[아이티데일리] 지난 5월 전자서명법 개정안이 국회 본회의를 통과하면서, 인증 시장에 변화의 바람이 불고 있다. 공인인증서의 독점적 지위가 폐지되면서, 사설인증 서비스와의 경쟁, 새로운 전자서명 기술 등장 등이 기대되고 있다. 특히 차세대 신원확인 기술로 ‘분산신원증명(DID, Decentralized Identity)’이 주목받고 있다. DID 기술은 블록체인을 활용함으로써 탈중앙화된 신원확인 서비스를 제공할 수 있는 것이 특징이다. 사용자가 서비스 제공 기업에 필요한 정보만 선택적으로 제공할 수 있어, 데이터 주권을 강화할 수 있는 기술로 각광받고 있다.

현재 DID 기술은 W3C(World Wide Web Consortium)에서 표준화를 진행하고 있다. 국내에서는 한국정보통신기술협회(TTA)가 ICT 기반 탈중앙화 대면 분야 표준화포럼에 DID포럼을 포함시켰으며, SK텔레콤이 주도하고 있는 ‘이니셜 DID 연합’, 라온시큐어의 ‘DID 얼라이언스’, 아이콘루프의 ‘마이아이디 얼라이언스’ 등이 서비스 상용화를 위해 동분서주하고 있다. 차세대 신원확인 기술 ‘DID’에 대해 알아본다.

차세대 신원확인 기술로 주목

지난 5월 전자서명법이 개정되면서 국내 신원확인, 전자서명 시장에 변화의 바람이 불고 있다. 공인인증서의 독점적 지위가 폐지되면서, ‘패스 인증’, ‘카카오페이 인증’, ‘네이버 인증’ 등 다양한 사설인증 서비스가 활성화될 것으로 기대되고 있다. 또한 개인의 신원을 확인할 수 있는 기술에 대한 연구도 활발하게 추진되고 있으며, 그 중 ‘분산신원증명(DID)’ 기술이 주목받고 있다. ‘DID’는 블록체인을 활용해 사용자의 신원을 확인하는 기술이다.

기존 대부분의 신원확인 서비스는 중앙화된 시스템에 의해 통제되며, 서비스 제공 기업이 사용자 인증정보와 개인정보를 관리한다. 구글, 페이스북 등은 사용자가 개별 서비스 마다 ID와 비밀번호를 기억해야 하는 불편함을 최소화하기 위해 통합 인증 서비스를 제공하고 있다. 이런 상황에서 글로벌 서비스 제공자에게 사용자의 신원정보가 집중될 수밖에 없다.

하지만 이처럼 인증 서비스가 통합될 경우 개인정보 유출 사고, 프라이버시 침해 가능성에 대한 우려가 제기된다. 서비스 제공자가 사용자의 서비스 이용 내역을 파악할 수 있어 프라이버시를 침해할 수 있다는 것이다. 또한 개인정보 유출사고에 대한 걱정도 있는데 실제 인터파크 등 크고 작은 개인정보 유출사고가 빈번하게 일어나고 있다.

이외에 사용자들이 편의성을 위해 ID와 비밀번호를 유사한 것을 사용하는 경우가 많은데, 이로 인한 크리덴셜 스터핑(Credential Stuffing, 무차별 대입) 공격의 우려도 있다.

이에 반해 DID는 블록체인을 통해 분산된 시스템을 구축함으로써 특정 기업에 종속되지 않고, 사용자가 자신의 정보를 관리할 수 있는 환경을 구축할 수 있다. 신원정보를 기업의 중앙화된 시스템으로 통제하는 것이 아니라 블록체인을 활용해 개인이 통제할 수 있다는 것이다.

