위험도에 따른 본인 확인 맞춤 전략: LoA 구현
효과적인 본인 확인 LoA(보증 수준) 전략을 구현하면 기업은 거래 위험에 따라 확인 강도를 동적으로 조정하여 사용자 경험과 규정 준수 비용을 최적화하는 동시에 사기 방지 및 보안을 강화할 수 있습니다.
본인 확인 LoA(보증 수준) 전략은 사용자 또는 거래의 평가된 위험에 따라 본인 확인의 엄격함과 깊이를 동적으로 조정하는 것을 포함합니다. 이 접근 방식은 모든 경우에 적용되는 단일 확인 프로세스를 넘어 기업이 리소스를 최적화하고 사용자 경험을 개선하며 규제 요구 사항을 보다 효율적으로 충족할 수 있도록 합니다.
본인 확인의 보증 수준 이해
보증 수준(LoA)은 주장된 디지털 신원에 대한 신뢰도를 분류하는 데 사용되는 프레임워크입니다. LoA가 높을수록 개인이 주장하는 사람이라는 확신이 커집니다. 이 개념은 정부 및 보안 부문에서 시작되었지만 이제는 금융 서비스, 핀테크, 온라인 게임과 같은 규제 산업에서 특히 중요한 상업용 애플리케이션에 필수적입니다.
일반적으로 LoA 프레임워크는 여러 수준을 정의하며, 종종 1에서 4 또는 5까지 다양하며 각 수준에서 증거 및 확인 엄격성에 대한 요구 사항이 증가합니다.
- LoA 1 (낮은 보증): 기본적인 신원 확인. 이는 자기 주장 또는 쉽게 손상될 수 있는 지식 기반 인증(KBA) 질문을 포함할 수 있습니다. 신원 침해의 영향이 미미한 저위험 활동에 적합합니다.
- LoA 2 (중간 보증): 자기 주장 외에 어떤 형태의 증거를 요구합니다. 여기에는 이메일 주소, 전화번호 확인 또는 단일 신뢰할 수 있는 소스와의 데이터 일치가 포함될 수 있습니다. 성공적인 공격이 제한적인 피해를 입힐 수 있는 중간 위험 활동에 자주 사용됩니다.
- LoA 3 (높은 보증): 일반적으로 여러 데이터 소스를 결합하고 강력한 신원 증거를 요구하는 신뢰할 수 있는 확인 프로세스를 포함합니다. 예를 들어, 생체 감지(liveness detection)와 결합된 문서 확인(예: 여권, 운전면허증) 또는 정부 데이터베이스에 대한 확인이 있습니다. 신원 침해가 상당한 재정적 손실 또는 규제 벌칙으로 이어질 수 있는 고위험 거래 또는 활동에 필수적입니다.
- LoA 4 (매우 높은 보증): 가장 엄격한 수준으로, 종종 대면 확인, 생체 등록 또는 특수 하드웨어를 요구합니다. 기밀 정보에 액세스하거나 고도로 규제된 환경에서 고가치 이체를 시작하는 것과 같은 극도로 높은 위험 시나리오에 사용됩니다.
동적 LoA 전략이 필수적인 이유
모든 사용자 또는 거래에 동일한 수준의 조사를 적용하는 정적인 본인 확인 접근 방식은 비효율적이며 종종 역효과를 낳습니다. 이는 다음으로 이어질 수 있습니다.
- 나쁜 사용자 경험: 저위험 활동에 대한 과도하게 부담스러운 확인은 합법적인 사용자를 단념시킬 수 있습니다.
- 비용 증가: 고보증 검사를 보편적으로 적용하면 운영 비용이 불필요하게 증가합니다.
- 규정 준수 격차: 고위험 시나리오를 제대로 확인하지 않으면 기업이 사기, 자금 세탁 및 규제 벌금에 노출될 수 있습니다.
- 사기 탐지 감소: 정적 시스템은 동적이고 위험 기반 접근 방식이 더 깊은 조사를 위해 플래그를 지정할 미묘한 사기 지표를 놓칠 수 있습니다.
본인 확인 LoA 전략을 구현함으로써 기업은 접근 방식을 맞춤화하여 적절한 시기에 적절한 수준의 확인이 적용되도록 할 수 있습니다.
효과적인 본인 확인 LoA 전략 구축
신뢰할 수 있는 본인 확인 LoA 전략을 개발하려면 몇 가지 주요 단계가 필요합니다.
1. 위험 계층 및 트리거 정의
서비스, 사용자 및 거래와 관련된 다양한 위험 수준을 분류하는 것부터 시작하십시오. 이를 위해서는 철저한 위험 평가가 필요합니다. 고려해야 할 요소는 다음과 같습니다.
- 사용자 속성: 신규 사용자 대 기존 사용자, 지리적 위치(고위험 관할 구역), 정치적 노출 인물(PEP) 상태, 부정적인 언론 언급.
- 거래 속성: 거래 가치, 빈도, 유형(예: 암호화폐, 국제 송금), 자금의 출처/목적지.
