보험 고객 포털 패스키 가이드

1. 소개#

보험 고객 포털은 여러 방향에서 동시에 압박을 받고 있습니다. 계정 탈취 위험이 증가하고 있고, SMS OTP는 대규모 사용 시 비용이 많이 들며, 콜센터는 비밀번호 및 MFA 실패로 인한 후유증을 떠안고 있고, 규제 기관은 점차 피싱 방지 MFA를 기대하고 있습니다. 이러한 조합은 보험을 패스키의 가장 분명한 고객 인증 사용 사례 중 하나로 만듭니다.

이 문서에서 다루는 내용은 다음과 같습니다.

1. 보험 포털이 강력한 패스키 사용 사례인 이유 ATO 위험, 막대한 비용의 OTP 흐름, 지연된 사기 탐지 및 증가하는 규제 압력.
2. 패스키와 레거시 인증 방식의 비교 보안, UX, 규정 준수 및 비용 전반에 걸친 SMS OTP, 이메일 OTP, TOTP 및 디바이스 신뢰 비교.
3. 보험사 도입이 다른 점 레거시 CIAM, 다중 브랜드 포털 아키텍처, 에이전트 및 계약자 흐름, 지역별 규제.
4. 보험사가 실용적인 운영 모델로 패스키를 도입하는 방법 측정해야 할 사항, 성숙도 모델 사용 방법 및 OTP 위주의 로그인에서 피싱 방지 MFA로 이동하는 방법.
5. 패스키가 디지털 도입 및 셀프 서비스 마이그레이션을 주도하는 방법 C레벨 및 VP레벨 리더를 위한 전략적 사례: 채널 전환, 콜센터 통화 전환 및 인증 가시성을 비즈니스 결과에 연결.

2. 보험 고객 포털이 계정 탈취의 주요 대상이 되는 이유는 무엇인가요?#

보험 고객 포털은 매우 민감한 개인 데이터를 보유하고 있으면서도 종종 취약한 로그인 보안에 의존합니다. 이로 인해 자격 증명 기반 공격의 자연스러운 표적이 됩니다. 계약자 계정에는 사회 보장 번호, 은행 세부 정보, 건강 기록 및 청구 내역이 포함됩니다. 이 모든 것은 신원 도용이나 사기 청구를 통해 금전화될 수 있습니다.

트랜잭션 모니터링을 통해 사기를 실시간으로 잡아내는 은행 포털과 달리 보험 사기는 표면화되는 데 몇 주 또는 몇 달이 걸리는 경우가 많습니다. 계약자 계정에 접근할 수 있는 공격자는 보험사가 침해 사실을 감지하기 훨씬 전에 수혜자를 변경하거나 사기 청구를 제기하거나 개인 데이터를 유출할 수 있습니다.

문제의 규모:

• 현관에서의 크리덴셜 스터핑: NYDFS는 2025년 10월 대중에게 공개된 견적 시스템에 MFA를 강제하지 않았다는 이유로 8개 자동차 보험사에 총 1,900만 US달러의 벌금을 부과했습니다. 공격자는 크리덴셜 스터핑을 사용하여 민감한 운전자 데이터에 대량으로 접근했습니다.
• 비싸고 취약한 SMS OTP: 보험사 규모(수백만 명의 계약자)에서 SMS OTP 전송 비용은 빠르게 증가합니다. 월 1,000만 건의 OTP를 메시지당 0.03 US달러로 전송하는 보험사는 연간 360만 US달러를 지출하며, 이는 100% 전송을 가정할 때의 비용입니다. 실제로 통신사 필터링, 번호 이동 및 국제 로밍으로 인해 5~15%의 OTP가 도착하지 않으며, 전송 실패가 발생할 때마다 지원 전화를 생성할 가능성이 있습니다.
• 비밀번호 재설정으로 인한 콜센터 부하: 보험 콜센터는 이미 복잡한 청구 및 보험 증권 문의를 처리하고 있습니다. 이 혼합물에 비밀번호 재설정 및 MFA 문제 해결을 추가하면 에이전트의 시간이 수익 창출 활동에서 분산됩니다. 업계 추정치에 따르면 인증 관련 통화는 소비자 금융 서비스의 전체 콜센터 통화량의 20~40%를 차지합니다.
• 조여오는 규제 압력: NYDFS 외에도 FTC Safeguards Rule은 2023년 6월부터 비은행 금융 기관에 MFA를 의무화했으며, NAIC 보험 데이터 보안 모델법(25개 이상의 주에서 채택)은 모든 면허 소지자에게 위험 기반 MFA를 요구합니다.

