지금까지 우리는 내가 나임을 증명할 때 ‘공인인증서’와 ‘주민등록증’을 사용해왔습니다. 은행뿐 아니라 주민등록등본 등 각종 민원서류를 온라인에서 발급할 때와 본인 인증을 할 때 공인인증서는 필수입니다. 공인인증서는 저장매체에 저장해서 다니거나 사용하는 PC마다 저장해야 하는 불편함이 있습니다.
앞으로는 내가 나임을 증명할 수 있는 자기 신원증명이 공인인증서와 주민등록증 대신 디지털 환경에서 분산 ID(Decentralized Identity, DID)로 가능해질 전망입니다. 분산 ID는 쉽게 말해 ‘모바일 신분증’입니다. 모든 신원 인증을 이제 스마트폰 내 디지털 ID가 대체하는 셈입니다.
분산 ID는 온라인상에서 사용자가 스스로 신원에 대한 증명 관리, 신원정보 제출 범위 및 제출 대상 통제 등을 수행하는 체계입니다. 신원은 사용자의 이름, 나이, 개인 고유 식별정보, 인증정보 등을 말합니다.
전통적인 서버와 클라이언트 모델 신원 관리 체계와 다르게 분산 ID를 사용하면 사용자는 자신의 신원정보에 자기 주권(Self-sovereign) 행사가 가능합니다. 즉, 사용자가 스스로 신원정보의 사용 방법 및 목적을 결정할 수 있게 된다는 뜻입니다.
일단 분산원장에 올라간 데이터는 위•변조가 불가능합니다. 이러한 특성을 기반으로 한 ‘신뢰된 ID 저장소’를 이용하면 제3기관 통제 없이 분산원장에 참여 가능한 누구나 신원정보의 위•변조 여부를 검증할 수 있습니다.
분산 ID는 왜 생겨났을까요? 각 서비스 제공기관마다 사용자 인증정보 및 개인정보를 관리하면서 일어나는 유출 사고와 함께 전 세계적으로 개인의 프라이버시를 보호하고자 하는 움직임이 커지고 있기 때문입니다.
유럽연합(EU), 미국 등은 개인의 데이터 주권을 강화하기 위한 정책을 수립하고 시행 중입니다. 예컨대 EU의 개인정보보호규정(GDPR; General Data Protection Regulation)이나 미국의 소비자 프라이버시 권리장전(Consumer Privacy Bill of Right) 등입니다.
사용자의 신원정보가 글로벌 서비스 제공자에게 집중되면서 발생하는 프라이버시 침해 가능성에 대한 우려는 분산 ID 탄생의 배경입니다. 현재 서비스 제공자는 사용자 동의 없이 사용자 서비스 이용 내역 등을 파악할 수 있어 프라이버시 침해 가능성이 큽니다.
실제 구글, 페이스북 등을 중심으로 사용자가 개별 서비스마다 비밀번호를 기억해야 하는 불편을 해소하기 위해 여러 서비스에서 하나의 인증정보를 사용할 수 있도록 통합 인증 서비스를 제공하고 있습니다.
서비스 제공 기관마다 사용자의 신원정보 관리 시, 해킹 등 전자적 침해에 따른 대량의 개인정보 유출 사고가 발생할 수 있습니다. 2016년 7월 해커의 침입으로 인터파크 가입자 1,030만 명 아이디, 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화 번호, 이메일, 주소 등 개인정보 2,540만 건이 외부로 유출되는 사고가 발생한 바 있습니다.
또 2008년 중국인 해커 공격으로 오픈마켓 ‘옥션’의 1,080만 명에 이르는 고객 개인정보가 유출됐습니다. 사용자는 해당 서비스 가입 시 신원정보(ID, 패스워드 등)를 등록하고, 서비스 이용 시 가입에 사용한 신원정보를 서비스 제공자에게 제출합니다.
사용자의 신원정보는 서비스 제공자가 관리하는 구조입니다. 결국 신원정보가 서비스 제공 기관인 인터파크, 옥션에 집중되는 구조로 사용자 인증정보 및 개인정보가 유출되면서 대형 피해가 발생하는 것입니다.
