실제 사용사례로서의 블록체인 기술 DID(Decentralized Identifier)
비트코인 거래시장은 최근들어 정말 드라마틱한 1년을 보내는 것 같다. 덕분에 자연스럽게 최근들어 블록체인 기술에 대해서 관심이 높아진 듯 하고, W3C 표준화 등 가장 주목받고 있는 DID(Decentralized Identifier, 분산신원관리) 기술에 대해서도 금융보안원 등 금융당국이나 ICT기술을 다루는 과기부 뿐만 아니라 다양한 정부부처를 비롯 심지어 어느 스마트시티 사업에서도 이 DID가 언급되기 시작했다는 점은 업계 입장에서는 당연하다 싶으면서도 일반인 입장에서는 다소 생소한(?) 일이 벌어지는 시대이다.
W3C의 표준문서나 실제 아래와 같은 DID(분산ID에 대한 쉬운 가이드), SSI(자기주권 신원증명, Self Sovereign Identity)에 대한 개념은 관련 문서에도 잘 나와있으므로 참고하시기 바라며, 국내에서 가장 큰 블록체인 DID 기술연합인 마이키핀 얼라이언스 운영에 참여하고 있는 입장에서 대다수 분들이 이 DID 기술에 대해 오해하거나 잘못 생각하시는 경우가 종종 있다보니, 실제 사용사례와 더불어 어떻게 사용하는 것이 더 좋은 방향인지 오래 고민해본 입장에서 설명해보려고 한다.
먼저, 시작부터 과도한 탈중앙화 DID 도입은 서비스 UX (이용자 경험) 상 어려울 확률이 높다.
코인플러그는 이미 메타디움 테크놀로지와 함께 탈중앙화 기반 첫 인증 서비스인 키핀(Keepin)을 개발했던 경험을 통해, 마이키핀 서비스는 보다 더 국내 서비스에 있어서 더 개선된 형태로 구축해 서비스 중에 있다. 마이키핀에 대한 자세한 시스템 구조나 기술문서들은 마이키핀 얼라이언스 회원사 대상 NDA체결 후 공유 드리고 있다. (신청하기)
이는 연동되는 대다수의 서비스들이 ‘중앙화' 형태라는 점을 감안했을 때, 기존 실물 데이터, 증명체계와의 연결고리 역할이 필요하기 때문인데, 100% DID 기반으로 설계할 경우 모든 것이 탈중앙화, 분리된 구조이므로 우리가 자주 마케팅 목적으로 보내는 이메일, 문자 메시지도 기존 방식처럼 쉽게 보내기 어려운 상황이 될 수 있기에, 효율을 위해 일부 자주 쓰는 정보만 중앙화 서버에 암호화해 저장하고 DI형태로 취급하며, 외부 DID로 분산/연동하는 것을 권장한다.
따라서 현재 마이키핀 서비스와 연동된 다양한 서비스 사례처럼 이미 기존 본인확인 인증 서비스처럼 이용자 경험이 있는 ‘본인확인 하기' 기능 구현이나 ‘비밀번호 찾기', ‘간편 로그인/회원가입' 등의 기능을 통해 기존 계정정보와 DID를 쉽게 연동하고, 향후 블록체인 기반 신기술들을 적용할 수 있는 기반을 먼저 마련하는 것이 이용자 입장에서 가장 이해가 편한 방법으로 판단하고 있고, 연동하는 파트너사들에게 추천하고 있다.
개인정보 보호와 가공을 위해 DID도입과 함께 기존 CI기반 체계에서 DI기반으로 전환할 필요가 있다.
다소 멀게 느껴지는 유럽연합(EU)의 강화된 GDPR(개인정보보호법) 사례나 미국 연방거래위원회(FTC)의 COPPA(아동 온라인 사생활 보호법) 위반으로 유튜브(YouTube)의 2천억원 배상 사례까지 아니더라도, 개인정보유출에 따르는 피해규모는 2016년 기준 최소 74억에서 최대 220조 규모라는 추산결과를 봤을 때 국내 뿐만 아니라 글로벌 서비스를 조금이라도 생각한다면 초기 설계나 성장시점에서 더이상 미룰 수 없는 일이긴 하다.