고가치 데이터, 지연된 사기 탐지, 상승하는 OTP 비용 및 강화되는 규제는 모두 같은 방향을 가리킵니다. 보험 포털에는 피싱 방지 인증이 시급히 필요합니다.

3. 패스키는 보험 포털에서 SMS OTP, 이메일 OTP, TOTP 및 디바이스 신뢰와 어떻게 비교되나요?#

올바른 인증 방식을 선택한다는 것은 보안, 사용자 경험, 복구, 도입 복잡성, 지원 부담, 규정 준수 태세 및 대규모 비용을 비교 검토하는 것을 의미합니다. 아래 표는 각 옵션이 어떻게 비교되는지 분석한 것입니다.

결론: 패스키는 보안, UX, 지원 부담, 규정 준수 및 대규모 비용 전반에서 가장 높은 점수를 받는 유일한 옵션입니다. 도입 복잡성이라는 단점이 있지만, 도입이 늘어남에 따라 비용이 회수되는 일회성 투자입니다.

4. 보험사의 패스키 도입이 다른 이유는 무엇인가요?#

보험에 패스키를 도입하는 것은 은행이나 SaaS에 도입하는 것과 다릅니다. 보험사는 모든 구현 결정에 영향을 미치는 레거시 인프라, 다중 브랜드 복잡성, 다양한 사용자 집단 및 계층화된 규제 요구 사항을 처리합니다.

4.1 레거시 CIAM 플랫폼#

대부분의 대형 보험사는 Ping Identity, ForgeRock 또는 Okta와 같은 엔터프라이즈 CIAM 플랫폼에서 고객 아이덴티티를 실행합니다. 이러한 플랫폼은 이제 프로토콜 수준에서 FIDO2/WebAuthn을 지원하지만 이 지원은 백엔드 세리머니에만 적용됩니다. 도입 계층(등록 넛지, 디바이스 인식 프롬프트, 오류 처리 및 클라이언트 측 원격 측정)이 누락되었거나 상당한 맞춤형 개발이 필요합니다.

이는 은행 도입에서 볼 수 있는 것과 동일한 "1% 함정"을 만듭니다. IdP 확인란은 선택되어 있지만, 계약자를 비밀번호에서 패스키로 이동시키는 제품 여정을 구축한 사람이 없기 때문에 도입이 정체됩니다.

4.2 다중 브랜드 포털 및 rpID 전략#

일반적인 대형 보험사는 자동차, 주택, 생명 및 특수 상품을 운영하며 종종 별도의 하위 도메인이나 M&A를 통해 획득한 별도의 도메인에서 운영합니다. 패스키는 오리진에 바인딩됩니다. auto.insurer.com에서 생성된 자격 증명은 둘 다 동일한 의존 당사자 ID(rpID)를 공유하지 않는 한 life.insurer.com에서 작동하지 않습니다.

해결책:

• 패스키 작업이 시작되기 전에 상위 도메인(예: insurergroup.com)에 고정된 단일 rpID를 정의합니다.
• 이 공유 rpID를 사용하는 중앙 집중식 SSO 계층(OIDC/SAML)을 통해 모든 인증을 라우팅합니다.
• 레거시 도메인을 즉시 통합할 수 없는 경우 관련 오리진(Related Origins)을 사용하여 재등록을 강제하지 않고 격차를 해소합니다.