사용자 입장에서도 개별 서비스마다 인증정보를 다르게 설정하고 관리하기에 한계가 있습니다. 사용자가 만약 여러 서비스에 동일한 인증정보를 설정하면 이를 악용한 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격 가능성이 높습니다. 즉, 타 서비스에서 불법으로 입수한 아이디와 비밀번호를 기반으로 사용자가 사용할 만한 다른 사이트를 찾아 무작위로 인증을 시도하는 공격이 일어나는 것입니다.
만약 여러 서비스에 가입하면서 ID, 패스워드 등 인증정보를 각기 다르게 설정하면 이를 기억하지 못하기 일쑤입니다. 이를 기억하기 위해 다른 곳에 ID를 적어 놓으면 이 또한 유출 사고의 단초가 될 수 있습니다.
분산 ID는 이러한 서버, 클라이언트 모델에서 벗어나 블록체인을 활용합니다. 신원정보 발행자는 사용자의 신원을 검증 후 신원정보를 발행합니다. 이어 신원정보를 검증할 수 있는 발행자의 ID 정보를 신뢰된 ID 저장소인 분산원장에 등록합니다.
사용자는 서비스 이용 시 신원정보를 서비스 제공자에게 제출합니다. 서비스 제공자는 신뢰된 ID 저장소를 이용해 신원정보를 검증해 신원을 확인하는 구조입니다.
쉽게 말해 실생활에서 사용자가 주민등록증 등 신원증명을 관리하는 것처럼 온라인에서도 개별서비스 제공기관이 아닌 사용자 스스로 자신의 신원정보를 관리하거나 통제할 수 있도록 하는 새로운 인증체계가 분산 ID입니다.
사용자는 외부환경의 변화와 관계없이 자신의 신원정보를 지속해서 사용할 수 있는 것이 장점입니다. 서비스 제공자에 의해 신원정보가 관리되지 않기 때문에 서비스 제공자의 서비스 운영 중지 등 외부적 요인이 발생해도 신원정보의 유효성은 유지됩니다.
사용 정보의 발행•검증은 특정 기관에 종속적이지 않고, 피어(Peer)기반으로 독립적으로 운영됩니다. 서버, 클라이언트 모델과는 달리, 누구나 필요한 신원정보를 생성하거나 이용 가능합니다. 단, 사용자 신원을 최초로 검증할 수 있는 최소한의 신뢰된 기관(Trust Anchor)은 필요합니다.
또 신원증명이 필요한 경우 언제든 사용자는 스스로 신원정보를 선택 후 제공할 수 있습니다. 사용자는 스마트폰을 이용한 모바일 ID, 칩이 내장된 실물카드 형태의 ID카드 등으로 이용 가능합니다. 이를 통해 필요하면 언제든 신원정보를 선택해 서비스 제공자에게 제공할 수 있습니다.
개인정보 보호도 강점입니다. 분산 ID를 활용하면 개인의 동의 없이는 서비스 제공자의 개인정보 활용이 제한됩니다. 사용자가 신원정보를 스스로 관리하기 때문에 서비스 제공자는 서비스에 필요한 정보 이외의 개인정보 및 타 기관에서의 사용자 서비스 이용 내역은 확인할 수 없습니다.
분산원장 기반의 신뢰된 ID 저장소 내에는 개인정보를 평문으로 저장하지 않습니다. 개인정보가 포함된 신원정보는 암호화 조치를 수행하는 구조입니다.
캐나다에서는 금융 회사를 중심으로 분산 ID 서비스를 구축해 시범 운영 중입니다. 캐나다에서는 2017년부터 금융기관을 중심으로 블록체인 기반 분산 ID 서비스를 테스트하기 위한 시범사업 중입니다. 이 사업은 캐나다 정부가 사이버 인증 리뉴얼 프로젝트의 일환으로 후원하고 있는 시큐어키(SecureKey)에서 주도하고 있습니다.
