여러분은 어떤 수단으로 사용자 인증을 사용하시나요?
사실 작년까지만 해도 사용자 인증에 있어서 가장 큰 이슈는 비밀번호 대체 수단이었습니다. 이에 스마트폰이 대중화되고 FIDO 표준을 따르는 지문인식이 사용되면서, 생체인증이 인증 기술의 가장 큰 이슈가 되었습니다. 사실 FIDO 자체는 비밀번호뿐만 아니라 PIN, 패턴, 지문인식, 안면인식 등의 포함한 여러 가지 인증 수단을 쓸 수 있음에도 불구하고 지문인증이 가장 많이 사용되면서, FIDO는 생체인증의 대명사(?)로 사용되고 있습니다.
작년에 FIDO 2.0 표준이 발표되면서 이제는 스마트폰뿐만 아니라 IoT 기기, 웹 브라우저 등에서도 생체인증을 사용할 수 있는 확장 되면서, 생체인증은 점점 더 대중화되고 있는 상황입니다.
FIDO가 대중화될 수 있었던 가장 큰 이유는, 다수의 글로벌 IT 업체들이 지원하기도 하지만, 사용자의 생체정보가 기업의 중앙 시스템이 아닌 개인 소유의 기기에만 저장된다는 점이 사용자들에게 생체 정보 이용에 대한 거부감, 즉 나의 생체정보를 기업이 가지고 있지 않다는 면에서 가장 크게 어필되었다고 할 수 있겠습니다. 즉, 사용자들은 나의 개인정보(특히 생체정보)를 가능하면 기업이 가지고 있지 않은, 그런 인증 서비스를 원한다고 할 수 있겠습니다.
이런 사용자들의 니즈를 파악하고 대응한 인증 기술이 올해 이슈로 떠오르고 있습니다. 바로 블록체인 기술을 이용한 DID 인증 기술입니다.
블록체인은 2007년 글로벌 금융 위기에, 중앙 집권화된 금융 시스템의 위험성에 대한 대안으로서, 개인 간 거래가 가능한 금융 시스템인 블록체인 기술이 고안되었다고 알려져 있습니다. 이후 블록체인 기술을 이용해 비트코인이라는 가상화폐가 만들어졌고, 비트코인이 폭등•폭락을 거듭하면서 뉴스 등에 자주 보도되면서, 블록체인 기술도 널리 알려지게 되었습니다.
블록체인 기술은 단순히 가상화폐뿐만 아니라 다른 서비스에도 이용이 가능한 것이었는데, 최근 블록체인 기술을 이용한 서비스 중에 가장 핫 이슈로 떠오르는 것이 DID 인증 기술입니다. 이미 MS, SKT, KT, LG 등 다양한 국내외 기업들이 DID 인증 서비스를 개발했거나, 개발 중입니다.
본 기고에서는 최근에 새로운 인증 기술로 떠오르고 있는 DID 인증 기술에 대해서 살펴보도록 하겠습니다.
DID란?
DID(Decentralized Identity, Distributed Identity)는 블록체인 기술 기반으로 구축한 신원증명 서비스입니다. 지갑에서 주민등록증을 꺼내듯 블록체인 지갑에서 DID를 제출해 신원을 증명할 수 있습니다. 기존 중앙집권화된 방식과 비교해 신원 확인 과정에서 개인이 자기 정보에 완전한 통제권을 행사하는 것이 특징으로, 분산 아이디 또는 탈중앙화 신원 확인(신원증명), 자기 주권 신원증명(Self-Sovereign Identity)이라고도 합니다.
기존 인터넷 환경에서 개인의 신원 정보를 증명하려면 이를 인증해 주는 ‘신뢰할 수 있는 제3기관’이 필요합니다. 공인인증서가 대표적인 수단으로, 정부에서 승인받은 공인인증기관에서 발급해준 공인인증서를 통해서 비대면 상태에서도 본인임을 입증해 주는 전자서명을 수행할 수 있었으며, 이는 전자서명법에 의해서 법적으로도 유효성을 보장받고 있습니다.
그러나, 이 같은 방식은 민감한 개인정보를 제3기관(기업, 정부 기관 등)이 대량으로 보유, 관리하게 됩니다. 따라서, 외부 해킹으로 대량의 개인정보가 유출될 가능성이 상존하고 있습니다. 이렇듯 개인정보 유출과 활용이라는 측면에서 피해 범위가 지속 또는 확대되고 있기 때문에, 개인정보에 대한 통제권을 개인에게 돌려주자는 주장이 늘어가고 있고, 이에 대한 대안으로서 DID 인증 기술이 등장했다고 볼 수 있겠습니다.
