스마트폰이나 컴퓨터와 같은 특정 기기를 기반으로 인증을 수행하는 방식입니다. 기기에서 제공하는 인증 정보를 이용하거나, 모바일 디바이스에 저장된 인증 키를 활용합니다.
   • 특징: 기기 자체가 인증을 위한 중요한 요소가 되어, 높은 보안성을 제공합니다. 여러 단계를 결합하여 사용될 수 있습니다.
   • 단점: 기기 분실이나 손상 시 인증이 어려워질 수 있으며, 사용자의 기기 관리가 필요합니다.
5. 위치기반 인증 (Location-based Authentication)
   • 방식: 사용자의 위치 정보를 기반으로 본인인증을 수행하는 방법입니다. 예를 들어, 특정 지역에서만 접근을 허용하거나, 위치 정보와 함께 다른 인증 방법을 결합하는 방식입니다.
   • 특징: 사용자의 실제 위치를 파악하여 인증을 진행하기 때문에, 추가적인 보안을 제공할 수 있습니다.
   • 단점: 위치 정보를 정확하게 추적해야 하며, 위치 정보 유출 시 보안 위협이 될 수 있습니다.
6. 행동기반 인증 (Behavioral Biometrics)
   • 방식: 사용자의 행동 패턴을 분석하여 인증하는 방식입니다. 예를 들어, 타이핑 속도, 마우스 움직임, 터치 스크린 사용 습관 등 사용자의 일상적인 행동 데이터를 분석하여 본인을 인증합니다.
   • 특징: 사용자의 행동 패턴을 지속적으로 모니터링하므로, 인증이 자동화되어 편리하며, 위조하기 어렵습니다.
   • 단점: 자신도 모르는 사이에 습관이 저장되고 분석, 식별되는 과정에서 사용자 사생활 침해가 발생할 수 있습니다
7. 음성기반 인증 (Voice Authentication)
   • 방식: 사용자의 목소리를 기반으로 본인인증을 수행하는 방식입니다. 사용자의 고유한 음성 패턴을 분석하여 본인 여부를 확인합니다.
   • 특징: 음성 인식 기술을 활용하여 편리하고 빠르게 인증을 수행할 수 있습니다.
   • 단점: 외부 소음이나 질병 등으로 음성이 변할 경우 인증에 문제가 발생할 수 있습니다.
8. QR 코드 인증 (QR Code Authentication)
   • 방식: 사용자가 스마트폰으로 QR 코드를 스캔하여 인증을 진행하는 방식입니다. 이 방식은 특히 모바일 앱에서 많이 사용됩니다.
   • 특징: QR 코드 스캔을 통해 빠르고 간편하게 인증이 가능하며, 해킹이나 피싱 공격을 방지하는데 유리합니다.
   • 단점: QR 코드의 유출이나 위조가 가능할 수 있으며, 이를 악용할 수 있는 위험이 존재합니다.
9. 다단계 인증 (Multi-Factor Authentication, MFA)
   • 방식: 여러 인증 방식을 조합하여 사용하는 방법입니다. 예를 들어, ID/PW 입력 후 지문 인증 또는 OTP를 추가적으로 요구하는 방식입니다.
   • 특징: 여러 방법을 동시에 사용하는 방식으로, 보안성이 강화됩니다.
   • 단점: 사용자에게 추가적인 절차를 요구하기 때문에 편의성이 떨어질 수 있습니다.

표로 정리하면

DID는 따로 다뤄보자.

23.09.15 개인정보 보호법이 개정되었다

이번 개정안은 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영해 정비한 실질적인 전면 개정이라는 점에서 의미가 있다.

지난 2023. 2. 27. 개인정보보호법 일부개정법률안이 국회 본회의를 통과했고, 2023. 3. 14. 공포되어 6개월이 경과한 2023. 9. 15.부터 시행되었다. 

이번 개정의 주된 목적은 현대의 디지털 환경에 맞추어 개인정보 보호 규정을 재정비하고, 기술 발전과 사회 변화에 적절히 대응할 수 있는 기반을 마련하고자 했고, 이를 통해 정보 주체가 자신의 정보를 쉽게 관리하고, 기업의 데이터 활용에 대해 신뢰를 가질 수 있는 환경을 조성하는 데 중점을 두는것 같다. 