4.3 에이전트 대 계약자 흐름#

보험에는 동일한 백엔드 시스템에 접속하는 매우 다른 두 개의 사용자 집단이 있습니다.

Branch Insurance는 이것이 실제로 어떻게 작동하는지 보여주었습니다. 그들은 에이전트(더 높은 빈도, 더 통제된 환경)로 시작하여 초기 도입률 25%를 달성한 후 계약자로 확장했습니다. 에이전트부터 시작하여 내부 신뢰를 구축하고 디바이스 관련 문제를 조기에 파악했습니다.

4.4 지역별 규정 준수 환경#

보험 인증은 미국의 규제 문제만이 아닙니다. 정확한 규칙은 시장마다 다르지만 방향은 일관적입니다. 더 강력한 ID 제어, 더 광범위한 MFA 적용 범위 및 고객 대면 디지털 채널에 대한 더 많은 조사.

• 미국: NYDFS Part 500은 뉴욕에서 허가받은 보험사를 포함한 적용 대상 법인에 대해 2025년 11월까지 보편적 MFA를 의무화합니다. NYDFS는 SMS OTP를 취약하다고 명시적으로 지목하고 피싱 방지 대안을 권장합니다. NAIC 보험 데이터 보안 모델법은 25개 이상의 주에서 위험 기반 MFA를 추진하는 반면, FTC Safeguards Rule은 특정 비은행 금융 기관 및 중개인에게 MFA를 요구합니다.
• EU: DORA는 2025년 1월 17일에 적용되기 시작했으며 EU 전역의 보험 회사에 적용됩니다. DORA는 MFA 규칙보다 범위가 넓지만 고객 대면 시스템에 대한 ICT 위험 관리, 사고 보고, 복원력 테스트 및 제3자 감독의 기준을 높입니다.
• 호주: APRA CPS 234는 보험사 및 기타 APRA 규제 대상 법인 전반에 걸쳐 위험에 상응하는 정보 보안 제어를 요구합니다. APRA의 2023년 MFA 지침은 권한 있는 접근, 원격 접근 및 고위험 활동을 위한 강화된 인증을 구체적으로 요구하며, 계약자에게 영향을 미치는 중대한 MFA 격차는 보고해야 하는 보안 취약성에 해당할 수 있다고 언급합니다.
• 캐나다: OSFI Guideline B-13은 보험사를 포함한 연방 규제 금융 기관에 적용됩니다. OSFI는 기업이 외부 대면 채널과 권한 있는 계정 전반에 걸친 MFA를 포함하여 위험 기반 ID 및 접근 제어를 구현해야 한다고 말합니다.

다중 지역 보험사의 경우 실제적인 의미는 간단합니다. 가장 엄격한 적용 체제를 만족하도록 고객 인증을 설계해야 한다는 것입니다. 공통적인 방향은 SMS OTP에 대한 지속적인 의존이 아니라 위험 기반 및 점차 피싱 방지 기능이 강화된 MFA입니다.

5. 보험사는 패스키 출시 전후에 무엇을 측정해야 하나요?#

클라이언트 측 원격 측정 없이 패스키를 출시하는 것은 언더라이팅 데이터 없이 보험 증권을 작성하는 것과 같습니다. 콜센터에 전화가 폭주할 때까지 어디서, 누구에게 문제가 발생하는지 알 수 없습니다. 은행 도입에서 발생한 "블라인드 출시" 실수는 보험사가 다루는 다양한 계약자 인구 통계를 고려할 때 여기에도 똑같이 적용됩니다.

최소한 보험사는 세 가지 비즈니스 대면 결과를 측정해야 합니다.

• 로그인 성공률: 패스키 출시 후 계약자와 에이전트가 로그인에 더 안정적으로 성공하고 있나요?
• 등록률: 사용자가 실제로 패스키를 생성하고 있나요, 아니면 첫 번째 프롬프트 이후 도입이 정체되고 있나요?
• 폴백 및 지원 볼륨: 사용자가 SMS 또는 비밀번호 복구로 돌아가고 있으며, 인증 관련 지원 티켓이 감소하고 있나요?

