'개인정보 보호를 위한 법제도의 변화와 자기주권신원 기술 동향' 파트2에서는 자기주권신원(SSI) 개념과 탈중앙화 신원인증(DID) 기술을 알아보고 이를 구현한 구체적인 사례를 살펴본다.
자기주권 신원(SSI) 개념과 탈중앙화 신원관리 기술
중앙집중형 신원 인증 방식의 한계
자기주권 신원(Self-sovereign Identity, SSI) 개념과 탈중앙화 신원관리 기술은 중앙화 된 신원 인증 방식의 여러 단점이 드러나고, 개인정보 보호 및 디지털 신원관리의 중요성이 부각되는 세계적 추세와 맞물려 발전했다.
전통적인 디지털 신원 시스템은 주로 정부, 기업 등 중앙 기관이 신원 인증과 관리를 주도하는 구조였다. 예를 들어 정부가 발급하는 신분증, 금융기관이 제공하는 계정 정보, SNS 플랫폼에서 사용하는 로그인 시스템 등은 모두 중앙화 된 신원관리 모델에 기반한다. 하지만 이처럼 중앙화 된 신원관리에는 여러 문제점이 존재한다.
대표적인 문제는 데이터가 유출될 경우 발생하는 엄청난 피해 규모다. 2017년 미국의 신용평가회사 ‘Equifax’ 해킹 사건, 2014년 국내 카드사의 개인정보 유출 사고 등은 모두 1억 건 이상의 고객정보가 유출된 대표적인 사고다.
다른 문제점으로 사용자가 신원 데이터를 중앙 기관에 맡긴 후 자신의 정보가 어떻게 사용되는지 정확히 알기 어렵다는 점을 꼽을 수 있다. 최근 발생한 카카오페이와 알리페이 간 고객정보 위탁 과정이 정보주체의 인지 없이 개인정보가 이동된 사례라 할 수 있다.
지난 8월, 카카오페이가 2018년 4월부터 6년간 약 4천만 명 이상의 고객 거래 정보 542억 건을 중국의 알리페이 측에 제공한 사실이 금융감독원 조사로 확인되었다. 이 사건은 애플의 앱스토어에 결제서비스 입점을 준비하던 카카오페이가 애플에서 요구하는 고객 데이터를 가공하기 위해 알리페이에 고객 ID, 휴대전화번호, 고객의 거래 내역 등을 위탁하는 과정에서 발생했다. 금융감독원은 카카오페이가 고객 동의 없이 개인정보를 국외로 제공하여, 법에서 정한 업무 위수탁 범위를 넘어선 것으로 판단하고 있다.
[참고]
개인정보 보호법 제 28조 8은 정보주체로부터 별도의 동의를 받지 않는 한, 개인정보를 국외로 제공, 처리 위탁, 보관해서는 안 된다고 명시하고 있다. 또한 국외에 개인정보를 제공할 경우 이전되는 정보의 항목, 이전 국가, 이전 받는 자의 성명 및 목적, 보유/이용기간을 명시하도록 하고 있다.
해당 사례에서 보듯, 개인정보가 국경을 넘어 다른 나라의 기업에 전달되는 과정에도 정보주체는 이를 정확히 인지하지 못하였다.
앞의 사례를 통해 개인정보 관리의 필요성과 중요성에 대해 생각해 보았다. 이번에는 기업이 개인정보를 활용해 이윤을 얻는 사례를 한 가지 더 살펴보자. 대부분 사람들은 구글, 네이버, 카카오 등 대형 포털에서 제공하는 소셜 로그인 기능을 이용한 경험이 있을 것이다. 사용자 관점에서 해당 기능은 인터넷을 이용할 때 개별 서비스마다 별도의 회원가입을 하지 않고 사용할 수 있는 편리한 인증 수단이다. (이를 기술적으로는 Open Authentication, OAuth라 한다.)
[소셜로그인 화면] (출처: velog.io/@phraqe 로그인 페이지)
한편, 기업의 관점에서 소셜 로그인 기능은 이윤 창출 수단이다. 다량의 개인정보를 보유한 대형 포털이 소셜 로그인 기능을 제공하고, 이 기능을 일정 횟수 이상 사용하는 기업은 서비스 제공자에게 비용을 지불한다. 이는 개인정보가 재화 창출로 연결된 사례다. 그런데 이 과정에서 인증에 필요한 개인정보를 제공한 사용자는 어떤 이득을 얻을까? 단지 쉽고 편리하게 서비스에 로그인할 수 있으면, 기업이 내 개인정보를 이용해 이윤을 창출해도 괜찮을까? 물론 기업이 개인정보를 활용하는 경우에는 사전에 약관을 통해 정보주체의 동의를 받는다. 하지만 기업의 개인정보 거래 과정에서 개인정보에 대한 정보주체의 권리가 우선하는지는 여전히 의문이다. 개인정보의 주권과 관련해서 생각해 볼 문제임에는 분명하다.