개인정보 보호법 개정안의 주요 내용을 요약하면

1. 개인정보 전송요구권 신설: 개인이 자신의 정보를 보유한 기업이나 기관에 요청하여 해당 정보를 다른 곳으로 옮길 수 있는 권리가 도입되어, 의료, 유통 등 모든 분야에서 마이데이터 서비스의 보편적 운영이 가능함
2. 이동형 영상정보처리기기 기준 마련: 자율주행차와 드론 등 이동형 기기의 안전한 운행을 위한 명확한 기준이 설정됨
3. 규제 체계 개편: 온·오프라인에서 동일한 행위에 동일한 규제가 적용되며, 실효성이 낮은 조문이 삭제되어 법 준수가 용이해
4. 동의 체계 개선: 정보 주체의 '동의'에 과도하게 의존하던 관행에서 벗어나, 서비스와 관련된 정보는 동의 없이 수집할 수 있게 되었으며, 정보 수집의 입증 책임은 사업자가 부담.
5. AI 자동화 결정에 대한 권리: AI를 활용한 자동화된 결정이 개인에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리가 신설되었음.
6. 과징금 상한액 조정: 과징금 상한액이 '전체 매출액'의 3% 이하로 조정되었고, 위반행위와 관련 없는 매출액은 제외하는 기준이 마련되어 비례성과 효과성이 강화되었음.
7. 국외 이전 요건 다양화: 개인정보를 국외로 이전할 때 동의 외에 계약 및 인증 등의 요건이 추가되어 글로벌 규범과의 상호운용성이 확보됨
8. 공공기관 평가 및 실태점검: 공공기관의 개인정보 보호 수준을 매년 평가하고, 실태점검을 위한 근거가 마련되어 공공 및 민간의 개인정보 보호 체계가 강화되었음

전문

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 5일 국무회의에서 「개인정보 보호법」시행령 개정안이 의결됨에 따라 지난 3월 14일 공포된 「개인정보 보호법」과 후속 개정 시행령이 9월 15일부터 시행된다고 밝혔다.

이번 「개인정보 보호법」과 후속 시행령 개정으로 국민의 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화가 예상되므로 기업ㆍ공공기관 등 개인정보처리자는 개정사항을 꼼꼼하게 확인해야 한다.

9월 15일 시행되는 개정법에는 정보주체인 국민의 권리는 실질적으로 보장하면서 온라인-오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털 환경에 맞게 일원화하는 등 그동안 각 계에서 논의되어 온 다양한 내용이 포함되어 있다.

첫째, 국민의 권익 보호가 보다 실질적으로 이루어질 수 있도록 정비하였다.

① 긴급 구조 등 국민의 급박한 생명ㆍ신체ㆍ재산의 이익을 보호*하기 위해 필요하거나, 메르스ㆍ코로나19 등 공공의 안전을 위해 개인정보를 수집ㆍ이용ㆍ제공해야 할 경우에는 우선하여 조치할 수 있도록 하되, 이 경우에도 개인정보 안전조치 등은 적용되도록 하였다.
* 사례: 급박하게 아동 성범죄 피해가 예상되는 상황에서 쏘카서비스를 이용한 범죄자의 주소 정보를 수사기관에 즉시 제공하지 않아 피해를 막지 못함(’21.2월)

② 또한, 정보주체인 국민이 개인정보 침해를 받은 경우 신속하게 구제절차를 진행할 수 있도록 개인정보 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정 절차를 개편하였다.

둘째, 영상정보ㆍ온-오프라인 이원화된 규제 등은 현장의 규제 개선 요청을 반영하여 개선하였다.

① 드론ㆍ자율주행차 등 이동형 영상정보처리기기를 통해 업무를 목적으로 영상정보를 촬영하는 경우 안내판, 소리 등을 통해 촬영 사실을 충분히 알린 경우에는 정보주체가 거부의사를 표시하지 않는 한 촬영이 가능하도록 하였다.