이 세 가지 수치가 올바른 방향으로 움직이면 출시가 효과가 있는 것입니다. 그렇지 않은 경우 프롬프트 타이밍, 폴백 설계, 디바이스 적용 범위 또는 사용자 교육을 조정한 후 추가로 확장해야 합니다.

5.1 일반 로그인보다 청구 및 계정 변경 여정이 더 중요합니다#

보험 포털은 단순히 "로그인해서 잔액 확인하기"의 경험이 아닙니다. 가장 위험한 순간은 종종 계약자가 청구서를 제출하거나, 지급 세부 정보를 변경하거나, 주소를 업데이트하거나, 운전자를 추가하거나, 수혜자를 변경하거나, 중요한 문서에 접근할 때 발생합니다. 이러한 여정은 하나의 일반적인 로그인 KPI로 묶어서는 안 됩니다.

따라서 보험사는 고위험 계정 이벤트에 대해 패스키 성능을 별도로 추적해야 합니다. 전반적인 로그인 성공률이 높아 보여도 청구 관련 또는 지급 관련 여정이 여전히 SMS 또는 수동 복구로 대체된다면, 출시는 실제로 가장 중요한 부분에서 운영 위험을 줄이지 못하는 것입니다. 이것이 보험과 더 자주 사용되는 소비자 앱 간의 가장 큰 차이점 중 하나입니다.

5.2 낮은 빈도의 로그인은 도입 플레이북을 바꿉니다#

많은 계약자는 갱신 시, 청구 문제가 발생한 후 또는 청구서를 제출할 때 일 년에 몇 번만 로그인합니다. 이는 보험에서의 패스키 도입을 매일 사용하는 제품과 근본적으로 다르게 만듭니다. 사용자에게 프롬프트를 표시하고 교육하고 나쁜 첫 경험에서 복구할 수 있는 기회가 적습니다.

이것이 보험사가 등록을 집계뿐만 아니라 여정별로 측정해야 하는 이유입니다. 성공적인 결제 또는 청구 상태 확인 후 표시되는 프롬프트는 마지막 세션 이후 수개월이 지난 후 첫 번째 로그인 화면의 콜드 프롬프트보다 훨씬 더 나은 전환율을 보일 수 있습니다. 보험에서 최적의 도입 순간은 일반적으로 로그인 빈도가 아니라 신뢰 및 작업 완료와 관련이 있습니다.

6. 보험 인증 성숙도 모델이란 무엇인가요?#

이 4단계 프레임워크는 보험사가 현재 인증 현황을 벤치마킹하고, 목표 마일스톤을 설정하며, 이사회, 규제 기관 및 감사인에게 진행 상황을 알릴 수 있는 방법을 제공합니다. 각 레벨은 이전 레벨을 기반으로 합니다.

다음 다이어그램은 SMS 전용에서 전체 가시성으로 진행되는 네 가지 성숙도 수준을 보여줍니다.

이 모델의 사용법:

1. 평가: 모든 고객 대면 포털에서 인증 방법, 원격 측정 범위 및 규정 준수 격차를 감사하여 현재 수준을 확인합니다.
2. 목표: 최소 3단계에 도달하기 위해 12~18개월의 로드맵을 설정합니다. NYDFS의 감독을 받는 보험사는 이중 CEO/CISO 인증 요건을 지원하기 위해 4단계를 목표로 해야 합니다.
3. 전달: 이사회 프레젠테이션 및 규제 당국 제출 시 모델을 사용하여 임시적인 개선이 아닌 체계적인 진전을 보여줍니다.

7. 패스키가 디지털 도입 및 셀프 서비스 전환을 촉진하는 방법#

대부분의 보험 임원들은 인증을 IT 문제로 취급합니다. 이는 실수입니다. 보험 가입자를 콜센터와 지점에서 디지털 셀프 서비스로 이동시키는 것을 전략적 목표로 삼고 있는 최고 경영진 및 부사장급 리더에게 있어, 인증은 이를 가로막는 가장 큰 걸림돌입니다.

