◇공인인증서의 폐지로 인해
작년 5월 전자서명법 개정안이 국회 본회의를 통과하면서, 인증 시장에 변화의 바람이 불었다. 결국, 그 바람은 공인인증서의 폐지에 다다르게 되었다. 지난 12월 10일, 정부가 공인인증서에 부여했던 우월적 지위가 사라졌다. 공인인증서의 독점적 지위가 없어지면서, 민간업체에서 발급하는 전자서명 서비스와의 경쟁, 새로운 전자서명 기술 등장 등이 기대되고 있다. 특히 차세대 신원확인 기술로 ‘분산신원증명(DID, Decentralized Identity)’이 대두되고 있다. DID기술은 블록체인을 활용함으로써 탈중앙화된 신원확인 서비스를 제공할 수 있는 것이 특징이다. 사용자가 서비스 제공 기업에 필요한 정보만 선택적으로 제공할 수 있어, 데이터의 소유권을 기업이 가지는 것이 아니라 본인 스스로가 가질 수 있게 하는 기술로 각광받고 있다. 그렇다면 데이터의 소유권을 본인이 가지게 된다는 것은 무엇을 의미할까?
반대로, 데이터의 소유권을 본인이 아닌, 기존의 기업들이 관리했을때의 경우를 살펴보자. 회원들의 개인정보를 서비스 제공 기업에서 관리한다면 유출의 위험이 있다. 유출이라고 하여 꼭 해킹으로 인한 유출을 말하는건 아니다. 개인정보 하나당 가격을 매겨 사고파는 등, 기업 내부에서 의도적으로 유출하는 경우도 있을 것이다. 하지만 회원들은 본인의 개인정보임에도 불구하고 자신들의 정보가 거래된다는 것을 알 수가 없다. 구글에 ‘개인정보 유출사례’ 라는 키워드를 검색해보면 관련된 사례가 수십개가 나오는 것을 보았을 때, 서비스 제공 기업에서 개인정보를 관리한다는건 안전하지 못한 처사라 할 수있다. 이 문제를 원천 차단해주는 기술이 분산신원증명(DID, Decentralized Identity)이다.
◇DID 기술은 뭘까
디지털 환경이 아닌 실제 환경에서 사용하는 대표적인 신원증명수단은 주민등록증이다. DID는 디지털 환경에서 사용할 수 있는 주민등록증이라 보면 된다. 물론 주민등록증에 표시된 정보 이외에 다양한 자신의 정보를 넣을 수 있다. 지갑에 주민등록증을 갖고다니며 신원을 증명하듯이, 온라인에서도 DID를 통해 신원을 증명할 수 있다. 하지만 주민등록증과 DID 둘 사이에는 큰 차이점이 존재한다. 우리는 주민등록증으로 신원확인을 할 때, 원치않는 정보를 보여주게 된다. 가령, 주민등록증에 나와있는 사진만 보여주고 싶은데 그것을 건네는 순간, 원치않는 주민등록번호, 주소지 등이 상대방에게 노출된다. 하지만, DID는 다르다. DID는 필요한 정보만을 선택적으로 제공하기 때문에 개인의 프라이버시를 보호하는데 매우 적합한 기술이다. 단순한 예를 들어보자. 성인인증을 할 때 DID를 통해 인증을 한다면 만 19세 이상인지 여부만을 확인시켜주고, 생년월일까지는 보여주지 않는 식이다. 이러한 특징을 이용한다면, 기업이 서비스를 제공하는데 필요한 정보만을 선택적으로 제공할 수 있게 되고, 혹여 유출된다 하더라도 민감한 개인정보는 제공하지 않았을 테니 유출로부터 자유로워지게 된다.
◇어디서 사용되고 있나
한국남부발전이 공공기관 최초로 DID를 신재생에너지 공급인증서(REC) 종합관리시스템에 도입했다. 4월 6일 남부발전은 DID 기반 ‘NEW REC 관리시스템’ 모바일 어플을 배포했다고 밝혔다. 8108개사에 달하는 REC거래 이해관계자의 인증절차 보안과 정보보호 강화를 목적으로 DID인증기술을 도입했다. 회원사 사업자등록번호와 관련 발급정보를 블록체인으로 저장해 발급이력에 대한 위변조를 방지하고 또한, DID 기반의 비대면 서비스를 추가 발굴해 활용범위를 점차 넓혀 갈 예정이라 한다.