또한 각 기관과 기업에 제공한 사용자의 신원 정보는 대부분 서로 연동되지 않는다. 때문에 사용자는 개인정보가 변경될 때마다 가입한 모든 서비스에 접속해 변경된 개인정보를 갱신해야 한다. 서비스 규모에 따라 천차만별인 시스템 보안 수준을 사용자가 일일이 고민해 회원 가입 여부를 결정하는 것도 적지 않은 스트레스다.
자기주권 신원(SSI) 개념
이와 같은 배경에서 ‘자기주권 신원’ 개념이 등장했다. 자기주권 신원(SSI)은 신원 정보 관리 측면에서 중앙 기관의 개입 없이 개인이 자신의 신원 정보에 대한 완전한 통제권을 보유하고, 이를 필요에 따라 선택적으로 공개할 수 있는 틀(Paradigm)을 의미한다.
자기주권 신원의 개념은 General Data Protection Regulation (GDPR)을 비롯해 정보주체의 권리를 강조하는 각국의 개인정보보호법의 토대 위에서 탈중앙화 신원관리 기술로 구체화되었다. 이 기술의 발전 과정에는 탈중앙화 네트워크에서 신뢰할 수 있는 데이터 저장소를 제공하는 블록체인 기술도 큰 역할을 했다. 블록체인은 탈중앙화 신뢰 환경을 구축하기 위한 핵심 기술로, 데이터를 안전하게 기록하고 수정할 수 없게 하는 분산 원장 기술을 기반으로 한다. 이는 신뢰할 수 있는 중앙 기관이 없어도 DID 생태계에 참여한 주체 간에 데이터를 안전하게 관리하고 공유할 수 있게 한다.
탈중앙화 신원관리 (Decentralized identity management) 기술
DID(Decentralized Identifiers)는 중앙 기관의 발급을 거치지 않고도 개인이나 조직이 스스로 생성하고 관리할 수 있는 ‘탈중앙화 신원 식별자’, 즉 중앙 관리시스템 없이 생성된 ID이다. DID는 DID와 연결된 공개키 정보를 담은 DID 문서(document) 형식으로 블록체인에 게시된다. 정보주체(Holder)는 DID 문서에 지정된 키로 전자서명을 진행해 DID 소유자임을 주장(Claim)하고, 검증하려는 기관(Verifier)은 블록체인에서 조회한 DID 문서의 공개키로 이 주장을 검증할 수 있다.
그러나 식별자만으로는 정보주체의 정확한 신원을 확인할 수 없기 때문에, 정보주체는 자신의 신원을 증명할 수 있는 기관(Issuer)으로부터 이 식별자와 연결되는 신원증명(Verifiable Credential, VC)을 발급해 관리한다. 일반적으로 정보주체가 첫번째 신원증명을 받을 수 있는 곳은 정부, 학교, 직장 등 정보주체의 원천 신원정보를 보유하거나, 정보주체가 소속된 곳이다.
정보주체는 서비스 제공기관이 신원확인을 요구할 때, 자신이 보유한 신원증명(VC) 중 공개를 원하는 정보만 선택해 제출할 수 있다. 서비스 제공기관은 사용자의 신원증명을 검증(Verify)하고, 서비스를 제공하거나, 제출된 신원정보를 기반으로 새로운 신원증명을 발행할 수도 있다. DID 생태계는 인터넷 관련 표준과 규격을 제정하는 기관인 W3C(World Wide Web Consortium)의 규격에 따라 정의되어 있으며, 그 구조는 아래와 같다.
[DID 생태계의 구성과 정보의 흐름] (출처: www.w3.org Verifiable Credentials Data Model v1.1)
DID 생태계에서는 기존의 중앙화 된 인증방식과 달리 정보주체의 개인정보를 등록하지 않고도 서비스를 운영할 수 있다. 정보주체는 서비스 제공기관이 요구하는 신원정보를 선택해 제출하고, 서비스 제공기관은 이를 활용해 서비스를 제공하며, 서비스 종료와 함께 정보를 폐기한다. 이러한 방법으로 지속적인 개인정보의 확산을 차단할 수 있으며, 정보주체는 자기 정보에 대한 통제권을 계속 유지할 수 있다. 아직 이상적인 형태로 구축된 시스템을 찾아보기는 쉽지 않지만, 국내외 여러 정부와 기업이 대규모 파일럿 프로젝트를 지속적으로 시도하면서 조금씩 DID 생태계의 모습을 갖춰 가고 있다.