7.1 인증은 모든 디지털 이니셔티브의 관문입니다#

셀프 서비스 청구, 온라인 보험 증권 변경, 디지털 결제, 전자 서명 워크플로 등 모든 디지털 보험 이니셔티브는 로그인에서 시작됩니다. 보험 가입자가 이 관문을 안정적으로 통과하지 못하면 하류 투자는 그 어떤 수익도 창출하지 못합니다.

데이터는 명확합니다.

• **소비자의 43%**가 로그인 관리가 온라인 서비스 이용 의지에 영향을 미친다고 답했습니다.
• 64%가 구매를 포기했습니다. 계정을 생성해야 하거나 로그인할 수 없었기 때문입니다.
• **소비자의 60%**는 보험, 연금 및 모기지 포털을 탐색하기 어렵다고 답했으며, 로그인이 첫 번째이자 가장 일반적인 실패 지점입니다.
• **보험 고객의 단 20%**만이 디지털 채널을 보험사와 상호 작용하는 선호 방식이라고 답했습니다. 그 주된 이유는 로그인에서 시작되는 경험이 은행 및 소매 앱에서 얻는 것보다 나쁘기 때문입니다.

다음 다이어그램은 이 4가지 데이터 포인트가 결합하여 단일 도입 차단 패턴을 형성하는 방식을 보여줍니다.

수백만 달러를 포털 재설계, 챗봇, 디지털 청구 워크플로에 투자하는 보험사의 경우, 비밀번호 및 SMS OTP 로그인 경험이 전체 투자를 약화시킵니다. 로그인에 실패하거나 좌절하여 포기하는 보험 가입자는 기본적으로 콜센터에 전화하거나 지점을 방문하게 되며, 이는 디지털 전략이 대체하고자 했던 바로 그 고비용 채널입니다.

7.2 셀프 서비스 전환의 정량화#

보험 가입자를 인적 지원 채널에서 디지털 셀프 서비스로 전환하는 것은 보험 업계에서 가장 높은 레버리지를 제공하는 비용 절감 전략 중 하나입니다.

• **전화 상호 작용 비용은 통화당 8~15 US달러**인 반면, 셀프 서비스는 1달러 미만입니다. 보험사 규모에서는 전화에서 디지털로 채널이 10%만 전환되어도 매년 수백만 달러가 절약됩니다.
• 포털 사용자는 포털 비사용자에 비해 보험을 해지할 확률이 12% 낮습니다. 다중 채널 사용자는 25% 더 높은 유지율을 보입니다.
• 디지털 셀프 서비스를 도입하는 보험사는 서비스 비용이 15~25% 절감되고 청구 처리 비용이 30% 낮아진다고 보고합니다.
• 보험 고객의 82%는 전화를 걸지 않고 문제를 해결하고 싶어 하지만, 56%만이 셀프 서비스 도구가 충분하다고 답했으며, 이 격차는 인증 마찰로 인해 더욱 벌어집니다.

아래 차트는 이러한 채널 간 비용 비교를 보여줍니다.

패스키는 고객 의도와 실제 포털 사용 간의 차이를 직접 해결합니다. 5~15%의 확률로 실패하는 비밀번호 및 OTP 흐름 대신, 로그인이 생체 인식 확인으로 2초 이내에 완료되면 더 많은 보험 가입자가 전화를 드는 대신 디지털 여정을 완료합니다.

7.3 Corbado의 관측성이 디지털 도입에 대해 독특하게 밝히는 내용#

대부분의 보험사는 디지털 도입률이 원하는 것보다 낮다는 것을 알고 있습니다. 그들이 답할 수 없는 것은 왜인가입니다. 기기 비호환성인가요? 등록 과정의 마찰인가요? 패스키가 조용히 실패하는 특정 OS 또는 브라우저 때문인가요? 프롬프트를 보지 못하는 인구 통계학적 세그먼트인가요?