따라서 기존 CI(Connecting Information) 수준의 개인정보 취급까진 아니더라도 DI(Duplicated joining verification information) 형태로 분리해서 취급하거나 hash 형태로 가명화할 경우 요즘 남들 다 한다는(?) 빅데이터 AI 분석을 할 때 돈이 더(?) 드는 비식별화 조치 없이 활용할 수 있기 때문에, 각종 데이터 신사업 등에서 우위를 차지할 수 있다. (심지어 홍길동을 홍X동으로 바꾸기 위해 얼마만큼의 자원을 우리는 쓰고 있는가? : 정보화진흥원(NIA)의 비식별화 사례집 참고)
예를들어 다양한 BI(Business Intelligence) 도구들에서도 성별/연령 등 단순 통계 위주의 Demographic을 제외한 대다수의 User experience scenario, Cohort 분석 등 Analytics 도구들에서 기존 user431824 라는 CI값으로 관리되던 정보만 DID 0x00012341525125… 등으로 대치하거나 중간단계에서 해당 값들을 hash화 해서 수집하거나, 주요 서명구간에서 인증 프로세스를 편리하게 구현하면, 최근 규제로 인한 웹브라우저에서의 쿠키 수집 제한이나 iOS의 앱추적 투명성 기능 대응을 빠르게 대응할 수 있게 된다.
성능 상 중앙화 구조가 빠른 영역은 중앙화로, 탈중앙화가 필요한 영역은 분리할 필요가 있다
물론 DID와 자기주권 신원체계(SSI)가 현재로서는 가장 안전한 개인정보 관리수단이자 그동안 온갖 불편을 겪었던 공인인증서(PKI, Public Key Infrastructure)의 다가올 미래(dPKI)에 해당되지만, 실제 기존 중앙화된 구조에 비해서는 항시 가동중인 데이터베이스인 블록체인 노드와 네트워크를 유지하는 비용과 개발 및 도입 비용에 있어서 당연히 저렴할리가 없다.
대다수 DID를 구축해 사용중인 오픈소스인 HyperLedger Fabric만 보더라도, 여전히 개발 중 프로젝트로 상용화에 대한 동의도 얻기 어려운데, 블록 쓰기에선 동일조건에서 메타디움과 블록 쓰기(create/write) 기준 4,258 TPS, 4.5배 정도 성능차이를 보인다. 아무리 최소 4노드의 프라이빗 네트워크로 구성해도 느린 성능도 발목을 잡는데, “만들 수 있는 것", “되는 것"과 “쓸만한 것"의 차이는 생각보다 크다.
또한 암호화된 hash값과 RSA2048 수준의 높은 암호화 노드와 시스템 구조 들을 사용함으로서 얻을 수 있는 편익은 있지만, 직접 개발/구축/운영할 경우 현실적인 ICT업계의 공통적 상황들(엔지니어 부족, 예산 및 운영 투자 등) 따져봤을 때 외부 SaaS(Software-as-a-Service) 형태 연동이 더 효율적인 세상이고, 현재 메타버스 내 DID를 도입하는 코믹스브이도 대략 개인정보와 보안/운영비용에서 10~20% 정도의 예산절감 효과가 예상된다고 답변했다. (DID기반으로 구현 가능한 FT/NFT 등 지급/결제시스템은 제외하더라도)
실제 연동사례에서 살펴본 권장하는 DID 사용사례
현재 퍼블릭(public) 블록체인 DID앱인 마이키핀과 연동된 시스템은 금융분야의 금융거래 사기 예방 블록체인 시스템, DeliCVS 무인편의점 출입, 경기도 퓨처쇼 2020 행사의 블록체인 방문증, AI기반 학습시스템 MagicEcole, 메타버스 VR기반 학습시스템 CLASSV, 블록체인 기술기반 전자계약 DONUE, 포인트 리워드 등 종합금융플랫폼서비스인 머니트리 등 국내에서 가장 다양한 적용사례를 보유하고 있다.
실제 운영 중인 서비스들에 연동하고 사용하다 보니, 서비스별로 꽤 다양한 프로세스에서 중앙화된 서비스 개발자들의 낯설음과 어려움들을 발견했는데, 기존 상식에서는 아무래도 중앙화된 ID에 익숙하다 보니, 이 DID를 중앙화해서 내장(?)해야 한다는 관념이 일반적인데, 이 경우 DID의 가장 큰 철학인 SSI(자기주권 신원증명, 분산화 ID)를 벗어나는 것은 물론이고 100만명 수준의 대형 서비스 아닌 이상 관련 소스코드를 내장하고 개발/유지보수하기에 어려운 부분들이 아직은 꽤 많다.
왜 다른 기업들은 DID를 내장이 아닌 외부 DID앱인 마이키핀에 먼저 연동 시작할까?
