본문 바로가기

블로그

IT 트렌드의 최신 소식을 만나보세요.

보안

[보안동향] 아직도 신분증 들고 다니세요? 폰만 있으면 본인인증 가능!

2022.05.27

여러분은 모바일기기에서 사용자 인증 수단으로 어떤 것을 사용하시나요?

우리는 오랜 기간 PC에서 아이디와 패스워드로 사용자 인증을 진행해 왔습니다. 공인인증서(현 공동인증서)를 PC에 저장해서 사용했고, 그러다가 USB 저장기기에도 인증서를 저장해 사용할 수 있게 됐죠. USB를 통해 지문인식기기 등도 연결해서 사용해 왔습니다. 이후, 스마트폰의 등장과 확산은 PC에만 있던 인증 수단을 모바일에서도 사용할 수 있도록 만들었습니다. 모바일 기기에 인증서를 저장할 수 있게 됐고, 별도의 장치 없이 스마트폰만 있으면 언제든지 지문인식, 안면인식을 수행할 수 있게 됐습니다.

신분증도 마찬가지입니다. 그동안 주민등록증, 운전면허증 등의 신분증과 함께 회사 사원증도 플라스틱으로 만들어진 실물을 가지고 다녀야 했죠. 신원 확인이 필요하면 신분증을 꺼내서 눈으로 직접 인증받아야 했습니다. 그러나, 최근에는 이러한 신분증도 스마트폰으로 들어가기 시작했습니다.

이제는 두꺼운 지갑을 들고 다니지 않아도 스마트폰만 있으면 신분을 증명하는 것이 가능해졌는데요. 모바일에서도 신분증을 보관, 사용할 수 있게 해주는 기술이 바로 ‘DID 인증’ 기술입니다.

DID(Decentralized Identity/Distributed Identity, 탈중앙화 신원 증명) 는 블록체인 기술 기반으로 구축한 신원 증명 서비스입니다. 지갑에서 주민등록증을 꺼내듯 블록체인 지갑에서 DID를 제출해 신원을 증명할 수 있죠. 기존 중앙집권화된 방식과 비교해 신원 확인 과정에서 개인이 자기 정보에 완전한 통제권을 행사하는 것이 특징인데요. 이를 분산 아이디 또는 탈중앙화 신원확인(신원 증명), 자기 주권 신원 증명(Self-Sovereign Identity)이라고도 합니다.

LG CNS는 라온시큐어와 함께 DID 플랫폼을 기반으로 한 우리나라 최초 디지털 신분증인 ‘모바일 운전면허증’ 구축을 완료하고 발급 및 시범 운영을 시작했습니다. 블록체인 기술을 기반으로 기존 플라스틱 신분증의 문제점인 분실 위험과 위·변조를 해결하는 동시에 온오프라인에서 사용할 수 있는 시스템 구축에 힘을 쏟았는데요, 이를 통해 상대방이 필요로 하는 정보만 제공할 수 있도록 지원해 개인정보 유출을 방지할 수 있습니다. 실제로 차량을 빌릴 때는 운전 자격 정보만, 담배나 주류를 구매할 때는 생년월일만 노출이 가능합니다. 

LG CNS외에도 다양한 국내외 기업들이 DID 인증 서비스를 개발·운영 중입니다. 이번 글에서는 최근 DID 인증 동향에 대해서 살펴보겠습니다.

DID 인증, 누가 주도하고 있을까요?

국내에서는 이미 기업, 금융권, 공공영역까지 DID 인증 시장을 선점하기 위해 다양한 업체들이 경쟁을 벌이고 있습니다. △아이콘루프가 주도하는 마이아이디(MyID), △블록체인 기술기업 코인플러그가 이끄는 마이키핀(MyKeepin)이 주도하고 나머지 통신사가 합류한 이니셜DID, △보안기업 라온시큐어가 중심인 DID얼라이언스 등이 DID를 주도하는 대표적인 그룹입니다. 정부에서도 모바일 공무원증을 시작으로 운전면허증, 장애인 복지카드 등으로 DID 적용을 확대하고 있습니다.