다음으로는 국내외에서 DID 기술을 활용해 탈중앙화 신원관리 생태계를 구축 중인 사례를 알아보고자 한다.
자기주권 신원 기술, 어떻게 구현되고 있나
해외
유럽은 자기주권 신원 개념을 선도적으로 실현하고 있다. 2014년 유럽은 ‘EU 내 시장에서 전자거래를 위한 전자신원확인과 신뢰 서비스에 관한 규정(electronic IDentification, Authentication and trust Service, eIDAS)’을 통해 EU 회원국 어디에서든 전자 거래가 더 안전하고 빠르며 효율적으로 이루어지도록 전자신원확인 및 인증에 대한 일관된 표준을 법으로 제정했다. 이 법안은 2016년에 본격적으로 시행되었으며, 전자 ID, 인증 및 서명과 관련하여 모든 EU 회원국이 준수해야 할 동일한 기준을 제시했다.
이 법의 개정안인 eIDAS 2.0(2024/1183)이 2024년 5월 20일에 발효되었다. 개정된 법안은 법이 규제하는 범위를 민간 서비스로 확대해 금융, 건강, 통신 등 다양한 분야에 적용하고, 보안 및 개인정보 보호를 강화하며, 디지털 신원을 위한 프레임워크를 구축하는 내용을 포함한다. 특히 EU 디지털 신원지갑(EU Digital Identity Wallet, EUDI Wallet)을 통해 정보주체가 온라인에서 자신의 신원을 제시하고 전자서명을 수행하며, 신원증명을 안전하게 관리할 수 있는 프레임워크를 정의하였다.
eIDAS 2.0에 따라 모든 EU 회원국은 2024년 11월 21일까지 EUDI 지갑의 주요 기술적, 절차적 기반을 정의하여 새로운 표준에 맞추는 초기 이행 법안을 제정하고, 2026년 11월 21일까지 모든 EU 시민이 사용할 수 있는 EUDI 지갑을 발행해야 한다.
현재 유럽연합은 EU 디지털 신원 지갑 대규모 프로젝트(EU Digital Identity Wallet Large Scale Project)를 통해 유럽 시민들이 공공 및 민간 서비스에 안전하게 접근할 수 있도록 EUDI 지갑을 구현하고 테스트하고 있다. 이 프로젝트는 상호운용성, 보안성, 사용자 통제를 중점으로 2026년까지 완전한 도입을 목표로 하고 있으며, 이에 속한 대표적인 프로젝트는 아래와 같다.
1. EWC (European Wallet Consortium):
EWC는 다양한 EU 회원국이 유럽 디지털 신원 지갑(EUDI Wallet) 구현을 목표로 협업하는 프로젝트다. 이 프로젝트는 디지털 신원 상호운용성을 시험하고, 공공/민간 서비스에 지갑을 통합하여 시민들이 다양한 서비스를 안전하게 이용할 수 있게 한다.
2. NOBID (Nordic-Baltic eID):
큰 틀에서 EWC와 유사한 구조로, 북유럽 및 발트해 국가들이 주도하는 eIDAS 2.0 기반 프로젝트다.
3. DC4EU (Digital Credentials for Europe):
DC4EU 프로젝트는 eIDAS 2.0에 따라 ‘디지털 자격 증명’ 시스템을 개발하는 데 중점을 두고 있다. 이 프로젝트는 교육, 고용, 자격 인증 등 분야에서 검증 가능한 자격 증명(VC)을 제공하고 유럽 전역에서 사용할 수 있도록 한다.
이중에는 DID 기술을 직접적으로 도입하는 EWC와 같은 프로젝트도 있고, 그렇지 않은 경우도 있다. 다만 DID 기술 적용 여부와 관계없이, 이들 시스템은 신원관리의 주권을 개인에게 부여하고자 하는 명확한 목표를 가지고 있다.
국내
우리나라의 자기주권 신원 개념은 주로 공공기관에서 선도적으로 구현하고 있으며, SKT 등 이동통신사도 신원 정보와 문서를 통합 관리하는 디지털 지갑 구현에 적극적으로 나서고 있다.
