블록체인 기술 전문 기업 블로코가 디지털 신원 인증 모델의 발전 동향과 관련 최신 기술을 소개하는 ‘분산신원증명(DID)과 자기주권신원(SSI), 단순 로그인을 넘어서’ 보고서를 21일 발표했다.
이번 보고서에서는 ▲디지털 신원의 발전과 DID ▲국내 DID 현황 ▲신원을 구성하는 다양한 요소와 DID의 한계 등을 소개했다.
DID는 최근 다양한 기관 및 기업에서 적용을 시도하고 있다. 금융보안원은 지난 4월 DID 기반 금융권 신원 관리 프레임워크를 금융보안표준으로 제정한 바 있다. 이후 한국인터넷진흥원(KISA)은 공공기관 최초로 DID 기반 모바일 사원증 도입을 발표했으며, 행정안전부는 모바일 공무원증과 운전면허증을 ‘DID화’ 한다는 계획을 발표했다.
디지털 신원의 발전과 DID
디지털 신원은 온라인상 개인이나 단말기를 고유하게 식별할 수 있는 정보다. 디지털 신원은 계정을 통해 증명하는 1세대, 한 기관에서 사용 및 발급한 인증을 다른 기관에 연동해 사용하는 2세대, 개인 정보를 본인이 직접 관리하는 3세대로 구분할 수 있다.
1세대(개별 신원 모델)는 여러 인터넷 서비스에 각 계정을 통해 인증하는 방식으로 네이버, 구글 등 인터넷 포털 서비스에 회원 가입한 계정으로 본인을 증명할 수 있다. 관련 프로토콜로는 TLS(Transport Layer Security)와 SSL(Secure Socket Layer) 등이 있다.
2세대(연합 신원 모델)는 한 기업, 기관에서 발급받은 인증을 다른 곳에 연동해 사용하는 방식이다. 개별 계정에 일일이 접속하는 번거로움을 해결하고, 한 곳의 보안 사고가 다른 곳에 영향을 미치지 않도록 고안됐다. 관련 프로토콜로는 SAML(Security Assertion Markup Language), OAuth, OpenID 등이 있다.
3세대(자기 주권 신원 모델)는 개인정보를 사용자가 직접 관리하는 방식으로, 모바일 단말기를 통해 증명을 제출하거나 서비스를 사용할 수 있다. 현재 자기 주권 신원 모델 구현 및 확산을 위해 국제 웹 표준화 기구인 월드와이드웹컨소시엄(W3C) 주도로 DID 모델 관련 표준화가 진행 중이다.
W3C에서는 현재 자기 주권 신원 모델의 구조와 역할을 다음과 같이 정의했다. 사용자(Holder)는 자신의 신원 정보를 보유한 주체로, 해당 신원 정보 기반의 제공 데이터을 생성한다. 학생, 직원, 고객 등 일반 사용자가 여기에 해당한다. 두 번째로 발급자(Issuer)는 사용자의 신원 정보를 발급하는 주체다. 제출된 정보를 바탕으로 신원 정보(VC)를 발급한다.
세 번째로 검증자 및 서비스 제공사(Verifier)는 사용자가 제공한 VC를 통해 신원을 검증하려는 주체다. 마지막으로 검증가능한 데이터 저장소(Verifiable Data Registry)는 VC를 활용하기 위해 필요한 각종 검증키나 식별자가 저장된다. 보안 데이터베이스, 분산 장부 등 다양한 방식의 저장소가 활용될 수 있다.
국내 DID 현황
국내는 다양한 방식의 신원 모델이 혼용되고 있다. 또한 폐지를 앞둔 공인인증서를 대체하기 위한 DID 컨소시엄들이 출범해 다양한 사업을 진행하고 있다. SK텔레콤·KT·LG유플러스 등 통신 3사가 이끄는 ‘이니셜 DID’와 ‘DID얼라이언스 코리아’, ‘마이아이디 얼라이언스’, ‘마이키핀얼라이언스’ 등 4개 컨소시엄이 활동 중이다.
블로코는 이처럼 다양한 기업 및 기관이 DID 서비스를 앞다퉈 출시하고 있지만, 구축 사례 대부분은 일반 사용자가 활용하는 VC 중 극히 일부분만 활용하는 데 머물고 있다고 지적했다.
‘신원’을 구성하는 다양한 요소와 DID의 한계
세계경제포럼(WEF)에서는 신원 정보의 속성을 3가지로 구분한다. ▲태생적 속성(나이, 생일, 지문) ▲축적된 속성(건강기록, 신용정보) ▲부여된 속성(주민·여권번호) 등이다.
블로코에서는 DID를 포함한 현재의 신원인증 개념은 태생적 속성과 부여된 속성에만 집중됐다고 봤다. 이에 ‘공인인증서 대체’가 DID의 가장 큰 목표가 됐고, 공인인증서를 기준으로 쓰여진 금융실명법 등의 현행법과 계속 충돌 중이라는 설명이다. 반면 실생활에 가까우면서 다양한 영역에 쓰일 수 있는 신원 정보가 포함된 ‘축적된 속성’은 큰 의미를 부여받지 못하고 있다고 덧붙였다.
김원범 블로코 대표는 “DID를 통해 스스로 자신의 정보를 평생 관리할 수 있는 ‘SSI’의 핵심 가치는 검증된 데이터의 종류가 아니라 데이터 주권이 특정 기관이나 기업에서 개인으로 이동하는 데 있다”고 말했다. 다만 “한정된 개인 정보만 가지고 특별한 차이점 없이 ‘로그인 방식 중 하나’인 식으로 접근하는 현 방식은 오히려 불편함을 가중하고 보안 책임만을 떠넘기는 것”이라며 “DID를 바라는 SSI가 확대되기 위해선 실생활에서 개인 정보와 신분 인증을 활용할 수 있는 더 가벼운 방법을 고민해야 한다”고 강조했다.