이렇게 DID 관련 업체, 얼라이언스들은 각자가 가진 기술을 발전시키고, 다양한 서비스를 꾸준히 시장에 내놓으면서 영향력을 확대하고 있습니다. 또한, 호환성과 상호운용성을 확보해야 한다는 사실을 잘 알고 있기 때문에 W3C(World Wide Web Consortium) DIF(2017년 설립된 국제표준기구로, 분산 신원확인 기술의 표준화와 호환 기술을 연구하는 협의체) 등의 국제 표준기구에도 참여하고 있습니다.

국내 DID 기업 국제표준 등재현황

최근 한국 주도로 제안한 ‘분산원장기술을 이용한 탈중앙화 신원 관리 시스템을 위한 보안 요구사항’이 국제전기통신연합(ITU-T) 보안연구그룹(SG17) 국제 표준 회의에서 신규 표준화 추진 과제로 채택되기도 했습니다.

또한, 서로 다른 DID 간에도 신원을 검증·확인할 수 있도록 다른 플랫폼에 정보를 전달하고 연계할 수 있는 기능을 확대하고 있습니다.

DID 인증을 활용한 서비스, 어떤 것들이 있을까요?

그렇다면 DID 인증을 활용한 서비스에는 어떤 것들이 있을까요? 

첫 번째는 가장 기본적인 사용자 인증 수단입니다. 최근 금융결제원과 국내 16개 은행이 함께 활용하는 블록체인 DID 기반 인증 서비스인 ‘마이인포’는 DID 플랫폼 기반으로 은행 공동 인증서에서 신원 증명을 지원해 16개 은행의 서비스를 이용할 수 있도록 했습니다. 온라인 회원가입, 디지털 뱅킹 간편 로그인 및 계좌이체 등 서비스를 이용할 때 기존 공동 인증서 대신 활용할 수 있죠. 또한, 이름, 생년월일 등 신원정보뿐만 아니라 사원증, 자격증과 같이 은행 외 다양한 기관의 자격 증명서도 블록체인 DID를 기반으로 발급받을 수 있습니다.

금융분산ID 서비스 개요 (출처: 금융결제원)

두 번째는 요즘 일반 대중에게 가장 눈에 띄는 서비스인 모바일 신분증입니다. 기존 플라스틱 신분증을 모바일 신분증으로 발행해 온오프라인 동시에 사용할 수 있죠. 정부에서 만들고 있는 모바일 공무원증, 모바일 운전면허증이 이 서비스를 잘 보여주는 대표적인 사례입니다.

행정안전부는 올해 초에 모바일 공무원증을 도입한 데 이어, 오는 12월에는 국민 누구나 플라스틱 운전면허증과 동일한 효력을 갖는 모바일 운전면허증을 활용할 수 있는 서비스를 시작할 예정인데요. 이후 장애인 등록증(2022년), 외국인 등록증(2023년), 국가유공자증(2024년) 등으로 순차적으로 서비스를 확대할 예정입니다.

모바일 공무원증 (출처 : 행정안전부)

세 번째는 각종 증명서입니다. 졸업증명서, 학위증명서뿐만 아니라 주민등록등본 같은 증명서도 매번 발급받을 필요없이 한번 발급받은 것을 모바일 지갑에 저장해 두고, 필요한 때에 제출할 수 있죠. 이미 정보처리기사, 한식 요리기능사 등 국가 기술 자격증은 모바일 앱에 넣고 다니면서 필요할 때 꺼내 쓸 수 있습니다.


해외에서도 DID 기술은 디지털 신분증 등을 통해 이미 여러 국가에서 활용되고 있습니다. 네덜란드의 모바일 디지털 신분증 ‘디히데(DigiD)’는 여권·운전면허증과 같은 신원 확인 효력을 갖고 있는데요. 현재 납세와 같은 행정 업무를 비롯해 교육, 건강 의료 서비스를 받을 때 사용할 수 있습니다.