‘DID’가 본격적으로 주목받기 시작한 것은 유럽의 개인정보보호규정(GDPR) 및 미국의 소비자 프라이버시 권리장전(Consumer Privacy Bill of Right) 시행, 마이데이터 산업 대두 등 개인정보에 대한 주체의 권한 강화가 트렌드로 대두되면서다. GDPR은 ▲적법·공정·투명성 ▲수집목적의 제한 ▲개인정보의 최소화 ▲데이터의 정확성 ▲저장 제한 ▲무결성 및 기밀성 등 개인정보 처리를 위한 6대 원칙을 준수하도록 규정하고 있다. 마이데이터의 기본 사상 역시 개인의 데이터를 개인이 직접 통제할 수 있도록 권고하고 있다. 이러한 배경에서 개인의 데이터 주권을 실현할 수 있는 기술로 ‘DID’가 각광받고 있는 것이다. 더불어 블록체인의 특징인 위·변조를 검증할 수 있다는 점은 신원확인 서비스로의 활용 가능성을 더욱 높이고 있다.

김종협 아이콘루프 대표는 “DID는 디지털 환경에서 사용할 수 있는 신분증이다. 지갑에 신분증을 갖고다니며 신원을 증명하듯이, 온라인에서도 DID를 통해 신원을 증명할 수 있다. 이와 더불어 DID는 필요한 정보만을 선택적으로 제공해 개인의 프라이버시를 보호하는데 적합한 기술”이라고 설명했다.

이어 “기존 중앙화된 신원증명 시스템에서는 한 조직을 통해서만 신원증명이 가능했다. DID는 신원을 증명하는 확인자가 여럿이 돼야 하기 때문에, 많은 사람들이 참여할 수 있는 블록체인이 적합한 환경이다. 국내에서는 블록체인이 대두된 2018년부터 DID에 대한 본격적인 논의가 시작됐다”고 말했다.

글로벌 시장 2024년 약 4조 원 규모

‘DID’가 차세대 신원확인 기술로 주목받으면서 관련 시장도 확대될 조짐을 보이고 있다. 글로벌 시장조사기업인 자이온마켓리서치(Zion Market Research)는 전 세계 DID 시장이 연평균 80% 성장해 2024년 약 34억 5천만 달러(4조 1,500억 원)에 달할 것으로 전망했다.

국내에서는 아직 DID가 상용화되지 않고 시범사업으로 구축되는 정도로 이렇다 할 시장을 형성하지는 못하고 있다. 공인/사설인증 서비스 시장이 2019년 661억 원 규모로 추산되고 있으며, DID 서비스가 본격 상용화되면 전자서명 시장의 일정 부분을 차지할 것으로 보인다.

국내에서는 글로벌 표준화를 선도하기 위한 움직임이 활발하다. 한국정보통신기술협회(TTA)에서는 DID 기술 표준화를 준비하고 있으며, 라온시큐어는 DID 표준을 위해 ‘DID 얼라이언스’를 창립, 본격적인 활동에 들어갔다. 이 외에도 아이콘루프의 ‘마이아이디 얼라이언스’, SK텔레콤이 주도하고 있는 ‘이니셜(Initial) DID 연합’ 등이 활동하고 있다.

현재 시장에는 라온시큐어 ‘옴니원(OMNIONE)’, 아이콘루프 ‘마이아이디(MyID)’, 드림시큐리티 ‘매직DID(Magic DID)’ 등 솔루션이 있으며, ‘이니셜 DID 연합’은 NH농협은행의 ‘모바일 사원증’을 상용화하는 등 시범 서비스를 제공하고 있다.