이것이 Corbado의 인증 관측성이 시중의 다른 도구에서 제공하지 않는 기능, 즉 인증 텔레메트리를 디지털 도입률, 셀프 서비스 완료율 및 채널 마이그레이션과 같은 비즈니스 지표와 직접 연결하는 기능을 제공하는 이유입니다.

Corbado는 다음을 드러냅니다.

• 보험 가입자가 인증 과정에서 이탈하는 지점 - 단순한 "로그인 실패"가 아니라, 어떤 기기, 어떤 사용자 세그먼트의 어느 절차 단계인가.
• 레거시 방식에 머물러 있는 집단 - 예를 들어 안드로이드를 사용하는 60세 이상의 보험 가입자는 디바이스가 호환되지 않아 패스키 프롬프트를 전혀 보지 못하고, SMS로 리디렉션된 후 조용히 콜센터로 연결됩니다.
• 인증 성공과 디지털 참여의 직접적인 연관성 - 로그인 성공률이 10% 포인트 증가하면 포털 셀프 서비스 사용이 얼마나 증가하는가? 콜센터로 가는 전화가 얼마나 줄어드는가?

이사회를 대상으로 프레젠테이션하는 CIO 또는 디지털 수석 부사장에게 이것은 "패스키를 출시했습니다"를 "패스키는 디지털 셀프 서비스 도입을 X% 늘렸고, 콜센터 문의량을 Y% 줄였으며, 분기당 Z 달러를 절약했습니다"로 바꿉니다. 이것이 투자를 정당화하고 광범위한 디지털 전환 로드맵을 가속화하는 전략적 내러티브입니다.

8. Corbado가 보험사의 패스키 배포를 돕는 방법#

대부분의 보험사는 이미 WebAuthn 절차를 처리할 수 있는 CIAM 플랫폼(Ping, ForgeRock, Okta)을 보유하고 있습니다. 이들에게 부족한 것은 "패스키를 지원합니다"를 "보험 가입자의 50%가 패스키를 사용합니다"로 바꿔주는 도입 계층입니다. Corbado가 바로 그 계층을 제공합니다.

8.1 도입 엔진#

Corbado의 사전 구축된 UI 구성 요소와 의사 결정 로직은 CIAM 플랫폼이 커스텀 개발에 맡기는 등록 과정을 처리합니다.

• 상황별 등록 프롬프트는 계정 설정에 숨겨져 있지 않고 신뢰도가 높은 순간(성공적인 MFA 확인 직후)에 표시됩니다.
• 점진적인 긴급성은 대부분의 보험사가 필요로 하는 12-18개월의 도입 곡선에 맞춰 구성 가능한 타임라인에 따라 '선택' 권장 사항에서 '권장'을 거쳐 '필수'로 이동합니다.
• 여러 보험 가입자 세그먼트 및 제품 라인에 걸쳐 전환율을 최적화하기 위해 등록 메시지, 타이밍 및 배치에 대한 A/B 테스트를 수행합니다.

8.2 디바이스 인텔리전스#

Corbado는 지속적으로 업데이트되는 디바이스 수준의 패스키 호환성 매트릭스를 유지합니다.

• 특정 삼성 모델에 결함이 있는 패스키 구현이 있는 경우, Corbado는 프롬프트를 자동으로 억제하여 불편함 없이 사용자를 폴백으로 리디렉션합니다.
• 패스키 인텔리전스(Passkey Intelligence)는 사용자에게 프롬프트를 표시하기 전에 디바이스 기능을 탐지하여 지원량 급증의 원인이 되는 '작업 중단' 오류를 방지합니다.
• 보험 특유의 다양한 디바이스(은퇴자가 사용하는 구형 태블릿, 에이전시의 공용 워크스테이션, 기업에서 관리하는 노트북)는 구성 가능한 신뢰 정책을 통해 처리됩니다.

8.3 스마트 폴백#

Corbado는 사용자의 디바이스나 환경이 패스키를 사용할 준비가 되어 있지 않은 경우 대체 방법으로 지능적으로 라우팅하여 영구적인 잠금을 방지합니다.

