개인정보 노출 없이 신원관리 및 개인인증 가능...스마트폰에 자격증명 저장해 사용
블록체인 기반 암호화 기술 활용해 데이터 위·변조 또는 해킹 위협에서 안전
한국디지털인증협회 이기혁 회장으로부터 들어본 DID의 개념과 특징, 그리고 보안이슈
[보안뉴스 김영명 기자] 분산 ID(Decentralized Identity : DID)는 분산원장(복제, 공유 또는 동기화된 디지털 데이터에 대한 합의 기술, 데이터가 여러 사이트, 여러 기관 또는 국가에 분산돼 탈중앙화돼 있으며 블록체인 기술의 핵심)을 이용해 중앙등록기관 없이 시장 자율로 운영되는 확장성 있는 자기주권 신원 증명체계를 말한다.
▲디지털 인증의 변화와 혁신[자료=한국디지털인증협회]
지난 2019년 말부터 전 세계로 번진 코로나19 팬데믹의 영향으로 재택근무, 원격수업 등 비대면 활동이 급증하면서 신원인증이 중요한 절차 중 하나가 됐다. 하지만 신원 도용과 사기의 위험성이 급증하면서 탈중앙화된 신원확인 기술이 주목받고 있다. 이러한 가운데 FIDO(Fast Identity Online) 기반 생체인증, 블록체인 기반 DID 인증, 클라우드 인증 등 디지털 인증 기술의 국제화 및 표준화, 플랫폼화에 앞장서는 한국디지털인증협회의 이기혁 회장에게 분산 ID와 관련 보안이슈에 대한 이야기를 들었다.
분산ID는 무엇이며, 어떠한 특징이 있나
2020년 전자서명법(법률 제18479호) 개정에 따라 21년간 사용되던 공인인증서 제도가 변경, 폐지되면서 △모바일 인증 △생체인증 △블록체인 인증 등 다양한 서비스가 출시됐다. 특히, 코로나19를 겪으며 일상의 대부분이 비대면으로 이뤄지며 간편한 인증수단의 수요가 증가했다. 그 가운데 개인정보에 대한 통제권을 본인에게 부여해 ‘자기주권신원(Self-Sovereign Identity : SSI)’을 실현할 수 있는 DID, 즉 ‘탈중앙화 신원증명’이 급부상하기 시작했다.
DID는 블록체인을 기술에 ‘보안’을 적용한 디지털 시대의 차세대 인증방식이다. DID의 가장 큰 특징은 인증 시 개인정보를 노출하지 않고 개인을 증명할 수 있다는 점이다. 구체적으로 DID는 개인의 스마트폰에 인증기관으로부터 발급받은 VC(Verifiable Credential, 자격증명)를 저장한 뒤 신원확인이나 자격증명이 필요한 경우 자신이 원하는 정보만 선택해 제출할 수 있다. 개인정보를 특정 기관·기업의 중앙 서버에 일괄적으로 저장·관리하던 기존의 중앙집중형 신원인증 체계에서 벗어났다는 점 때문에 ‘탈중앙화 신원확인’으로도 불린다. 또한, 블록체인 기술을 기반으로 하기 때문에 데이터 위·변조의 위험이 적고, 데이터를 개인이 통제할 수 있는 안전한 영역에 암호화된 상태로 저장해 해킹 등의 보안 위협으로부터 안전하다.
DID와 기존 신원인증을 비교한다면 어떠한 차이가 있나
DID와 기존 신원증명 방식의 차이는 개인의 정보가 기관이나 기업이 아닌 개인이 소유한다는데 있다. 현재 인터넷 환경에서 신원 정보를 증명하기 위해서는 이를 인증해주는 ‘신뢰할 수 있는 제3기관’이 필요하다. 예를 들어, 인터넷에서 금융거래 등을 할 때 당사자의 신원을 확인하고, 내가 동의한 거래가 맞는다는 것을 확인하기 위한 전자서명 수단으로 쓰인 것이 기존의 공인인증서다. 공개키 기반 구조(Public Key Infrastructure : PKI) 방식의 공인인증서는 자체 보안성은 뛰어나지만, 파일 형태로 존재해 악성코드나 바이러스 감염, 해킹 등에 쉽게 노출되고는 했다. 또한, PKI 방식의 공인인증서를 설치하기 위해서는 액티브X 등 여러 실행 프로그램이 필요해 불편을 호소하는 경우도 많았다. 이처럼 ‘불편함의 대명사’로 불리던 공인인증서가 사라지면서 본인 인증수단이 다양해졌고, DID가 차세대 신원인증 기술로 주목받고 있다.