② 또한, 온라인-오프라인으로 이원화되어 각각 다른 기준을 적용하고 있는 규정들은 ‘동일행위 동일규제 원칙’에 따라 모든 개인정보처리자가 동일한 기준을 적용받도록 정비하였다.
※ ①개인정보 이용ㆍ제공 내역 통지, ②14세 미만 아동의 개인정보 수집, ③개인정보 유출 등의 신고ㆍ통지, ④개인정보의 안전조치 기준, ⑤과징금ㆍ과태료ㆍ형벌 등 제재

셋째, 공공분야에서 개인정보가 안전하게 처리될 수 있도록 안전성 확보조치 등을 강화하였다.

국민의 개인정보가 대규모로 관리되고 있는 주요 공공시스템 운영기관에 대하여 접속기록 분석ㆍ점검, 공공시스템별 관리책임자 지정, 공공시스템에 권한없이 접근한 사실이 확인된 경우 통지 등 안전성 확보 조치를 강화하였다.
※ 「공공부문 개인정보 유출 방지대책」(’22.7.14. 관계부처 합동) 이행

넷째, 국제 기준(글로벌 스탠다드)을 반영하여 개인정보의 국외 이전 요건을 다양화하고 과징금 제도를 개편하였다.

① 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 개인정보 보호 인증 등을 받은 기업으로의 국외 이전이 가능하도록 요건을 다양화하고, 법을 위반하는 등의 사유가 있는 경우 국외 이전 중지명령이 가능하도록 하였다.

② 과징금 상한액 산정기준을 위반행위 관련 매출액에서 전체 매출액으로 변경하고 산정기준이 되는 매출액은 ‘위반행위와 관련 없는 매출액’을 제외하도록 하여 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 하였다.

또한, 중소ㆍ영세사업자 등의 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기하거나 분할하여 납부할 수 있도록 개선하였다.

한편, 법 개정사항 중 시행일이 다른 개인정보 전송요구 등에 대하여는 현재 시행령 개정안을 준비 중이며, 개정안이 마련되는 대로 10월부터 단계적으로 입법예고를 진행할 예정이다.

개인정보위는 법 시행에 앞서 민간부문(9월 13일), 공공분야(9월 14일)를 대상으로 개정 「개인정보 보호법」 설명회를 엘타워(양재동, 오후 3시~5시)에서 진행하고, 소상공인·전문 수탁자(호스팅) 등 분야별 특성에 맞게 현장 설명회를 지속적으로 추진할 예정이다.
※ 안내서는 9월 중 초안 공개 후 현장 질답ㆍ의견과 고시 등 개정사항을 반영하여 12월 종합 컨퍼런스 개최 시 발간 예정

고학수 개인정보위 위원장은 “이번 「개인정보 보호법」 개정은 2011년 제정 이후 정부 주도로 추진한 최초의 전면 개정으로, 그 동안의 정보주체인 국민의 권익 보호 강화 요구와 현장의 규제개선 목소리를 충실히 담았다”며,

“개정된 「개인정보 보호법」은 달라지는 내용이 많아 현장에서 꼼꼼하게 확인하고 조치해야 할 사항이 많은 점을 고려하여 연말까지 현장 맞춤형 홍보와 계도 활동에 집중하여 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 지원해 나가겠다”고 밝혔다.

- 담당자 : 개인정보보호정책과 임종철(02-2100-3055), 정승인(02-2100-3057)

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9145

본인인증 서비스는 

개인정보 보호 강화를 위해 2012년 정보통신망법 개정에 따라 등장한 서비스로, 인터넷 상에서 주민등록번호를 사용하지 않고 대체 인증 수단을 통해 본인임을 확인하는 것이다. 
주민등록번호 수집 및 이용의 최소화를 목적으로, 법적으로 주민번호 수집이 금지되면서 그 대안으로 도입되었고 이제는 온라인 회원가입, 계정관리, 비밀번호 찾기, 금융결제 등 다양한 서비스에서 필수적인 절차로 자리 잡았다.
각 인증 업체들이 다양한 인증 방식과 가격대를 제시하고 있는데 이것을 정리해보았다.  

* B2B 계약으로서 제공되는 인증솔루션은 조건이나 방식이 다를 수 있습니다. 
* 틀린것은 댓글로 남겨주면 수정반영하도록 하겠습니다.   (24.10)

업체별 단가정리

서울 신용평가 정보

한국 모바일인증

한국 사이버 결제

드림시큐리티