• 호환되지 않는 기기를 사용하는 가입자는 오류 화면을 보는 대신 차선책으로 매끄럽게 전환됩니다.
• 신원 증명(eKYC, 신분증 스캔 + 라이브니스)을 사용하는 복구 흐름은 콜센터의 개입 없이 재등록을 허용합니다.
• 에이전트 전용 폴백 정책은 하이브리드(QR 코드) 흐름을 차단하는 공유 워크스테이션 및 회사 프록시 환경을 수용합니다.

8.4 포렌식 원격 측정#

Corbado는 서버 측 CIAM 로그가 제공할 수 없는 'X-Ray 시야'를 제공합니다.

• 디바이스 신뢰 대시보드는 패스키 유형, 디바이스 분류 및 SCA 요소 범위별 성공률을 표시합니다.
• 실시간 이상 감지 기능은 비정상적인 패턴(공유 디바이스 스파이크, 의심스러운 환경에서의 등록)이 보안 사고로 발전하기 전에 이를 플래그 지정합니다.
• 감사 준비 보고서는 CISO에게 NYDFS 연간 인증, NAIC 검사 및 내부 이사회 보고에 필요한 데이터를 제공합니다.

Corbado는 기존 CIAM 스택을 대체하지 않습니다. 디바이스 파편화, 사용자 교육 및 패스키 투자가 ROI를 제공할지 아니면 도입률 1% 미만에서 멈출지를 결정하는 운영 가시성이라는 실질적인 복잡성을 처리하며 스택 앞단에 자리합니다.

9. 결론#

보험 고객 포털은 여러 방향에서 동시에 압박을 받고 있습니다. ATO 공격 증가, 값비싼 SMS OTP 인프라, 비밀번호 재설정으로 인한 콜센터 과부하, 미국, EU, 호주 및 캐나다 전역의 엄격해지는 규제 기대치, 그리고 고비용의 인적 채널에서 디지털 셀프 서비스로 보험 가입자를 전환해야 하는 전략적 요구가 바로 그것입니다. 패스키는 피싱 가능한 자격 증명을 제거하고, 인증당 비용을 없애며, 지원 부담을 줄이고, 더 강력한 MFA를 향한 변화에 발맞추며, 디지털 도입을 가로막는 로그인 마찰을 제거함으로써 이 다섯 가지 문제를 모두 해결합니다.

Aflac(등록 50만 건, 성공률 96%), Branch Insurance(티켓 50% 감소) 및 HealthEquity(거부권 없는 의무 도입)는 대규모 도입이 효과가 있다는 것을 이미 증명했습니다. 핵심은 패스키를 인프라 체크박스가 아닌 제품 여정으로 취급하는 것입니다. 등록 절차에 투자하고, 클라이언트를 계측하며, 폴백을 계획하고, 인증 성능을 이사회가 실제로 관심을 갖는 비즈니스 지표인 디지털 도입률, 콜센터 우회 및 셀프 서비스 완료와 연결하는 원격 측정을 구축하세요.

보험 인증 성숙도 모델을 사용하여 현재 상태를 벤치마킹하고, 12-18개월 목표를 설정하며, 체계적인 진행 상황을 이사회와 규제 기관에 전달하세요.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문#

패스키는 보험 고객 포털의 계정 탈취 위험을 어떻게 줄여주나요?#

패스키는 보험사의 도메인에 바인딩된 공개 키-개인 키 암호화를 사용하여 비밀번호 및 SMS OTP 흐름을 괴롭히는 피싱, 크리덴셜 스터핑 및 SIM 스와핑 공격에 면역을 갖습니다. Aflac은 패스키 도입 후 96%의 로그인 성공률을 보고했으며, Branch Insurance는 고객 지원 티켓이 약 50% 감소했습니다. 인증 과정에서 공유 비밀이 전송되지 않으므로, 공격자가 네트워크를 장악하더라도 재사용 가능한 자격 증명을 수집할 수 없습니다.