노르웨이에서는 이미 220만 명이 전자 운전면허증을 사용하고 있습니다. 중국은 작년 베이징에서 블록체인 기반 전자신분증과 각종 행정 증명서를 시범 발급했습니다. 인도는 전 국민이 아다르(Aadhaar) 앱을 통해 신원을 증명할 수 있고, 철도·공항 같은 공공 서비스도 이용할 수 있습니다.나이지리아에서도 모바일 신분증(NIMC-MobileID)을 정부 부처, 통신사, 은행에서 사용할 수 있습니다.

특히, 최근 가장 관심받고 있는 것은 바로 백신 패스입니다. 전 세계 많은 나라에서 코로나 백신 접종이 어느 정도 진행되면서 공공시설, 상업시설 이용과 국내외 여행을 할 수 있는 자격 증명이 필요해졌죠. 이에 백신 여권, 백신 접종 증명서에 대한 관심이 높아졌는데요. 백신 패스를 구현할 기술로써 DID가 주목받고 있습니다.

미국·영국·이스라엘 등에서는 코로나 백신을 맞았는지 모바일 앱으로 확인할 수 있는 ‘백신 여권’을 개발·발급하고 있습니다.이스라엘 정부는 2차 백신 접종을 모두 마친 이들에게 ‘그린 패스’를 발급 중입니다. 봉쇄 조치가 완화되면서 헬스장이나 수영장 등 일부 시설은 그린 패스 소지자만 입장할 수 있도록 했습니다. 그리스·스페인 등 관광 국가들도 백신 여권 도입에 적극적으로 나서고 있습니다.

DID, 과연 안전할까요?

DID는 블록체인에 개인정보와 개인이 가진 문서 정보, 신분 정보 등을 여러 조각으로 나눠 암호화한 상태로 저장하는 인증 기술을 기반으로 하고 있습니다. 저장된 정보를 사용하려면 본인 인증키로 분산된 정보를 동시에 호출해야만 정상적으로 암호가 풀리죠. 그렇기에 해킹 위협으로부터 비교적 안전합니다.

또한, 기존 중앙화된 시스템은 해킹으로 인해 대량의 회원 정보가 유출될 수 있지만, DID는 이러한 개인정보 유출에 비교적 안전합니다. DID를 통해서 개인이 자신의 정보를 관리하고 최소한으로 필요한 개인정보만 제출하기 때문이죠.

이스라엘 그린 패스 견본 (출처 : 연합뉴스)

작년에 나왔던 이스라엘 ‘그린 패스’ 백신 접종 증명서는 암호화되지 않은 QR코드로 인해서 위조가 쉽게 이뤄질 수 있었던 취약점이 있었습니다. 이에 따라 위조된 백신 접종 증명서가 공공연하게 매매되는 일도 발생했죠. 백신 패스, 백신 접종 증명서에도 블록체인 DID 기술을 적용하는 이유가 바로 여기에 있습니다. 위변조가 불가능하면서도 개인정보 유출 위험 없이 안전하게 서비스를 구현할 수 있기 때문입니다.

DID 인증이 블록체인을 기반으로 안전성을 보장하고 있긴 하지만, 시장이 활성화되면 그만큼 보안 위협도 증가할 것으로 예상됩니다. 개인의 스마트폰이 분실되거나 해킹당하면 단순히 사용자 인증정보 뿐만 아니라 각종 증명서 정보까지 모두 유출될 수 있기 때문입니다. 아무리 블록체인, DID 기술이 안전하더라도 이를 이용하는 모바일 앱이 악성코드 감염으로부터 안전하지 않다면 개인정보 유출로부터 완전히 자유로운 것은 아닙니다. 서비스를 제공하는 서버에 대한 해킹, 서비스를 운영하는 업체 내부자로 인한 해킹 위험도 여전히 고려해야 할 사항입니다.

DID 인증, 앞으로의 과제는 무엇일까요?

