[기고] 분산신원확인, 디지털 경제 초석이다

염흥열 순천향대 정보보호학과 교수

  •  
  • 입력: 2020-09-21 19:03
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[기고] 분산신원확인, 디지털 경제 초석이다
염흥열 순천향대 정보보호학과 교수
실세상에서 우리 신원은 정부가 발행하는 주민등록증이나 운전면허증 등 신분증을 통해 확인된다. 사이버 공간으로 디지털 활동 영역이 넓어지면서 실세상과 동일한 역할을 수행하는 손안의 디지털 신분증 또는 자격 증(크리덴셜) 필요성이 대두되고 있다. 디지털 신분증의 예는 모바일 기기에 디지털 신분증을 넣어두고 사용하는 모바일 공무원증과 모바일 운전면허증 등 다양하다. 졸업증명서, 운전면허증, 자격증을 자신의 컴퓨터나 모바일 단말 속의 전자지갑에 보관해 두었다가 필요 시 디지털 신분증만을 해당 기관에 제출하는 시나리오다.

신원확인은 주요국의 국정 과제다. 미국은 클린턴 정부 때 '사이버공간상에서 신뢰 신원을 위한 국가 전략'을 마련한 바 있다. 미국 국립표준과학기술원을 통해 관련 신원확인 관련 국가 표준을 개발하고 있다. 영국도 2020년 9월 국가 디지털 신원 전략 위원회가 6대 기본 원칙을 공개했다. 유럽 연합도 '전자 신원확인 및 신뢰서비스 규정(e-IDAS)'을 제정해 유럽 차원의 하나의 디지털 경제를 실현하기 위한 제도적 기반을 마련했다. 이처럼 주요국은 디지털 경제 달성을 위한 중요 정보 인프라로 디지털 신원관리의 중요성을 인식하고 법제도적 기반을 강화하고, 민관과 공공의 동반 관계 강화를 통해 기술적 제도적 발전을 도모해 디지털 신원확인 체계를 발전시키고 있다.

우리나라도 지난 5월 전자서명법 전부 개정안이 국회를 통과함에 따라 공인인증서가 폐지되면서 다양한 전자서명 수단이 활성화될 것이며, 다양한 수준을 갖는 전자서명 인증서가 시장에 나타나 이용자는 자신에 적절한 전자서명 인증서를 선택할 기회를 갖게 될 것이다.

디지털 신원확인은 원격으로 접속한 이용자의 신원을 인증하거나 자격을 검증한다. 디지털 신원확인 참여 주체는 디지털 신분증을 발행하는 발행기관, 디지털 신분증을 발급받아 사용하는 이용자, 그리고 디지털 신분증을 확인하는 상점과 은행 등 신뢰당사자로 구성된다. 디지털 신원 관리는 대면 또는 비대면 으로 이용자 신원을 검증하는 과정, 신원 검증과정에서 발급받은 디지털 신분증을 안전하게 관리하는 과정, 그리고 발급받은 디지털 신분증을 제시해 확인하는 과정으로 구성된다.

신원관리 모델은 하나의 기관에서만 신원이 관리되는 1세대 중앙 집중 신원확인 모델, 하나의 기관에서 관리되던 신원정보가 여러 기관에 연계되는 2세대 신원확인 연계 모델, 그리고 블록체인 기술과 바이오 인증 기술을 결합한 3세대인 분산 신원확인(탈중앙 신원확인, DiD) 모델이 존재한다. 국민 대부분이 모바일 기기를 사용하고 있고, 모바일 기기를 통한 오프라인 신분증을 온라인에서도 사용하려는 모바일 운전 면허증, 모바일 공무원증의 각종 디지털 신분증의 활용이 요구되고 있다. 분산 신원확인은 블록체인 기술과 생체 인증을 결합해 디지털 신원관리의 편리성과 안전성을 강화하면서 동시에 정보 주체의 정보통제권을 강화할 수 있는 새로운 기술이다.

분산 신원확인의 기본 동작은 동작 다음과 같다. ① 이용자가 전자신분증 발급 기관에 신원 증명을 받고 전자신분증을 발행받는다. ② 발급기관은 신분증 검증 정보를 블록체인에 기입한다. ③ 이용자는 자신의 전자신분증을 은행 등 신뢰기관에 제출한다. ④ 신뢰기관은 전자신분증을 블록체인상의 검증정보를 이용해 검증하고 이용자를 인증하고 해당 서비스를 제공한다.



현재 분산 신원확인 체계를 구축하기 위해 여러 민간 연합체가 활동을 시작했고, 과학기술정보통신부를 중심으로 하는 민간과 공공의 분산 신원확인 협의체가 지난 7월 출범했다. 국내외 표준화를 전담한 분산 신원확인 (DiD) 포럼도 9월 초에 출범할 예정이다. 효과적이고 상호 동작이 가능한 분산 신원확인을 위해서는 다음의 사항이 고려돼야 한다.

첫째, 개인정보보호, 상호 연동성, 투명성, 포괄성, 효과적 거버넌스 구축 등 기본 원칙에 입각해 분산신원확인 체계 구축이 필요하다. 상호 연동을 위한 표준화는 무엇보다도 선행돼야 한다. 공개키 기반구조 국제 표준이 만들어지고 나서 관련 인증 서비스와 생태계가 활성화되었듯이, 분산 신원확인도 기본 기능과 구조, 필수 세부 정보 정의 등의 표준화가 선행되어야 하며, 이를 통해 상호 연동성과 국내외적 경쟁력을 갖는 생태계를 조성할 수 있다.

둘째, 분산 신원확인 체계를 구축하고 운영하기 위해서는 프라이버시 측면이 먼저 고려돼야 한다. 신원확인과 관련된 꼭 필요한 개인 정보만 수집하고 처리하며 꼭 필요한 당사자에게만 제공돼야 한다. 관리되는 개인정보도 안전하게 철저히 보호되어야 한다. 또한 신원증명 단계에서부터 온라인 인증 단계까지 모든 동작이 투명하게 공개돼야 한다.

셋째, 신원정보가 관리되고 보관되는 각 프로세스의 위협 요인을 분석하고, 위협을 해소할 수 있는 보호대책 등으로 구성된 보안 지침의 마련도 필요하다. 특히 서비스의 유형이나 중요도에 따라 신원증명, 분산 신분증 보관 장소, 분산 신분증 소유자 인증 방법 과정에서 다양한 보안 보증 수준의 적용이 필요하다.

넷째, 공공이 분산 신원의 생태계 마련을 위한 수요를 선도하고 민간이 기술 혁신을 통해 생태계를 확보해야 하며, 민간과 공공, 공공간의 효과적인 거버넌스 구성이 필요하다.

분산 신원확인은 디지털 경제의 초석이며 디지털 뉴딜 사업의 성공적 이행을 위한 정보 인프라다. 민간과 공공의 동반 관계 확립을 통해 경쟁력 있는 분산 신원확인 생태계를 구축해 국경을 넘는 디지털 경제의 실현을 지원해야 한다.

염흥열 순천향대 정보보호학과 교수

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사