탈중앙화 신원증명(DID), 데이터의 주권은 ‘개인’에게 있다!

글. 김기영(줄라마코리아 대표)

“데이터는 21세기의 원유다.” 중국 최고의 거부 중 한 사람이자 알리바바 창업주인 마윈이 한 말이다. 바야흐로 우리는 데이터의 시대에 살고 있다. 지금 이 순간에도 개인(Individual)들은 세계 곳곳에서 방대한 양의 데이터를 생성하고 있다. 하지만 아이러니하게도 이러한 데이터들은 대부분 소수의 서비스 제공자 소유다. 개인의 아이덴티티(Identity)가 막대한 부를 만들어내고 있음에도 개인이 아닌 서비스 제공자들이 데이터의 주권을 갖고 있는 것이다. IT 업계에서 이런 시대착오적 문제점을 해결할 솔루션 하나가 나왔다. 바로 블록체인 기반의 ‘탈중앙화 신원증명(이하 DID, Decentralized Identity)’이다. DID란 개인 정보를 사용자의 단말기에 저장해, 개인 정보 인증 시 필요한 정보만 골라서 제출하도록 해주는 전자신원증명 기술이다. DID 개념, 정의, 현황, 전망을 고루 살펴본다.

꼭 필요한 개인정보만 선택해 공개하니 안심!

DID는 중앙 기관이 아닌 개인들이 자신의 데이터를 직접 관리하는 구조다. 따라서 기존 방식과 달리 서비스 이용 과정에서 모든 개인 정보를 제공하지 않아도 된다. 각각의 사용자가 인증을 위해 꼭 필요한 정보만을 선택해 제출할 수 있기 때문이다. 예컨대 편의점에서 술을 구매할 때 직원에게 보여주는 주민등록증에는 나이뿐 아니라 주소, 이름, 주민번호 등 모든 개인 정보가 노출된다. 하지만 DID 기반 신원지갑을 사용하면 ‘20세 이상 성인’처럼 필요한 사실만 확인 시켜줄 수 있다. 온라인 플랫폼을 사용할 때는 편의성도 개선될 것으로 보인다. DID를 이용하면 매번 별도로 인증할 필요 없이 이전에 인증했던 데이터를 불러오면 된다. 즉 개인 정보를 반복적으로 입력하거나 일일이 신분증 사진을 올리지 않아도 된다.

디지털 개인정보 관리는 DID에서부터

핵심은 데이터 주권이 중앙기관·기업에서 개인에게로 온다는 사실이다. 소수의 서비스 제공자가 운영하는 중앙 시스템에 방대한 양의 개인 정보가 몰리는 것은 상당히 위험한 현상이다. 서비스 제공자들은 처리해야 하는 데이터 양이 기하급수적으로 증가하며 관리에 어려움을 느끼고 있다. 한 번만 해킹 공격 타깃이 되어도 대량의 개인정보가 유출 될 수 있다. 국내 최고의 금융 회사인 삼성증권은 직원 한 명의 실수로 시스템이 무너졌고, 세계적인 인터넷 기업인 페이스북도 고객들의 정보를 지켜내지 못했다.

개인들은 본인이 생성하는 데이터가 막대한 부를 창출하고 있음을 알고, 변화의 필요성에 적극 공감하고 있다. 온라인, 오프라인 구분 없이 프라이버시의 중요성도 강조되고 있다.

이런 시점에 필요한 것이 바로 DID다. 해외에서는 이미 서비스 개발을 시작했다. 일례로, 마이크로소프트는 비트코인 블록체인 기반의 탈중앙화 신원증명 프로젝트 아이온(Identity Overlay Network, ION)의 프리뷰 버전을 오픈소스로 공개한 바 있다. 페이스북은 리브라 백서에 디지털 아이덴티티(Digital ID)를 탈중앙화된 방향으로 혁신하겠다는 의견을 제시했다. 물론 구체적인 방향을 정하지는 않았다. IBM은 이미 블록체인 프로젝트를 위한 탈중앙화 네트워크 옐로페이지(Yellow Pages)에 가입해 DID 서비스 개발을 시작했다.

국내에서도 DID 개발 프로젝트 추진이 활발하다. 국내 DID 시장을 구성하는 3개의 얼라이언스는 코스콤 외 10여 개사가 연합한 DID 어소시에이션, 블록체인 기업 아이콘루프(ICONLOOP)가 주도하는 ‘마이아이디 얼라이언스(MyID Alliance)’, 금융결제원·한국FIDO산업포럼·한국전자서명포럼이 주축인 ‘DID 얼라이언스’로 나뉜다. 각 연합체들은 파트너십과 서비스 출시, 기술 표준화 등을 내세워 DID 시장에 뛰어들었다.