4월 7일 대구시는 블록체인 기술을 공동으로 활용할 수 있는 플랫폼을 구축하고, 간편인증 서비스 ‘대구ID’를 제공한다고 밝혔다. 이 ‘대구ID’역시 블록체인 기반 분산신원증명(DID) 기술이 적용되었다. 대구시가 서비스하는 대구ID 앱을 통해 사용자는 아이디와 비밀번호를 입력하지 않고도 두드리소, 통합예약시스템, 대구통합도서관, 토크대구 등 온라인 서비스에 로그인할 수 있고, 도서대출시에도 회원카드 없이 이용할 수 있다. 대구시 역시 향후 시에서 제공하는 모든 온라인 서비스, 산하기관과 공공기관의 온라인 인증이 필요한 서비스에 적용을 확대할 계획이라고 한다.
◇코로나 백신여권으로 사용
4월 1일 정세균 국무총리가 정부서울청사에서 주재한 신종 코로나바이러스 감염증 중앙재난안전대책본부 회의에서 “백신 접종 이후 많은 사람들이 일상 회복을 체감하려면 소위 백신여권 또는 그린카드 도입이 필요하다”고 말했다. 정 총리는 “정부는 올해 초 준비를 시작해 스마트폰에서 손쉽게 예방접종 사실을 증명할 수 있는 시스템 개발을 이미 완료했다”면서 “블록체인 기술을 활용해 위변조 가능성은 원천 차단하고 개인정보는 일절 보관하지 않도록 했다”고 설명했다.
전세계적으로 백신 접종이 이루어지면서 국가간의 이동이 점차 자유로워지고 있다. 백신여권을 통해 해외 활동 국민들의 입출국 어려움을 해소해고 이동편의를 보장해준다는 정부의 계획은 아주 훌륭하다. 하지만 우리나라가 최초는 아니다. 백신여권은 이미 다른 나라에서 시행되고 있는 제도이다. 올해 초 아이슬란드, 이스라엘, 중국 등은 QR코드 기반 백신여권 서비스를 개시했다. 그러나, 그들의 백신여권과 우리의 그것에는 차이점이 존재한다. 바로, 그들의 백신여권은 중앙집중형 시스템에서 디지털 증명서를 사용자 스마트폰에 발급하고, 이용시 QR코드로 증명하도록 하는 방식이고, 우리는 블록체인 기반의 방식이라는 것이다.
앞선 중앙집중형 방식은 위변조가 쉬울수 있고, 이미 다크웹이나 텔레그램에서는 200~250달러에 가짜 백신접종 증명서가 유통되고 있다. 그에 비해 우리의 백신여권은 블록체인 기반이라 위변조로부터 자유롭다. 다만, 아쉬운 점도 있다. 질병청에서 개발한 백신여권에는 DID기술이 포함되지 않았다는 점이다. 블록체인 기반의 프로그램인건 맞지만, DID기술은 포함되지 않았다. 이를두고 업계에선 DID를 활용하지 않는 질병청을 지적했다. KISA는 질병청과 꾸준히 논의를 이어가겠다는 입장을 내비쳤다.
◇DID의 향후 전망은
크게 두가지의 관점으로 나뉜다. 첫 번째로는 DID가 만능은 아니며 인증 수단의 하나로 존재하게 될 뿐이라는 관측이다. 이들의 주장은 현실적인 문제가 포함돼 있는데 주도권을 가진 기업들이 이를 놓치지 않기 위해 현 인증 시스템을 고수할 것이라는 것과 공인기관들이 현 인증 시스템의 신뢰성을 포기하지 않을 것이라는 부정적인 시각이다. 두 번째로는 DID를 통해 사용자 아이텐티티를 중심으로 모든 서비스가 모일 것이고 비즈니스의 흐름을 바꿀 것으로 예상되고 DID가 단순 인증을 넘어 데이터 주권의 문제로 확장돼 폭넓게 적용될 것이라는 될 것이라는 긍정적 시각이다. 필자는 두 번째 의견에 동의한다.
이미 블록체인은 그 자체만으로 핫 이슈이며 블록체인의 특성상 사용자 수는 더욱 많아질 수 밖에 없다. 사용자가 증가하면 자연히 기존의 인증시스템의 파이는 줄어들 테고 그 격차는 점점 벌어질 것이다. 아직 신생 기술이다 보니 표준화가 완벽하지 않아 난항을 겪을지도 모르지만, 전망이 아주 밝은 기술이므로 잘 해쳐나가리라 기대된다.