앞서 언급한 것처럼, DID는 이용자가 개인의 정보를 직접 보관하고 관리가 가능하며 공개 대상과 범위를 스스로 선택할 수 있다. 기존의 공인인증서는 제한된 발급기관에서만 발급됐고, 발급받은 개인이 이를 PC나 저장매체를 활용해 관리하면서도 인증서 소유자 본인이 맞는지 확인하기 위해서는 또 다시 관리 서버를 거쳐야만 했다. 신원정보도 중앙화된 서버에 저장돼 있어 외부 해킹으로 인한 개인정보 유출 우려 또한 존재했다.
반면, DID는 개인 신원정보를 스마트폰, 태블릿 등 개인 기기에서 관리하며, 중개자를 거치지 않고 블록체인 네트워크를 거친다는 점에서 차이가 있다. DID는 중앙 서버에 개인정보를 모아두지 않고, 블록 단위로 쪼갠 뒤 서로 연결하는 기술이다. DID는 블록체인에 암호화해 여러 서버에 분산 저장하기 때문에 해킹, 데이터 위조나 변조 등으로부터 보다 안전하게 사용할 수 있다.
DID의 활용분야는 어떻게 되고, 어떤 서비스가 이뤄지는지 구체적으로 소개한다면
▲이기혁 한국디지털인증협회 회장[사진=한국디지털인증협회]
현재 금융권과 공공분야, 출입인증 등 다양한 분야에서 DID 기반의 프로젝트가 진행되고 있다. DID 시장은 편리성과 정보보안에 대한 강점으로 발빠르게 성장해 왔다. 대표적인 사례로 모바일 운전면허증을 꼽을 수 있다. 정부가 모바일 공무원증을 시작으로 올해부터는 모바일 운전면허증을 도입하면서 본격적으로 모바일 신분증 시대가 열렸다.
한국디지털인증협회의 회원사인 LG CNS와 라온시큐어가 진행한 모바일 운전면허증은 국내 최초의 디지털 신분증으로, 보안성과 편의성을 충족하는 DID 기술이 적용돼 있다. 모바일 운전면허증은 개인의 스마트폰에 저장돼 온·오프라인에서 신원확인이 필요한 경우 편리하게 꺼내 쓸 수 있고, 사용 이력도 본인만 확인할 수 있다. 탈중앙 방식의 블록체인 DID를 기반으로 개인정보의 자기주권을 강화하면서 데이터 위·변조를 원천 방지해 믿고 사용할 수 있다는 장점이 있다. 기존의 플라스틱 운전면허증과 똑같은 법적 효력을 갖기 때문에 공공·금융기관, 편의점, 병원, 선거, 시험, 공항 탑승수속 등을 할 때 사용이 가능하다.
이처럼 DID는 △투명성 △불변성 △상호호환성을 기반으로 우리가 보다 편리하고 안전하게 디지털 신원을 증명할 수 있도록 도와준다. 다양한 DID 서비스의 상용화 및 대중화는 디지털 사회 전반의 신뢰성을 향상하는 토대가 될 것이라고 확신한다.
DID가 향후 신원관리 분야에서 어떻게 발전될지, 활용도 확산을 위해 풀어야 할 과제는
다양한 DID 사업자들은 서로 간의 기술, 네트워크, 서비스가 각각 다르지만, 이용자는 동일한 한 명일 수 있다. DID 사업의 주체들은 궁극적으로는 사용자 입장에서 여러 다른 DID 서비스를 이용할 때 실질적으로 편리함을 느낄 수 있는지에 대해 주목하고 이를 위한 작업을 시작할 때라고 생각한다. 각기 다른 DID 서비스들을 이용할 때마다 매번 새롭게 자격증명을 받는다면, 사실 사용자 입장에서는 기존 인증체계에서 느꼈던 번거로움을 해소하지 못할 것이다.
한국디지털인증협회는 DID 글로벌 표준 구축에 힘쓰고 있다. 통일된 DID 체계가 구축되면 여권, 신분증 등 새로운 서비스 이용을 위한 별도의 ID 발급이 필요하지 않게 될 것이다. 다만, 아직은 국가마다 ID가 어떻게 만들어질지 모르고, 서비스 제공을 위해 DID 체계를 어떻게 구성할지 정하지 않았다. 따라서 서로 다른 플랫폼에서 발급된 DID가 여러 서비스에서 상호 호환될 수 있도록 신뢰할 수 있는 프레임워크의 준비가 선행돼야 한다. 한국디지털인증협회가 추진하고 있는 ‘글로벌 상호호환성을 위한 인증 프레임워크(Global Architecture for Digital Identity : GADI)’ 안에서 실현 가능할 것으로 생각한다.