- 행동 패턴: 비정상적인 로그인 활동, 계정 세부 정보의 급격한 변경, 민감한 정보에 액세스하려는 시도.
각 위험 계층(예: 낮음, 중간, 높음)에 대해 사용자 또는 거래를 해당 계층으로 올릴 특정 트리거를 정의합니다. 예를 들어, 고위험 국가의 신규 사용자가 대규모 거래를 시도하면 자동으로 고위험 계층으로 할당될 수 있습니다.
2. LoA를 위험 계층에 매핑
위험 계층이 정의되면 각 계층을 적절한 LoA에 매핑합니다. 이는 위험과 확인 강도 사이에 직접적인 상관 관계를 만듭니다. 예를 들어:
- 낮은 위험: LoA 1 또는 2. 기본적인 이메일/전화 확인 또는 가벼운 문서 확인이 필요할 수 있습니다.
- 중간 위험: LoA 2 또는 3. 생체 감지(liveness)를 통한 문서 확인 또는 여러 소스에 대한 보다 포괄적인 데이터 확인이 포함될 수 있습니다.
- 높은 위험: LoA 3 또는 4. 일반적으로 생체 감지(liveness)를 통한 신뢰할 수 있는 문서 확인, PEP/제재에 대한 데이터베이스 확인, 잠재적으로 강화된 실사(EDD) 또는 수동 검토가 필요합니다.
3. 적절한 확인 방법 선택
Didit은 다양한 LoA 요구 사항을 충족하기 위해 결합할 수 있는 포괄적인 모듈 제품군을 제공합니다. 여기에는 다음이 포함됩니다.
- 문서 확인: 정부 발행 신분증(여권, 운전면허증)의 진위 여부를 자동 분석하며, 일반적으로 광학 문자 인식(OCR) 및 스푸핑 방지 조치와 결합됩니다.
- 생체 감지(Liveness Detection): 문서 제출자가 살아있는 실제 개인이며 스푸핑이 아님을 확인하기 위한 생체 인식 검사(예: 얼굴 인식, 수동 생체 감지).
- 데이터베이스 확인: 신원 속성, 주소, 전화번호에 대한 신뢰할 수 있는 데이터베이스에 대한 확인 및 제재, 감시 목록, PEP 상태에 대한 확인.
- 주소 증명(PoA): 공과금 청구서, 은행 명세서 또는 공식 문서를 사용하여 거주지 주소 확인.
- 사업자 확인(KYB): B2B 플랫폼의 경우 사업자 등록, 실소유주(UBO), 법인 상태 확인.
- 거래 모니터링(AML/CFT): 자금 세탁 또는 테러 자금 조달을 나타내는 의심스러운 패턴에 대한 거래의 지속적인 스크리닝.
효과적인 본인 확인 LoA 전략은 이러한 방법을 동적으로 조율할 것입니다. 예를 들어, 기본 로그인은 인증 앱을 통한 재인증만 트리거할 수 있지만, 대규모 인출은 새로운 생체 감지(liveness) 확인을 통한 전체 문서 재확인을 요구할 수 있습니다.
4. 적응형 워크플로 구현
본인 확인 LoA 전략은 적응형 워크플로를 통해 구현되어야 합니다. 이는 시스템이 실시간 위험 평가를 기반으로 확인 단계를 자동으로 에스컬레이션하거나 디에스컬레이션해야 함을 의미합니다. 예를 들어:
- 저가치 활동에 대해 LoA 2로 처음 확인된 사용자가 고가치 거래를 시도하면 자동으로 LoA 3으로 에스컬레이션되어 추가 문서 및 생체 감지(liveness) 확인이 필요합니다.
- 반대로, 일관된 행동 이력을 가진 오랜 신뢰할 수 있는 사용자는 일상적인 저위험 작업에 대해 특정 확인 단계를 건너뛸 수 있습니다.
이러한 적응성은 보안, 규정 준수 및 사용자 경험의 균형을 맞추는 데 중요합니다. Didit의 API 우선 접근 방식은 이러한 모듈의 유연한 통합을 허용하여 개발자가 정교하고 동적인 워크플로를 구축할 수 있도록 합니다.
5. 모니터링, 검토 및 최적화
본인 확인 LoA 전략은 일회성 설정이 아닙니다. 지속적인 모니터링, 검토 및 최적화가 필요합니다. 다음을 정기적으로 평가하십시오.
- 사기율: 고위험 거래가 여전히 사기로 이어지고 있습니까? 해당 시나리오에 대한 LoA 요구 사항을 조정하십시오.
- 오탐/미탐: 시스템이 합법적인 사용자를 잘못 플래그 지정하거나 실제 사기를 놓치고 있습니까?
- 사용자 이탈률: 특정 확인 단계가 합법적인 사용자에게 너무 많은 마찰을 일으키고 있습니까?
- 규제 변경: AML(자금 세탁 방지) 및 KYC(고객 알기) 규정과 같은 법률은 진화합니다. 귀하의 LoA 전략은 규정 준수를 유지하기 위해 적응해야 합니다.