그렇다면 현실적으로 휴대폰 본인인증이나 이메일, 신분증 안면인식 등 다양한 본인확인 인증서들을 분산 보관하여 블록체인에서 인증 및 기록/재인증하는 구조가 비용적으로 더 저렴(직접 개발하거나 관련 API/SDK를 사용하는 것 보다 더 싸다)하고, 이를 통해 비밀번호 찾기 같은 기능 뿐만 아니라 간편로그인, 더 나아가 1클릭(에 가깝게, 실제로는 4단계로 다른 UX보단 짧지만) 회원가입 형태로 Seamless(원활한) 서비스를 구현할 수 있다.
특히 최근들어 이메일 외에도 핸드폰 문자인증 같은 일반적인 인증방식을 내장하거나 PASS 같은 별도 인증앱, OTP와 같은 2차인증 방식을 제공하고 있고, 해외의 경우 Okta, DUO, Auth0 등 다양한 2차인증 등 다양하게 인증방식들을 사용하고 있는 상황에서, CI는 최소화하고 DI 위주의 개인정보 체계를 만든다면, 굳이 DID를 앱 내에 포함해서 내장하기 위해 많은 비용을 지불할 필요는 없을 것이다.
또한 비싼 비용을 들여 DID를 앱 내에 내장하더라도, 이 서비스가 다른 연계된 서비스에 인증 주체가 되려면 정말 많은 연계 서비스가 있는 사업자거나, 부산시 같은 공공기관의 경우라면 시민대상 스마트 공공서비스를 위해 추진할 수 있지만, 이 또한 많은 비용이 드는 것 역시 사실이다.
또한 블록체인 설문조사 앱인 thepol 역시 DID를 내장하고 있는 형태이지만, 분산ID 특성 상 독립된 ID 체계이기 때문에 타 서비스 연동을 위해선 결국 별도의 연동 절차를 거쳐야하므로, 중소규모 서비스라면 사실 DID 직접 내장하는 것 보다 2차인증, 제3의 DID 서비스와 연계해서 사용하는 것이 현실적으로 가장 빠르게 도입할 수 있는 방법이다.
게다가 마이키핀에서는 다양한 인증/연동 뿐만 아니라 META 같은 토큰 지갑서비스(더군다나 NFT 까지 요즘 요구사항들이 많다) 등을 구현하면서 개인과 연계된 필수적인 기능과 DID를 잃어버렸을 때를 대비한 복구 방법 제공하고 있기에, DID 도입에 있어서 가장 인증 비용에 있어서 저렴하고 빠르게 적용 가능하며, 운영 등을 따져봤을 때 내부 리소스를 절감하는 방법이다.
결론
DID(Decentralized Identifier)는 ‘분산신원관리'라는 그 이름 답게 지금까지 20년동안 중앙화된 구조와 개인정보 취급방법에서 생소한 것은 사실이다. 다만, 이 개인정보 취급과 관련해 의외로 큰 유지비용은 제외하더라도, 별도 앱을 통한 2차인증 방식의 생소함도 줄어들어 이제는 정말 많은 서비스에서 범용적으로 사용되고 있다.
이제는 이용자, 소비자들도 쌓인 학습과 개인정보 관련 인식이 바뀌어, 개인정보를 과도하게 요구하지 않는 서비스, 즉 공정한 제품에 대한 시장의 요구, 어느 서비스든 발생할 가능성이 높은 개인정보 유출로 인한 고객 이탈과 매출 영향에 대비한 일종의 보험(?)이자, 이미 다가온 디지털 뉴딜, 데이터 시대에서 언급되는 기계학습(AI)을 위한 비식별화 비용까지 절감하고 가명화된 데이터로 가공할 수 있는 시작점에 해당된다.
인터넷이 우리 생활에 다가온지 벌써 25년 정도 되었다. 이제는 기술의 발달로 모든 정보를 내 서버에만 저장하는 시대도 지났고, 예전 방식처럼 모든 정보를 식별 가능하게 수집해야 가공할 수 있는 시대도 지났으며, 오히려 이런 과도하게 저장되고 오래된 정보들은 투자보단 비용과 부채가 된다. 특히 북미 COPPA 유럽 GDPR 등 전세계 각종 규제들이 미래에 다가올 위협이 되지않기 위해선, 지금이라도 이 기술에 대해 이해하고 대비해야 하지 않을까?
올해 상반기 부터는 이미 120개가 넘는 국내 최대 DID 기술연합인 마이키핀 얼라이언스 회원사 대상으로 더 많은 정보와 최신 사례들을 별도로 공유하려고 한다. 신청하기