[김영명 기자(boan@boannews.com)]
블록체인 기반 암호화 기술 활용해 데이터 위·변조 또는 해킹 위협에서 안전
한국디지털인증협회 이기혁 회장으로부터 들어본 DID의 개념과 특징, 그리고 보안이슈
[보안뉴스 김영명 기자] 분산 ID(Decentralized Identity : DID)는 분산원장(복제, 공유 또는 동기화된 디지털 데이터에 대한 합의 기술, 데이터가 여러 사이트, 여러 기관 또는 국가에 분산돼 탈중앙화돼 있으며 블록체인 기술의 핵심)을 이용해 중앙등록기관 없이 시장 자율로 운영되는 확장성 있는 자기주권 신원 증명체계를 말한다.
▲디지털 인증의 변화와 혁신[자료=한국디지털인증협회]
지난 2019년 말부터 전 세계로 번진 코로나19 팬데믹의 영향으로 재택근무, 원격수업 등 비대면 활동이 급증하면서 신원인증이 중요한 절차 중 하나가 됐다. 하지만 신원 도용과 사기의 위험성이 급증하면서 탈중앙화된 신원확인 기술이 주목받고 있다. 이러한 가운데 FIDO(Fast Identity Online) 기반 생체인증, 블록체인 기반 DID 인증, 클라우드 인증 등 디지털 인증 기술의 국제화 및 표준화, 플랫폼화에 앞장서는 한국디지털인증협회의 이기혁 회장에게 분산 ID와 관련 보안이슈에 대한 이야기를 들었다.
분산ID는 무엇이며, 어떠한 특징이 있나
2020년 전자서명법(법률 제18479호) 개정에 따라 21년간 사용되던 공인인증서 제도가 변경, 폐지되면서 △모바일 인증 △생체인증 △블록체인 인증 등 다양한 서비스가 출시됐다. 특히, 코로나19를 겪으며 일상의 대부분이 비대면으로 이뤄지며 간편한 인증수단의 수요가 증가했다. 그 가운데 개인정보에 대한 통제권을 본인에게 부여해 ‘자기주권신원(Self-Sovereign Identity : SSI)’을 실현할 수 있는 DID, 즉 ‘탈중앙화 신원증명’이 급부상하기 시작했다.
DID는 블록체인을 기술에 ‘보안’을 적용한 디지털 시대의 차세대 인증방식이다. DID의 가장 큰 특징은 인증 시 개인정보를 노출하지 않고 개인을 증명할 수 있다는 점이다. 구체적으로 DID는 개인의 스마트폰에 인증기관으로부터 발급받은 VC(Verifiable Credential, 자격증명)를 저장한 뒤 신원확인이나 자격증명이 필요한 경우 자신이 원하는 정보만 선택해 제출할 수 있다. 개인정보를 특정 기관·기업의 중앙 서버에 일괄적으로 저장·관리하던 기존의 중앙집중형 신원인증 체계에서 벗어났다는 점 때문에 ‘탈중앙화 신원확인’으로도 불린다. 또한, 블록체인 기술을 기반으로 하기 때문에 데이터 위·변조의 위험이 적고, 데이터를 개인이 통제할 수 있는 안전한 영역에 암호화된 상태로 저장해 해킹 등의 보안 위협으로부터 안전하다.
DID와 기존 신원인증을 비교한다면 어떠한 차이가 있나
DID와 기존 신원증명 방식의 차이는 개인의 정보가 기관이나 기업이 아닌 개인이 소유한다는데 있다. 현재 인터넷 환경에서 신원 정보를 증명하기 위해서는 이를 인증해주는 ‘신뢰할 수 있는 제3기관’이 필요하다. 예를 들어, 인터넷에서 금융거래 등을 할 때 당사자의 신원을 확인하고, 내가 동의한 거래가 맞는다는 것을 확인하기 위한 전자서명 수단으로 쓰인 것이 기존의 공인인증서다. 공개키 기반 구조(Public Key Infrastructure : PKI) 방식의 공인인증서는 자체 보안성은 뛰어나지만, 파일 형태로 존재해 악성코드나 바이러스 감염, 해킹 등에 쉽게 노출되고는 했다. 또한, PKI 방식의 공인인증서를 설치하기 위해서는 액티브X 등 여러 실행 프로그램이 필요해 불편을 호소하는 경우도 많았다. 이처럼 ‘불편함의 대명사’로 불리던 공인인증서가 사라지면서 본인 인증수단이 다양해졌고, DID가 차세대 신원인증 기술로 주목받고 있다.