전자서명법 개정으로 여러 인증 서비스가 출시되면서 경쟁이 치열해지고 있습니다. 그중에서도 DID 인증은 정부가 주도하는 모바일 운전면허증, 모바일 주민등록증 등의 디지털 신분증을 기반으로 확대되며 다양한 서비스와 연계되고 있는데요. 앞으로 DID 인증이 인증 수단의 표준으로 자리 잡고 확대될 것으로 예상됩니다.

이미 시장에 등장한 서비스들만으로도 DID의 안전성, 효용성은 어느 정도 입증됐다고 할 수 있습니다. DID는 단순히 사용자 인증 정보 노출에 대한 위험뿐만 아니라, 나의 개인정보 유출에 대한 위험성도 줄일 수 있습니다.

이전에는 담배, 주류를 구매하기 위해 주민등록증을 보여줘야 했다면, 이제는 모바일 신분증으로 19세 이상이라는 것만 증명하면 됩니다. 차량을 빌릴 때도 운전면허증을 보여주지 않고 운전면허 보유 여부만 알려주면 되죠. DID를 활용하면 이렇게 개인 정보 노출을 최소화할 수 있습니다. 일부 정보만 선택적으로 제공하거나 불필요한 정보를 가리기 어려운 실물 신분증과 달리 디지털 신분증은 필요한 정보만 보여줄 수 있는 차별점을 갖고 있습니다.

코로나19 팬데믹 상황에서 DID는 특히 유용합니다. 오프라인에서 실물 신분증, 증명서, 여권을 주고받는 대신 온라인으로 정보를 주고받으면서 신체 접촉을 줄일 수 있기 때문입니다.

이러한 장점으로 인해 DID 시장은 점차 확대될 것으로 보입니다. 다만, DID 인증 기술은 신분증, 증명서 등의 공공, 금융영역에서 주로 활성화되고 있으며, 민간 기업들은 아직 DID 인증 기술을 많이 도입하지 않고 있는데요. 아직 민간 기업에서는 추가적인 비용 문제와 더불어 기존의 인증 수단으로도 충분하다는 인식이 있기 때문입니다. 고객정보를 기업 자산으로 여기고 개인정보 보호보다는 이를 마케팅 수단으로 활용하려는 기존의 폐쇄적인 문화를 벗어나지 못하고 있다는 점이 DID 활성화를 막는 가장 큰 요인이라 생각됩니다. 그런 의미에서 공동의 개인정보를 이용하는 DID 기술이 적용된 마이데이터는 DID 인증이 민간 기업에 확대될 새로운 전환점이 될 것으로 보입니다.

DID 인증 서비스가 개인 사용자뿐만 아니라 기업의 마케팅과 결합해 더욱 효과적인 이익을 줄 수 있는 서비스가 제공된다면 DID 인증이 더 많은 기관과 기업에서 적용될 수 있을 것입니다.

기존 개인정보는 기관과 기업에 위탁돼 다양한 보안 수단을 통해서 보호됐는데요. DID 환경에서는 개인이 직접 자신의 개인정보를 관리해야 합니다. 모바일 기기인 만큼 분실의 위험도 있고, 보안에 대한 인식이 부족한 사용자의 경우에는 오히려 개인정보 유출 위험이 더 커질 수 있죠. 이에 대한 대응책으로 하드웨어 기반의 보안 모듈을 적용하는 등, 모바일에서 개인정보를 더 안전하게 저장하고 보관하기 위한 노력이 계속되고 있습니다.

DID 인증을 이용하려는 기관과 기업들은 DID 인증에 대한 표준, 확장성, 호환성, 보안성을 고려해 DID 기술과 플랫폼을 선택해야 합니다. 또한, 이를 적용한 모바일 기기, 모바일 앱(디지털 신분증, 전자지갑, Wallet 등)의 보안 위협에 대해 관심을 두고 이에 대비한 보안 기능을 꾸준히 적용해야 합니다. 또한, DID 서비스를 운영할 때는 ISMS-P와 같이 공신력 있는 정보보호 관리체계를 통해 투명하고 안전한 서비스를 제공해야 합니다.


글 ㅣ LG CNS 사이버시큐리티팀 김병규 책임

챗봇과 대화를 할 수 있어요