시큐어키는 분산 ID 플랫폼을 제공하는 캐나다 스타트업입니다. 시큐어키는 캐나다 주요 은행인 몬트리올 은행(BMO), 캐나다 임페리얼 상업은행(CIBC), 캐나다 왕립은행(RBC), 스코샤 은행(Scotiabank), 토론토 도미니언 은행(TD)와 통신 회사, 공공기관과 함께 자체 DID 서비스 베리파이드미(Verified.Me)를 활용한 사용자 간편인증 방안을 준비 중입니다.
사용자가 통신 회사에서 새로운 스마트폰을 개통할 경우, 통신 회사는 사용자가 본인임을 확인하기 위해 금융 회사에서 발급한 신원정보를 검증해 사용자를 인증합니다.
에스토니아는 2013년부터 정부 주도하에 디지털 신원증명 시스템에 블록체인 기술을 적용해 서비스 중입니다. 에스토니아 정부는 분산 ID 사업을 블록체인 기업 가드타임(GuardTime)과 협업 중입니다.
에스토니아는 ‘전자거주권(e-Residency)’프로그램을 통해, 국적에 관계없이 디지털 ID 형태의 신원 증명서를 발급합니다. 신원 증명서를 이용하면 법인 설립에 필요한 절차가 간소화되고 외국인도 인터넷을 통해 손쉽게 법인 설립이 가능합니다.
신원증명 용도의 전자 거주권에 KSI(Keyless Signature Infrastructure) 기반 블록체인 기술을 접목해 발급합니다. KSI는 허가형 블록체인으로 블록체인 내 정보의 무결성 보증기능을 이용해 해쉬 함수에 기반해 구축한 키 없는 전자서명 인프라입니다. 정부 주도로 신원증명에 필요한 신뢰된 기관을 구축했다는 측면에서 향후 민간분야까지 빠르게 분산 ID를 확산할 것으로 예상됩니다.
2017년부터 스위스의 도시 주크(Zug)에서는 지방정부 주도하에 주크 시민을 대상으로 블록체인 기반 신분증을 발급하는 파일럿을 운영 중입니다. 사용자는 신분증을 이용해 주크시에서 온라인으로 제공하는 공공서비스를 별도의 아이디나 패스워드 없이 이용 가능합니다.
주크는 신분증 발급 및 증명을 위해 공개형 블록체인인 이더리움에 기반해 분산 ID 플랫폼을 구축했습니다. 이더리움에 등록된 사용자 공개키 관련 정보(스마트 컨트랙트 주소)와 사용자 본인임을 확인할 수 있는 정보(생년월일, 여권번호)를 주크시의 ID 발급기관에 제공해 신분증을 발급하는 방식입니다. 이 신분증을 기반으로 공공기관뿐 아니라 타 서비스 제공 업자에게도 고객 신원정보를 확인할 수 있습니다.
분산 ID는 우리 생활의 가장 기본적인 결제부터 공공서비스 이용까지 다양한 분야에서 혁신을 가져올 것으로 예상됩니다. 특히 금융사들은 분산 ID 컨소시엄에 참여해 분산 ID 상용화를 준비 중입니다.
금융권에서 분산 ID를 주목하는 이유는 무엇일까요? 분산 ID 생태계가 가진 확장성 때문입니다. 인증이 필요한 모든 영역에 적용할 수 있는 만큼 기술과 금융, 유통 등 전 영역이 빠르게 융합하고 있는 현 단계에서 시장 선점을 확보하기 위해서입니다.
금융사, 통신사, 보안 기업에 이르기까지 분산 ID 주도권을 잡기 위한 동맹 전선 구축이 국내 시장에서 한창입니다. 현재 SKT 컨소시엄의 ‘이니셜’과 아이콘루프의 ‘마이ID’, 금융결제원이 속한 ‘DID 얼라이언스’ 등 3개 진영이 형성된 상황입니다.
이니셜 DID 연합은 올해 상반기 출시 예정인 이니셜 앱을 통해 연내 70여 종 전자증명서를 발급받을 수 있도록 하고, 국내 주요 금융기관 및 대기업의 증명서 원본 확인 서비스도 상용화할 계획입니다.