<관련뉴스>금융보안원, DID 금융보안표준 제정

금융보안원(원장 김영기)이 지난 3월 DID 기반 금융서비스의 기술 명확성 제공 및 상호운용성·보안성 확보를 위한 ‘DID를 활용한 금융권 신원관리 프레임워크’를 금융보안표준으로 제정했다. 이번 표준 제정에는 은행, 증권, 보험, 카드 등 금융사, 분산ID 사업자, 스마트폰 제조사 및 표준 전문가가 개발 과정에 참여해 분산ID의 다양한 요구사항을 반영하고 표준의 적합성과 활용 가치를 검증했다. 분산ID 표준은 ▲제1부 신원관리 프레임워크 구성 및 모델 ▲제2부 신원증명 및 상호연동 방법 ▲제3부 정보보호 요구사항 등으로 구성된다. 제1부는 분산ID 프레임워크의 기술적·관리적 요소에 따라 구분된 계층별 구성요소의 생명주기와 이를 구현하기 위한 모델을 제시해 상호 독립성과 활용성을 극대화했다. 제2부는 분산ID 신원증명의 유형·기능·보증수준을 정의하고 분산ID와 다른 본인확인 수단과의 상호연동 방법을 기술해 금융소비자의 편의성 및 금융사의 업무 효율성을 제고했다. 제3부는 관계 법령과 가이드라인, 국내·외 표준(ISO/IEC, KS)을 참고해 정보보호 요구사항을 추가함으로써 분산ID 신원관리 서비스의 보안성 향상 및 금융소비자의 자기정보결정권을 보장하도록 정의했다. 금융보안원은 향후 분산ID가 금융서비스에서 안전하고 신뢰할 수 있는 본인확인 및 인증 수단으로 적극 활용될 수 있도록 정부, 유관기관과 긴밀하게 협의를 이어나간다는 전략이다. 더불어 표준을 정부의 새로운 본인확인 및 인증 관련 정책과 분산ID 관련 신기술의 등장 등에도 부합할 수 있도록 지속적으로 수정·보완할 계획이다.

DID 시범 사업 활발, 병무청 등 서비스 오픈

국내에서는 시범사업이 활발하게 진행되고 있다. 지난해에는 과기정통부의 ‘2019 블록체인 민간주도 국민 프로젝트’에서 SK텔레콤이 참여한 컨소시엄이 선정되면서 ‘이니셜 DID 연합’이 결성됐다. 더불어 한국인터넷진흥원(KISA)이 2019년부터 추진하고 있는 시범사업에 DID 분야가 꾸준하게 포함되고 있다.

2019년부터 현재까지 진행되고 있는 시범사업은 ▲병무청 ‘인증서 없는 민원 서비스 제공을 위한 블록체인 플랫폼 구축’ ▲경상남도 스마트 도민증 ▲세종시 자율주행자동차 신뢰 플랫폼 구축 등이다. 이 외에도 금융위원회 혁신금융서비스 규제 샌드박스에 아이콘루프의 ‘마이아이디(MyID) 서비스’가 선정돼 출시를 앞두고 있다.

라온시큐어가 주관사로 참여한 ‘병무청의 인증서없는 민원서비스 제공을 위한 블록체인 플랫폼 구축 사업’은 공인인증서의 대체인증 수단이 요구되고, 국가 유공자 등록을 위한 병적 증명서 등 유관기관과의 문서 유통 혁신이 필요한 상황에서 추진됐다.

올해 1월 정식 서비스가 시작된 병무청 DID는 은행 방문 없이 스마트폰의 병무청 간편인증 앱만으로 간편하게 본인 확인이 가능하다. 보안이 한층 강화됐고, 한 번만 본인 확인을 거치면 다시 개인정보를 입력하는 과정 없이 쉽고 편하게 이용할 수 있다.

또한 국가유공자를 등록할 때는 따로 병적증명서를 서류로 발급받아 전달할 필요 없이 자격증명(VC, Verifiable Credential)을 전달해 신청할 수 있어 페이퍼리스 환경을 구현할 수 있다. 병무청 측은 DID 도입 이후 지문만으로 인증이 가능해 이용자 만족도가 높아졌으며, 휴대폰 인증 대비 운영 예산이 25% 절감되는 효과도 거뒀다고 밝혔다.

라온시큐어는 올해 시범사업으로 ‘경상남도 스마트 도민증’과 ‘세종시 자율주행자동차 신뢰 플랫폼 구축’을 수행하고 있다. 경상남도 스마트 도민증 사업은 ▲신분증 제시 등 신원확인 과정에서 개인정보 과도 노출 ▲실물카드 발급에 따른 자원 낭비 및 사회적 비용 발생 ▲온·오프라인 통합 공공 서비스 운영체계 미비 등의 문제를 해결하기 위해 추진되고 있다. ‘스마트 도민증 시스템’이 도입되면 ▲회원가입 간소화 및 간편인증을 통한 편의성 향상 ▲스마트 도민증을 통한 출결 관리 ▲영지식증명 기반 도민 여부 검증 등의 효과가 있을 것으로 기대되고 있다.

