DID 얼라이언스 추진위 박춘식(아주대 사이버보안학과 교수)
최근 들어 분산ID(Decentralized Identity, 이하 DID)라는 용어가 많이 쓰이기 시작하면서 자연스럽게 Self-sovereign이라는 개인정보의 자기주권화(Self-Sovereign Identity, 이하 SSI)가 화제가 되고 있다. 사실 우리는 살아있는 동안 많은 ID를 생성 및 보유한다. 주민등록번호나 여권번호, 운전면허등록번호도 ID라고 할 수 있고 금융, 공공, 기업, 포털 등 많은 곳에서 각각의 ID를 생성하여 이용하고 있다.
우리는 여기서 크게 두 가지 궁금증을 가질 수 있다. 첫째는 각각 생성되는 ID가 과연 ‘나’라는 것을 증명할 수 있는지, 둘째는 생성된 ID가 과연 내가 소유하고 있는 것이 맞는가이다. 먼저 현재 일반적으로 이용되고 있는 ID 체계가 ‘나’라는 것을 증명(Identification proof)하는 것인지부터 보자. 우리는 보통 ID가 ‘나’라는 것을 증명하기 위해 패스워드를 입력한다고 생각할 수 있지만 엄밀히 따지면 ‘나’라는 것을 증명하는 것이 아닌, 해당 ID를 소유하고 있다는 전제하에 확인(Authentication)하는 과정이라고 봐야 할 것이다. 다시 말해 ‘나’라는 증명은 ID를 생성할 때 한번 본인확인(대면 혹은 비대면)을 하게 되는데 이 때만 ‘나’라는 증명 과정을 거치게 된다. 따라서 이후에는 얼마든지 ID 도용이 가능하기 때문에 각 기관은 추가 인증 수단을 요구하게 된다. 결과적으로 현재의 ID 체계만으로는 ‘나’에 대한 증명이라고 보기에는 어렵다고 하겠다.
다음은 현재 우리가 만들어서
이용하고 있는 ID가 과연 ‘나’의 것이 맞는지 예를 들어 살펴보자. 온라인 쇼핑몰을 통해 구매하는
경우 우리는 온라인쇼핑몰에서 ‘나’의 ID를 생성할 필요가 있다. 이렇게 만들어진 ID가 정말 ‘나’와 얼마나
연관성을 가지고 있을까? ‘나’와 연관성이 있다면 ‘나’는 스스로 이 ID를
다른 곳에서도 충분히 이용 가능해야 한다. 그렇지만 현실은 생성된 ID
정보를 등록한 서비스 기관에서 저장 관리하며 이렇게 관리되는 ID는 기관 간 페더레이션을
통해서만 타 서비스에서도 이용 가능한 구조이므로 이는 내가 배제된 상태에서 업체 중심의 컨소시엄 하에서 이뤄진다고 볼 수 있겠다. 즉, 내가 만들어서 이용하고 있는 ID는 서비스 기관 측면에서 가입자 관리를 위한 용도로 이용된다고 볼 수 있기 때문에 결과적으로 해당 ID의 소유자는 ‘나’보다는
서비스기관이라고 볼 수 있겠다.
이러한 부분에 대한 해결책과
EU에서 시작된 GDPR 등 개인정보보호 강화 측면에서 다시
살펴보면 결과적으로 ‘나’에 대한 증명 방법을 강화하되 ‘나’의 정보는 내가 소유해야 한다(SSI)는
소비자 권익 보호가 설득력을 가지고, 여러 기술적 방안 중의 하나로
W3C를 중심으로 활발히 DID 스펙이 논의되고 있다. DID는
지금까지와는 달리 ‘나’를 중심으로 생성된 ID를 기반으로 실제 ‘나’를
증명할 수 있는 연구로 이어지고 있어 이미 많은 기업들의 참여하에 비즈니스에 접목하려는 움직임도 있다.
실제 기관 중심의 기존 ID 체계와는 달리 사용자 중심의 DID 사상과 가장 상성이 맞아 보이는 블록체인 분산 기술을 기반으로 많은 컨소시엄이 이뤄지고 있다. 국내도 DID에 대한 관심이 올해 들어 급증하고 있고 금융위에서 발표한 혁신금융서비스 중 DID 규제 특례 또한 이러한 배경하에 인정되었다고 볼 수 있겠다. 그럼에도 불구하고 DID가 아직은 활성화 초기 단계라는 점은 부인할 수 없다. 초기단계인만큼 DID 인프라가 각각 진행될 소지도 없지 않다. 지난 6월 26일 한국FIDO산업포럼과 한국전자서명포럼이 공동으로 개최한 ‘블록체인 인증기술 세미나’를 통해 DID에 대한 활성화 방안 및 각 DID 인프라 간 호환성에 대해 논의가 시작된 것은 이러한 점에서 상당히 바람직하다고 볼 수 있겠다. DID 활성화를 위해서 다양한 업체들과 이해관계자들의 컨소시엄을 통해 기술 스펙에 대한 논의가 연구되고 이를 통해 국제표준으로 접목할 수 있도록 하는 것이 중요하겠다. 또한 컨소시엄 협력뿐만 아니라 국제적인 협력체계를 가질 수 있는 얼라이언스 체계 또한 구축해야 할 것이다.
기고문은 헤럴드경제를 통해 기사화되었습니다. 아래 관련 링크를 통해 확인 부탁 드립니다.