1. 모바일 운전면허증
모바일 운전면허증은 정부 주도로 2022년에 도입된 첫 모바일 신분증으로, 스마트폰에 저장할 수 있으며 기존 플라스틱 운전면허증과 법적 효력이 동일해 공공기관, 은행, 편의점, 렌터카 업체 등에서 사용이 가능하다. 또한 개인정보 보호를 위해 필요한 정보만 제공하는 기능이 있다.
2. 모바일 건강보험증
DID 기반으로 제공되는 모바일 건강보험증은 스마트폰을 통해 건강보험 정보를 안전하게 저장하고, 병원이나 약국에서 빠르게 신원을 인증할 수 있도록 한다. 2024년 5월 20일에 전국민을 대상으로 서비스를 개시해 현재 500만 명 이상이 이용 중이다.
3. 국민연금공단 해외수급권 확인 서비스
국민연금공단은 해외에 거주하는 연금 수급 대상자가 DID 기술을 이용해 자신의 연금 수급권을 안전하게 확인할 수 있는 서비스를 제공하고 있다. 이 서비스는 수급권자의 생존 확인을 위한 생체정보 확인 기능과 신원증명(VC) 발급 및 검증 기능을 제공한다.
4. SKT 이니셜(Initial)
SKT의 이니셜(Initial)은 DID 기반으로 다양한 증명서를 발급, 저장, 제출할 수 있는 서비스다. 이니셜 앱을 통해 사용자는 대학 증명서, 학생증, 보험 증명서, 고객센터 서류 등을 안전하게 관리하고 제출할 수 있다. 특히, 이니셜은 정부 기관 및 여러 민간 기업과 협력하여 생태계를 확장하고 있다.
5. 모바일 주민등록증
행정안전부는 2024년 12월 27일 시행 예정인 모바일 주민등록법 개정안에 기반하여 디지털 주민등록증 서비스 구축에 착수했다. 따라서 대한민국 국민은 내년부터IC 주민등록증 및 모바일 주민등록증을 발급받아 공공 서비스와 금융 서비스 등 다양한 분야에서 사용할 수 있게 될 전망이다. 이를 통해 온/오프라인에서 신원증명의 편리함이 증대되고, 정보주체의 개인정보 관리 권한이 한층 강화될 것으로 예상된다.
지금까지 개인정보와 관련된 여러 사례와 법제도의 발전 과정, 그리고 이를 뒷받침하기 위한 기술을 간단히 살펴보았다. 정보화 사회로 진입하면서 개인정보의 중요성이 강조되는 반면, 관련된 사고도 끊이지 않고 있다. 이러한 문제를 해결하기 위해 제도를 정비하고 기술을 개발하는 과정에서 정보주체의 개인정보 주권 회복이 대안으로 떠올랐고, 자기주권 신원 개념과 탈중앙화 신원 증명 기술이 탄생했다. 현재는 GDPR을 선두로 자기주권 신원 개념에 대한 법제도가 지속적으로 개정되고 있으며, 이를 실제 시스템으로 구현하기 위한 대규모 프로젝트가 유럽과 미국을 중심으로 왕성하게 진행되고 있다. 우리나라 역시 정부와 공공기관, 민간 기업이 협력하여 자기주권 신원 기술의 확산을 위해 노력 중이다.
맺음말
완전한 탈중앙화 신원관리 환경을 구현하기 위해서는 아직 해결해야 할 과제가 많다. 국가별로는 개인정보 보호와 자기주권 신원 개념을 정착시키기 위한 지속적인 제도의 정비가 필요하고, 국가 간에는 상호연동을 위한 규격의 표준화 협력과 더불어 공공과 민간을 망라하는 기술 교류도 필수적이라 할 수 있다. 아직은 넘어야 할 산이 많지만, 개인정보 주권이 중앙시스템에서 정보주체로 옮겨 가는 정보 주권의 르네상스 시대가 이제 막 열린 것은 분명하다.
이 같은 사회적, 기술적 흐름에 따라 드림시큐리티는 탈중앙화 신원관리 환경을 구축할 수 있는 Magic DID 제품을 개발하였다. Magic DID는 당사의 핵심 기술인 인증과 암호 기술을 활용해 W3C 규격에 따라 구현되었으며, 모바일 단말기에 신원지갑을 구현하고, 신원증명(VC)을 발급하고 검증할 수 있다. Magic DID는 현재 국민건강보험공단의 모바일 건강보험증 등 다수 기관의 서비스에 적용되어 운영 중이며, 드림시큐리티에서는 향후 IoT 및 메타버스 환경에서도 활용이 가능하도록 지속적인 기술 개발을 추진하고 있다.