보험 고객 포털의 인증 요구 사항을 형성하는 규정 준수 프레임워크는 무엇이며 패스키는 어떻게 도움이 되나요?#

미국의 경우 NYDFS Part 500, FTC Safeguards Rule 및 NAIC 보험 데이터 보안 모델법 모두 보험사가 더 강력한 MFA를 도입하도록 압력을 가하고 있습니다. 미국 외 지역에서는 EU 보험사가 DORA의 적용을 받고, 호주 보험사는 APRA CPS 234의 적용을 받으며, 캐나다 보험사는 OSFI Guideline B-13의 적용을 받습니다. 이 모든 규정은 고객 대면 시스템의 인증 제어에 대한 기대치를 높입니다. 패스키는 취약한 SMS OTP 흐름에 대한 의존도를 줄이면서 FIDO2/WebAuthn 암호화 자격 증명으로 피싱 방지 MFA를 제공하기 때문에 도움이 됩니다.

패스키는 보험 포털 인증에서 SMS OTP, TOTP 및 디바이스 신뢰와 어떻게 비교되나요?#

대규모로 SMS OTP를 사용할 경우 메시지당 0.01~0.05 US달러의 비용이 발생하며, SIM 스와핑 및 피싱에 취약하고 전송 실패로 인해 콜센터 부하가 많이 발생합니다. TOTP 앱은 메시지당 비용을 없애지만 여전히 피싱될 수 있으며 코드를 수동으로 입력해야 합니다. 디바이스 신뢰는 알려진 디바이스에서의 마찰을 줄여주지만 피싱 방지 기능은 제공하지 않습니다. 패스키는 피싱 방지 보안과 인증당 0달러의 비용 및 2초 미만의 로그인 시간을 결합하여 보안, UX, 비용 및 규정 준수 전반에서 가장 높은 점수를 받는 유일한 방식입니다.

보험사의 패스키 도입이 은행이나 SaaS 기업과 다른 점은 무엇인가요?#

보험사는 자동차, 주택, 생명 보험 상품이 통합된 rpID 전략이 필요한 별도의 하위 도메인에서 실행될 수 있는 다중 브랜드 포털의 복잡성에 직면해 있습니다. Ping, ForgeRock 또는 Okta와 같은 레거시 CIAM 플랫폼은 백엔드 WebAuthn을 처리하지만 제한적인 도입 도구만 제공합니다. 에이전트와 계약자 흐름은 서로 다른 신뢰 수준과 디바이스 프로필을 요구합니다. 규제 압력도 여러 관할권에 걸쳐 있습니다. 미국 보험사는 NYDFS Part 500, NAIC 모델법 및 FTC Safeguards Rule을 충족해야 하고, EU 보험사는 DORA의 적용을 받으며, 호주 보험사는 APRA CPS 234를, 캐나다 보험사는 OSFI Guideline B-13을 준수해야 합니다. 이를 위해서는 가장 엄격한 적용 표준을 충족하는 도입 계획이 필요합니다.

보험 인증 성숙도 모델이란 무엇이며 보험사는 이를 활용하여 진행 상황을 어떻게 벤치마킹할 수 있나요?#

보험 인증 성숙도 모델은 다음 네 가지 수준을 정의합니다. 레벨 1(SMS 전용) 단일 요소 OTP 및 피싱 방지 기능 없음; 레벨 2(MFA 지원) 기본 규정 준수를 충족하는 비밀번호와 SMS 또는 TOTP 결합; 레벨 3(피싱 방지) 패스키가 배포되고 등록이 보호되며 스마트 폴백 제공; 레벨 4(피싱 방지 + 가시성) 전체 원격 측정, 디바이스 신뢰 및 지속적인 모니터링 포함. 보험사는 이 모델을 사용하여 현재 수준을 파악하고, 목표 마일스톤을 설정하며, 이사회 및 규제 기관에 진행 상황을 전달할 수 있습니다.