DID는 개인정보를 제3의 기관, 기업의 중앙 서버가 아니라 개인 소유의 스마트폰, 태블릿, PC 등 개인 기기에 분산시켜서 관리하게 되며, 위•변조가 불가능한 블록체인상에는 해당 정보의 진위만 기록하고, 별도의 중개자 없이도 본인 스스로 신분을 증명할 수 있습니다. 개인이 자신의 정보를 스마트폰의 안전한 저장 영역 등에 보관해 놓고 있다가, 신원 확인•증명이 필요할 경우, 언제든지 스스로 신원 확인 데이터를 제출하고 검증받을 수 있습니다.
왜 DID인가?
DID가 핫이슈로 떠오른 이유는 무엇일까요?
대부분의 기업이 회원 정보를 수집해서 자체적으로 저장, 보관하고 있습니다. 이런 회원 정보는 다양한 보안 시스템을 통해서 보호되고 있습니다만, 실제로는 개인(회원)정보 유출 사고가 끊이지 않고 있는 것이 현실입니다. 최근에 페이스북이 개인정보 유출 사고로 인해서 대규모의 벌금을 물게 됐다는 기사처럼, 개인정보 유출 사고는 끊임없이 계속 발생하고 있습니다.
또한 기업들은 보유하고 있는 회원 정보를 이용해서 다양한 마케팅에 활용하고 있으며, 특히 최근에는 개인정보 비식별화를 통해서 개인의 동의 없이도, 개인정보를 적절하게 비식별화했다는 평가를 받기만 하면, 기업 마음대로 분석•활용이 가능하게 되어 있습니다. 이렇듯 나의 개인정보가 임의로 활용되는 것을 내가 통제하기가 점점 더 어렵게 되고 있습니다.
DID 개발 측에서는 중앙화된 시스템은 해킹으로 인해서 대량의 회원 정보가 유출될 수 있지만, DID를 통해서 개개인이 자신의 정보를 관리하게 되면 해커가 개인 각각의 기기를 해킹해야 하므로 보안성이 높아진다고 말하고 있습니다.
또한 기업이 원하는 정보를 내가 선택해서 제공할 수 있음으로, 나의 정보가 임의로 활용될 가능성도 줄일 수 있게 됩니다. 이렇듯 DID가 떠오르는 가장 큰 이유는 중앙화된 시스템에서의 대량의 개인정보 유출과 나의 개인정보가 임의로 활용되는 것을 방지할 수 있기 때문이라고 하겠습니다.
어떤 서비스들이 등장하고 있나?
해외의 경우 대표적으로 MS에서 지난 5월에 ION(Identity Overlay Network)이라는 블록체인 기반의 탈중앙화 신원증명 프로젝트의 프리뷰 버전을 공개했습니다. ION은 오픈 소스 프로젝트로 현재 코드가 공개되어 있습니다. 기존 Windows 로그인이 DID 기반으로 바뀌게 될 날이 머지않아(?) 보입니다.
국내에서는 지난 6월 금융위원회의 혁신 금융 서비스 금융규제 샌드박스로 지정된 아이콘루프의 블록체인 기반 탈중앙화 신원증명 서비스 “마이아이디(my-ID)”도 있습니다. 마이아이디를 이용하면 비대면 계좌 개설 시 최초 한 번만 사용자 단말기에 개인정보를 저장하고, 이후 비대면 계좌 개설 시에는 저장된 정보를 불러와 사용하도록 해 인증 과정에 걸리는 시간과 불편함을 줄일 수 있다고 합니다.
지난 7월에는 SKT, KT, LG U+ 통신 3사와 삼성전자, 코스콤, KEB하나은행, 우리은행 등이 “블록체인 기반 모바일 전자 증명 서비스 공동 사업 협약”을 맺고, 탈중앙화 신원증명 기술을 기반으로 사용자가 자신의 개인정보를 직접 관리할 수 있는 “자기 주권 신원 지갑”을 조만간 출시할 것이라고 합니다.
이렇듯 통신, 금융, 보안 솔루션 업체 등의 다양한 기관•기업에서 DID 서비스가 계속 나올 것으로 보입니다.
향후 과제는?