데이터 분석을 활용하여 위험 모델을 개선하고 LoA 에스컬레이션 임계값을 조정하십시오. 이 반복적인 프로세스는 귀하의 전략이 효과적이고 효율적으로 유지되도록 합니다.
Didit으로 본인 확인 LoA 전략 통합
Didit은 정교한 본인 확인 LoA 전략을 구축하고 구현하기 위한 인프라를 제공합니다. 1,000개 이상의 데이터 소스와 모듈의 오픈 마켓플레이스를 통해 위험 허용 범위 및 규제 의무에 정확히 일치하는 워크플로를 설계할 수 있습니다.
예를 들어, 계층화된 접근 방식을 구현하려면:
- 저위험 온보딩: 공공 기록에 대한 이름 및 주소 확인을 위해 기본
identity_check모듈로 시작합니다. - 중간 위험 작업: 사용자가 중간 위험 작업을 시도하면
document_capture모듈을 통해liveness_detection과 함께document_verification을 트리거하고, PEP(정치적 노출 인물) 및 제재 확인을 위해watchlist_screening모듈을 사용합니다. - 고위험 시나리오: 고가치 거래 또는 의심스러운 활동의 경우
proof_of_address및 잠재적으로enhanced_due_diligence모듈을 추가하며, 이는 Didit의 도구를 사용하여 수동 검토case_management를 포함할 수 있습니다.
이러한 모듈성은 여러 공급업체와 통합할 필요 없이 사용자 지정 확인 흐름을 구축할 수 있도록 합니다. Didit 내의 decision_engine은 미리 정의된 규칙 및 위험 점수 매기기를 기반으로 이러한 LoA 에스컬레이션을 자동화하도록 구성할 수 있습니다.
주요 요점
- 본인 확인 LoA 전략은 위험에 따라 확인 강도를 동적으로 조정합니다.
- 사용자 경험을 최적화하고 운영 비용을 절감하며 규정 준수 및 사기 방지를 강화합니다.
- LoA 전략 구현에는 위험 계층 정의, 적절한 LoA에 매핑, 적합한 확인 방법 선택, 적응형 워크플로 구축이 포함됩니다.
- 지속적인 모니터링 및 최적화는 전략의 장기적인 효과에 중요합니다.
- Didit의 모듈식 플랫폼은 유연하고 확장 가능한 LoA 기반 본인 확인 프로세스 구축을 지원합니다.
자주 묻는 질문
Q: 본인 확인 LoA 전략의 주요 이점은 무엇입니까?
A: 주요 이점은 각 특정 위험 시나리오에 대해 적절한 수준의 확인 엄격함을 적용하여 보안 및 규정 준수와 사용자 경험 및 운영 효율성 간의 균형을 맞추는 것입니다.
Q: LoA 전략은 AML 규정 준수에 어떻게 도움이 됩니까?
A: 평가된 위험에 따라 KYC(고객 알기) 및 KYB(사업자 알기) 확인의 깊이를 동적으로 조정함으로써 LoA 전략은 기업이 AML(자금 세탁 방지) 요구 사항을 효과적으로 충족하도록 보장하며, 특히 강화된 실사가 필요한 고위험 개인 또는 거래에 대해 그렇습니다.
Q: LoA 전략이 사용자 마찰을 줄일 수 있습니까?
A: 예, 저위험 활동에 대한 불필요한 고마찰 확인 단계를 피함으로써 LoA 전략은 사용자 여정을 크게 개선하고 이탈률을 줄일 수 있습니다.
Q: 본인 확인 LoA 전략은 대기업만을 위한 것입니까?
A: 아니요, 모든 규모의 기업이 혜택을 받을 수 있습니다. 소규모 기업은 종종 예산이 더 빠듯하고 리소스가 적기 때문에 확인에 과도하게 지출하는 것을 피하기 위해 효율적인 위험 기반 접근 방식이 더욱 중요합니다.
Q: Didit으로 LoA 전략을 얼마나 빨리 구현할 수 있습니까?
A: Didit의 인프라는 빠른 통합을 위해 설계되었으며, 종종 몇 분 안에 모듈식 API 및 사전 구축된 구성 요소를 사용하여 본인 확인 LoA 전략을 신속하게 구성하고 배포할 수 있습니다.
Didit은 신원 및 사기 방지 인프라를 제공하며, 1,000개 이상의 데이터 소스와 모듈의 오픈 마켓플레이스에 액세스할 수 있는 단일 API를 제공합니다. 이를 통해 기업은 인증부터 확인, 모니터링에 이르기까지 전체 수명 주기 동안 정교한 본인 확인 LoA 전략을 구현할 수 있습니다. 단 5분 만에 통합할 수 있으며, 최소 금액 없이 공개적인 종량제 요금제를 이용할 수 있고, 매월 500건의 무료 확인을 받을 수 있습니다. Didit의 전체 본인 확인 비용은 0.30달러에 불과합니다.
Didit 시작하기
Didit은 신원 및 사기 방지 인프라입니다. 단일 API, 공개 종량제 요금제, 매월 500건의 무료 확인을 제공합니다. 사용자 확인을 워크플로에 추가하고 5분 만에 통합하십시오.