먼저 ‘DID 어소시에이션’은 코스콤을 비롯해 SK텔레콤 포함 이동통신 3사, 삼성전자, 우리은행, KEB하나은행 등 10여개사 연합이다. 이들은 블록체인 기반 모바일 전자증명 서비스 이니셜(initial)을 서비스할 계획이다. 이 연합체는 IT 기술력에 이통3사의 모바일 경쟁력을 결합해 간편한 증명서 발급에 초점을 맞췄다. 한 번 발급받은 졸업·재학·성적 증명서는 블록체인 전자 증명이며, 향후 기업 채용 등의 용도로 중복해 활용할 수 있다.

지난 11월 5일 공식 출범한 ‘마이아이디 얼라이언스’는 아이콘루프의 DID 기술로 구현한 블록체인 기반 디지털 신원증명 플랫폼이다. 금융위원회 ‘혁신금융서비스’로 지정되기도 한 이 플랫폼은 최초 1회만 금융기관을 통해 신분 확인을 하면 향후 비대면계좌개설, OTP 발급, 대출계약 등에 필요한 신원정보를 스마트폰 속 ‘마이아이디’ 하나로 제출할 수 있어 편리하다. 구성원은 신한은행·삼성증권 등 금융권, 포스코·STX·야놀자·카페24 등 총 38개 기관·기업이다. 이들은 먼저 국내 시장을 공략해 금융권, 핀테크, 이커머스, 공유경제, 교육 등 블록체인 기반 모바일 신분증 활용 확산을 목표로 한다. 한편 ‘DID 얼라이언스 코리아’는 고객 서비스보다 DID 관련 국제 표준화 기구인 W3C, 탈중앙화 신원증명 협회(DIF)처럼 DID 기술 표준화, 호환 기술 개발에 방점을 찍은 연합체다.

현재 선보인 모바일 전자증명은 블록체인 기반 모바일 앱 형태로, 각종 민간 증명서를 간편하게 발급할 수 있는 구조다. 그중 DID 어소시에이션 모바일 서비스를 예시로 살펴보면, 서비스 종류는 본인증명, 간편로그인/전자서명, 대학제증명, 은행계좌보유증명, 은행고객등급증명, 리워드 쿠폰으로 나뉜다. 먼저 본인증명은 모바일로 통신사 기반 본인인증을 거쳐 본인증명을 발행한다. 간편로그인은 QR코드를 모바일 스캔하는 방식으로, 전자서명은 QR코드 서비스 타입에 맞춰 서명하는 형태다. 또한 학위제증명 플랫폼(메타디움)과 연동된 대학교의 경우 학위제증명 발급도 가능하다. 그밖에 본인확인, 통장사본 제출 생략이 가능한 은행계좌보유증명, 고객등급, 정책자금수령자격 등 금융 제증명을 제출할 수 있는 은행고객등급증명 서비스도 있다. 또한 메인 우측 상단의 ‘리워드’를 클릭해 쿠폰을 발급하고, 이를 OK 캐시백과 합산 가능한 OTX 포인트로 전환할 수도 있다.
한편 플랫폼 사업을 살펴보면, 모바일 보안 분야 강자 라온시큐어가 DID 플랫폼 ‘옴니원(OmniOne)’을 개발해 병무청 등과 실증 사업을 추진하고 있다. DID 사업을 적극적으로 추진 중인 블록체인 스타트업 아이콘루프는 2019년 10월 100억원 규모의 시리즈 A 투자 유치를 마무리했다. 정대선 현대BS&C 사장이 설립한 블록체인 기술 기업 에이치닥테크놀로지도 대학(원) 신원 증명과 같은 증명서들을 선택적으로 발급받고 제출할 수 있는 DID 서비스를 개발한다고 밝혔다.

공공분야에서는 과학기술정보통신부가 2019년 9월 블록체인 기반의 모바일 운전면허 확인 서비스에 대해 임시 허가를 부여했다. 모바일 앱에 실물 운전면허증을 등록하면 QR코드, 바코드 형태로 인증 서비스를 사용할 수 있다. 사용자 관련 정보는 스마트폰 내부에만 블록체인으로 암호화되어 저장되고, 블록체인을 통해 개인정보 관련 데이터의 위변조를 방지한다.

가장 뜨거운 화두는 신용정보법 개정안 통과

DID 시장은 현재 연기되고 있는 ‘신용정보법 개정안’ 통과와 긴밀하게 연결되어 있다. 지난 10월 25일, 국회 정무위원회는 전날 법안심사소위원회를 열어 신용정보법 개정안을 심사했다. 금융혁신이 본격화되며 신용정보법 개정안은 혁신을 위한 하나의 ‘전제’였다. 금융위원회는 법안 개정을 전제로 금융혁신 계획을, 핀테크기업들은 서비스 계획을 내놓았다. 또한 금융당국은 지난해 3월 ‘금융분야 데이터활용 및 정보보호 종합방안’의 세부추진방안’을 마련한 뒤 관계부처 등과 논의를 거쳐 같은 해 8월 부처합동으로 ‘데이터 경제 활성화’ 종합 계획을 선보였다. 이후 간담회를 거쳐, 신용정보법 개정이 급물살을 탔지만 법안 통과는 미뤄지고 있는 상황이다. 업계 관계자들은 “여러 곳에 흩어진 개인 정보를 한 번에 빠르게 가져와 분석·제공하기 위해 법 개정이 절실하다”라고 말한다. 이는 오픈뱅킹 등 인터넷뱅킹에도 영향을 미친다. 10월 30일부터 시범 운영을 시작한 오픈뱅킹은 공동으로 사용하게 될 표준API로 기존 스크레이핑 방식을 채택해 운영 중이다. 이후 오픈할 서비스들도 제공 서비스에 제약을 피할 수 없다.