국내•외적으로 다양한 DID 인증 서비스들이 속속 등장하고 있지만, 서로 호환이 되지 않는다면 사용자들은 여러 개의 DID 인증 서비스를 사용해야 합니다. 그렇게 되면 결국 기존과 마찬가지로 사용자들은 여러 개의 ID•PW를 사용했듯이, 여러 개의 DID 인증 서비스를 사용해야 할 것입니다. 이러한 문제를 해결하기 위해서는 DID 블록체인 시스템을 하나로 통일을 하거나, 표준화해 서비스 간에 상호 호환이 될 수 있도록 해야 합니다.
다행히 DID 인증 기술에 대해서도 국내•외 표준화 작업이 진행되고 있습니다. 월드와이드웹 컨소시엄(W3C)에서도 DID 표준을 만들고 있으며, 국내에서는 전자서명 포럼과 FIDO 산업 포럼을 중심으로 한 DID 얼라이언스 코리아가 출범 준비를 하고 있습니다. MS가 ION 프로젝트를 오픈 소스로 진행하는 이유도 결국은 다른 업체들의 참여를 이끌어서 호환성, 상호운용성을 확보해야 한다는 사실을 잘 알기 때문이겠습니다.
이전에도 비슷한 개념으로 SSO(Single-Sign-On)가 있었습니다(DID와 다르게 SSO는 기관•기업이 개인(회원)정보를 보관하고 있다는 차이점이 있습니다). 하나의 ID•PW로 한 번의 로그인만으로 여러 개의 시스템•서비스에 접속할 수 있는 서비스입니다. SSO 역시도 서로 다른 SSO 서비스 간에 인증정보가 호환될 수 있도록 SAML(Security Assertion Markup Language)이라는 국제 표준이 있습니다.
그러나, SSO가 하나의 인증정보만 보관•관리해 인증정보 노출•유출의 위험성을 낮춰주고 사용자 편의성은 높여주는 서비스였으나, 같은 기업 서비스 내에서만 SSO가 이루어졌고, 다른 기업 서비스까지 SSO 연동이 확대되지는 못한 것이 현실입니다. SSO가 이루어지기 위해서는 사용자를 식별하기 위한 정보가 어딘가에 존재해야 하는데, 서로 다른 기업 간에 회원 정보까지 공유되지는 못했기 때문입니다.
아마도 기업 입장에서는 많은 회원 정보를 가지고 있는 것이 곧 기업의 매출, 이익에 직결되었기 때문에, 타 기업과 회원 정보를 공유한다는 것이 아무런 대가 없이 그냥 이루어질 수는 없었겠죠(법적으로도 회원의 동의 없는 제3자 제공은 불가합니다).
따라서, DID 인증 서비스도 보안성, 편의성이 좋다는 것은 분명하나, 기업 입장에서는 회원 정보를 가지고 있지 않다(또는 최소한만 가지고 있다)는 제약이 있기 때문에, 회원 정보를 어떻게 활용할 수 있도록 해주냐는 것이 향후 DID 인증 서비스의 활성화의 키 포인트가 될 것 같습니다. 물론 DID 인증 서비스가 대세 또는 법으로서 거스르지 못하게 된다면 기업들도 어쩔 수 없이 따라야 할 수도 있겠습니다.
그러나 온라인 쇼핑몰 등의 기업 서비스를 이용하기 위해서 필요한 최소한의 개인정보(성명, 주소, 전화번호 등 배송정보)가 제공되어야 하고, 또한 기본적으로 기업에는 매출, 이익 확대를 위한 활동(마케팅 등)이 중요한 요소이기 때문에 어떤 식으로든 회원 정보를 보유•활용하기를 원하게 될 것입니다. 물론 사용자가 직접 어떤 개인정보를 제공할지 결정해서 보내줄 수 있겠습니다만, 정보를 많이 제공해줄수록 DID 본연의 목적이 사라지게 되므로 기업이 필요한 개인정보를 어떻게, 어느 수준으로 제공•공유해줄 수 있는지가 DID 서비스의 확대에 중요한 포인트가 될 것으로 보입니다.
DID 인증 서비스는 아직 시작 단계에 있습니다. 이것이 진짜로 사용자뿐만 아니라 기업에도 어떤 이익, 효과를 얼마나 가져다줄지도 아직 증명되지 않았습니다. 다만, FIDO의 사례처럼 호환성이 좋으면서도 보안성과 편의성을 제공할 수 있는 서비스가 만들어진다면 많은 사용자가 저절로 사용하게 될 것이므로, 이런 가능성이 충분한 DID 인증 기술•서비스에 대해서 향후 추이를 관심 있게 지켜볼 필요가 있겠습니다.
글 l LG CNS 보안컨설팅팀