세종시 자율주행차 신뢰 플랫폼 구축사업은 자율주행차 데이터 서비스 활성화를 위해 블록체인을 활용하고, 자율주행차 인증 및 데이터 안전성, 신뢰성 확보를 위해 추진되고 있다. 라온시큐어는 이를 위해 블록체인 기반 자율주행 실증 인프라를 구축하고, DID 기술을 접목해 보안성 및 확장성을 높일 계획이다.

아이콘루프의 ‘마이아이디’ 서비스는 금융사에서 받은 신원증명을 다른 서비스에서도 이용할 수 있도록 지원한다. 신한은행 등 은행에서 DID 인증서를 발급하면 다른 기업에서도 활용할 수 있다. 마이아이디 서비스를 이용하면 기존 휴대폰본인인증, 계좌소유확인, 신분증 확인 등 3단계로 진행하던 신원확인을 마이아이디 인증서로 간소화할 수 있다.

마이아이디 인증서는 본인확인을 위해 생체인식 등을 활용할 수 있다. 공인인증서를 사용하지 않고도 금융거래가 가능해지며, 금융사는 기존 신원확인을 위해 통신사 등에 지불하던 비용을 절약할 수 있다.

<구축사례> SK텔레콤, 블록체인 기반 ‘이니셜 보험 보상 서비스’ 출시

SK텔레콤이 블록체인 기반으로 종이 증명서 제출 없이도 휴대폰 보험 보상 신청 및 처리가 가능한 ‘이니셜 휴대폰 보험 보상 서비스’를 최근 출시했다. 기존에는 모바일 사용자가 휴대폰 파손에 따른 보험 혜택을 받으려면 AS센터를 방문해 수리를 받고 종이로 된 수리 내역서와 영수증을 수령해 다시 보험사 측에 팩스나 이메일, 앱을 통해 제출해야 하는 번거로움이 존재했다. 이 과정에서 발급된 서류가 분실되거나 훼손돼 보상금 지급이 지연되는 문제도 종종 발생, 이에 대한 보완책이 요구됐다. 실제로 SK텔레콤 고객 중 휴대폰 파손보험 보상처리 과정에서 증빙 서류 미비 판정을 경험한 비중은 약 20%에 달한다. SK텔레콤은 이러한 불편을 해소하기 위해 삼성전자 서비스·보험사와 협력해 블록체인 기술을 활용한 ‘이니셜(Initial) 휴대폰 보험 보상 서비스’를 선보였다. ‘이니셜 휴대폰 보험 보상 서비스’는 2019년 SK텔레콤을 비롯한 14개사가 공동으로 연합해 출범한 ‘이니셜 DID 연합(컨소시엄형 블록체인 네트워크)’의 첫 번째 결과물이다. ‘이니셜 휴대폰 보험 보상 서비스’를 이용하면 휴대폰 서비스센터로부터 수리내역서와 영수증을 전자 증명서 형태로 이니셜 앱을 통해 발급받게 되며 이를 앱에서 바로 보험사로 전송해 보험 심사를 받게 된다. 발급/제출된 전자 증명서는 이니셜 블록체인 기술을 통해 위·변조 및 유출이 불가하도록 안전하게 관리된다. 이를 통해 직접 증명서류를 수령하거나 제출해야 하는 과정이 생략돼 서류 미비에 따른 불편은 사라지고 ‘보상 신청-심사-보상금 수령’까지 24시간 내 신속한 처리가 가능해짐으로써 편의성도 높아진다. SK텔레콤은 ‘이니셜 휴대폰 보험 보상 서비스’를 삼성전자 서비스와 먼저 시행하고 추후 타사와도 협력을 확대해 나갈 계획이다. 기존 SK텔레콤 휴대폰 파손 보험상품에 가입하고 삼성 갤럭시 시리즈 단말을 사용하면 별도 가입 절차 없이 ‘이니셜 앱’을 통해 서비스를 이용할 수 있다. 이니셜 앱은 원스토어 및 플레이스토어에서 다운로드 받을 수 있다.