디지털 시대의 중심은 ‘데이터’

DID 시장은 분명 성장 가능성은 높은 시장이지만 기술 구현을 위한 구체적인 체계가 잡혀있지 않다. 시스템의 한 부분으로만 생각할 뿐 생태계적 관점에서는 충분한 고민이 없는 상태다. 무엇보다 표준 정립이 시급하다. 이미 여러 번 강조했듯 거버넌스 및 공통 표준 문제에 대한 합의가 없다면, 혁명의 불꽃이 만개하기도 전에 사라질 수 있다. 전 세계 시스템을 하나로 통일하는 건 어렵겠지만, 적어도 핵심적인 기능들에 대한 표준화 작업은 필요하다. W3C가 DID 표준 규격을 만드는 등 나름의 노력들이 이루어지고 있으나 제공자 별로 별도의 인증과 발급을 수행해야 하는 등 여러 불편이 있다.

디지털 시대의 중심은 데이터다. 그리고 데이터의 중심이 ‘기관’에서 ‘개인’으로 이동하고 있다. 서비스 제공자 중심으로 만들어진 기존의 비즈니스 모델은 개별 사용자 중심으로 개편될 것이다. 사회의 패러다임이 전환되고 있는 것인데, 이런 큰 변화 속에는 반드시 기회가 존재한다. 관건은 타이밍이다.

데이터의 주인은 서비스 제공자가 아닌 개인

다수의 세계적인 석학들은 DID가 기반으로 하는 블록체인 기술이 5~10년 안에 시장을 재편할 것이라고 주장한다. 필자 역시 이들의 의견에 동의한다. 블록체인이 세상의 모든 문제를 해결해주는 ‘치트키’는 아니지만, 디지털 시대에 새로운 기반 기술로서 중요한 역할을 할 것이라는 굳건한 믿음이 있다. 블록체인 업계에는 더 많은 성공사례가 필요하다. DID는 흥미로운 시발점이 될 수 있을 것이다.

앞서 언급했듯 글로벌 IT 공룡들과 정부 기관들은 개인(individual)이 생성하는 데이터를 통해 막대한 가치(value)를 만들어내고 있다. 그럼에도 불구하고 각각의 개인들에게는 본인이 만든 데이터에 대한 주권이 없는 상황이다. 언제 어디서 어떻게 사용되는지 알기 어렵다는 사실은 이미 당연시 되어버렸다. 그저 이상한 곳에 쓰이지 않기만을 바랄 뿐이다. 이토록 난해한 데이터 주권 문제, DID가 해답을 제시할 수 있다. 블록체인이라는 기술을 통해 만들어지는 보안성과 신뢰성 높은 디지털 환경 속에서 개인은 데이터의 주권을 회복할 수 있고, 더 나아가서는 거대 서비스 제공자들에게 우리가 생성한 데이터를 이용하는 행위에 대한 합리적 보상도 요구할 수 있을 것이다.

하지만 지나친 낙관은 금물이다. 우리는 과거 사례들을 통해 시대를 선도하는 기술들이 원래 의도와는 달리 변질되는 모습을 여러 번 볼 수 있었다. 인터넷이 정보의 민주화를 통해 세상을 더 공평하게 만들어줄 것이라는 낙관도 20여년이 지난 지금 글로벌 IT 공룡들에 의해 여지없이 무너져 버린 사실을 기억해야 한다. 결국 초기 단계에서 룰 세팅(Rule Setting)이 중요하다. 여러 이해 관계자의 의견을 수렴하여 균형 잡힌 성장을 만들어야 한다. 기술 발전에 지나치게 매몰되어 큰 그림을 못 보는 과오를 저질러서는 안 된다. 나무만 보지 말고 숲도 보자는 뜻이다.

데이터 주권을 요구하는 개인(Individual)들의 목소리는 더욱더 커질 것이다. 민주주의 국가의 국민들이 ‘국가의 주인은 국민이다’라고 주장해왔듯이, 개인들은 ‘개인의 신원은 개인의 것이고 데이터의 주권은 개인에게 있다’라는 목소리를 낼 것이다. 이는 피할 수 없는 거대한 흐름이다. DID는 이런 시대적 흐름을 정확히 반영한다. 유의미한 성공 사례가 나온다면 혁신 속도는 가속화 될 것이다. 앞으로의 행보가 더욱 더 기대되는 이유다.