이를 통해 기존 증명서 발급•제출 과정을 혁신하고, 은행·카드·증권·보험 등 다양한 산업 분야에 활용하는 등 기존 종이 증명서와 공인인증서를 보완해 디지털 인증 시장을 선도해 나간다는 계획입니다.
이니셜 컨소시엄은 금융 분야에 주력한다는 방침입니다. 일단 카드 발급 심사와 은행 대출 심사 프로세스에서 발생하는 증명서 신청이나 발급, 제출 등 복잡한 과정을 분산 ID를 통해 단축할 예정입니다.
증권사에서도 활용할 계획입니다. 개인이 투자성향 증명서를 발급받으면 이를 통해 여러 금융사에서 금융상품을 추천받는 방식입니다. 또 의사, 변호사 등 자격증명을 통해 대출 금리 혜택을 받을 수 있도록 은행과 분산 ID를 연동하는 방식을 추진합니다.
아이콘루프의 마이 ID도 금융 분야 서비스에서 시작합니다. 가령 금융소비자가 은행에서 마이 ID를 최초 발급받은 이후 증권사에 방문해 종합자산관리(CMA)계좌 등을 추가 개설할 때 마이 ID 인증 한 번만으로 실명 인증 절차를 완료할 수 있습니다.
모바일 금융 플랫폼 가입, 공인인증서 등 접근 매체 발급, 타기관 인증서 등록 등 다양한 비대면 업무로 확대 적용도 가능합니다. 간편송금, 자산관리 등 다양한 핀테크 기업의 혁신 모바일 금융서비스의 신원인증 수단도 될 수 있습니다.
DID 얼라이언스는 올해 금융권 분산 ID 기반 본인 인증 서비스를 상용화할 예정입니다. 공인인증서, 아이핀 등 기존 본인 인증 수단에 분산 ID 기반 본인 인증이 추가되는 것입니다.
DID 얼라이언스 참여 업체 라온시큐어의 플랫폼 옴니는 생체인증을 통한 편의성과 다양한 활용성이 강점입니다. 생체정보를 이용해 금융, 포털, 쇼핑 등 본인 인증을 지문, 얼굴인식 등 생체정보를 활용해 해결합니다. 병무청과 함께 민원 포털 서비스 이용에 필요한 인증서 전자서명 및 부인방지를 블록체인 분산 ID 기반 인증 플랫폼으로 대체한다는 계획입니다.
가트너의 블록체인 기술 하이프 사이클에 의하면, 현재 분산 ID는 ‘기술 촉발 단계’로, 향후 5~10년 이내 분산 ID 기술은 시장에서 자리를 잡을 것으로 예상됩니다.
국내•외 프라이버시에 대한 이슈가 불거지면서 사용자 중심의 분산 ID 생태계 조성 필요성을 계속 커질 것으로 예상됩니다. 현재 전 세계적으로 분산 ID 생태계가 조성되고 있는 단계입니다. 지금은 분산 ID 기술의 금융권 도입방안을 선제적으로 검토할 시기입니다.
특히 국내 금융권에서는 기존 구축된 디지털 기반의 고객 신원 인프라를 기반으로 손쉽게 분산 ID로 확장할 수 있어 주도권 확보가 치열할 것으로 예상됩니다.
글 l 김지혜 l 전자신문 금융 IT 전문기자 (저서: 로보 파이낸스가 만드는 미래 금융 지도)
* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
'IT Insight' 카테고리의 다른 글
| IT로 주방을 혁신하다! '커넥티드 키친' (0) | 2020.02.03 |
|---|---|
| 한눈에 살펴보는 IT 트렌드 (20년 1월) (0) | 2020.01.30 |
| 인공지능의 확산을 보여 준 CES 2020 (1) | 2020.01.23 |
| 오픈소스 업계에도 90년대 생이 온다 (2) | 2020.01.21 |
| 미래형 호텔에는 '로봇'이 산다 (1) | 2020.01.20 |