앞서 언급한 것처럼, DID는 이용자가 개인의 정보를 직접 보관하고 관리가 가능하며 공개 대상과 범위를 스스로 선택할 수 있다. 기존의 공인인증서는 제한된 발급기관에서만 발급됐고, 발급받은 개인이 이를 PC나 저장매체를 활용해 관리하면서도 인증서 소유자 본인이 맞는지 확인하기 위해서는 또 다시 관리 서버를 거쳐야만 했다. 신원정보도 중앙화된 서버에 저장돼 있어 외부 해킹으로 인한 개인정보 유출 우려 또한 존재했다.
반면, DID는 개인 신원정보를 스마트폰, 태블릿 등 개인 기기에서 관리하며, 중개자를 거치지 않고 블록체인 네트워크를 거친다는 점에서 차이가 있다. DID는 중앙 서버에 개인정보를 모아두지 않고, 블록 단위로 쪼갠 뒤 서로 연결하는 기술이다. DID는 블록체인에 암호화해 여러 서버에 분산 저장하기 때문에 해킹, 데이터 위조나 변조 등으로부터 보다 안전하게 사용할 수 있다.
DID의 활용분야는 어떻게 되고, 어떤 서비스가 이뤄지는지 구체적으로 소개한다면
▲이기혁 한국디지털인증협회 회장[사진=한국디지털인증협회]
현재 금융권과 공공분야, 출입인증 등 다양한 분야에서 DID 기반의 프로젝트가 진행되고 있다. DID 시장은 편리성과 정보보안에 대한 강점으로 발빠르게 성장해 왔다. 대표적인 사례로 모바일 운전면허증을 꼽을 수 있다. 정부가 모바일 공무원증을 시작으로 올해부터는 모바일 운전면허증을 도입하면서 본격적으로 모바일 신분증 시대가 열렸다.
한국디지털인증협회의 회원사인 LG CNS와 라온시큐어가 진행한 모바일 운전면허증은 국내 최초의 디지털 신분증으로, 보안성과 편의성을 충족하는 DID 기술이 적용돼 있다. 모바일 운전면허증은 개인의 스마트폰에 저장돼 온·오프라인에서 신원확인이 필요한 경우 편리하게 꺼내 쓸 수 있고, 사용 이력도 본인만 확인할 수 있다. 탈중앙 방식의 블록체인 DID를 기반으로 개인정보의 자기주권을 강화하면서 데이터 위·변조를 원천 방지해 믿고 사용할 수 있다는 장점이 있다. 기존의 플라스틱 운전면허증과 똑같은 법적 효력을 갖기 때문에 공공·금융기관, 편의점, 병원, 선거, 시험, 공항 탑승수속 등을 할 때 사용이 가능하다.
이처럼 DID는 △투명성 △불변성 △상호호환성을 기반으로 우리가 보다 편리하고 안전하게 디지털 신원을 증명할 수 있도록 도와준다. 다양한 DID 서비스의 상용화 및 대중화는 디지털 사회 전반의 신뢰성을 향상하는 토대가 될 것이라고 확신한다.
DID가 향후 신원관리 분야에서 어떻게 발전될지, 활용도 확산을 위해 풀어야 할 과제는
다양한 DID 사업자들은 서로 간의 기술, 네트워크, 서비스가 각각 다르지만, 이용자는 동일한 한 명일 수 있다. DID 사업의 주체들은 궁극적으로는 사용자 입장에서 여러 다른 DID 서비스를 이용할 때 실질적으로 편리함을 느낄 수 있는지에 대해 주목하고 이를 위한 작업을 시작할 때라고 생각한다. 각기 다른 DID 서비스들을 이용할 때마다 매번 새롭게 자격증명을 받는다면, 사실 사용자 입장에서는 기존 인증체계에서 느꼈던 번거로움을 해소하지 못할 것이다.
한국디지털인증협회는 DID 글로벌 표준 구축에 힘쓰고 있다. 통일된 DID 체계가 구축되면 여권, 신분증 등 새로운 서비스 이용을 위한 별도의 ID 발급이 필요하지 않게 될 것이다. 다만, 아직은 국가마다 ID가 어떻게 만들어질지 모르고, 서비스 제공을 위해 DID 체계를 어떻게 구성할지 정하지 않았다. 따라서 서로 다른 플랫폼에서 발급된 DID가 여러 서비스에서 상호 호환될 수 있도록 신뢰할 수 있는 프레임워크의 준비가 선행돼야 한다. 한국디지털인증협회가 추진하고 있는 ‘글로벌 상호호환성을 위한 인증 프레임워크(Global Architecture for Digital Identity : GADI)’ 안에서 실현 가능할 것으로 생각한다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
