오늘날 SaaS/IT서비스 시대에 개인정보 영역의 고도화, 기술도입 방법들
닷컴, 모바일 시대 등을 겪으며 그동안 우리는 인터넷을 ‘공기'처럼 사용하게 되었고, 기존 SW패키지 시절 기업(B2B) 대상 전통 강호 Microsoft나 Oracle 같은 기업들에 이어 Facebook, Instagram, Tiktok을 비롯한 소셜미디어 같이 큰 덩치의 B2C 서비스들도 나타났으며, 실리콘밸리의 유니콘(Unicorn, 기업가치 1조원 이상의 스타트업-초기기업)들 대다수가 뛰어든 B2B 대상 SaaS(Software as a Service)라는 용어도 매우 보편화된 시대를 우리는 지금 살고 있다.
그런데, 그 긴 세월동안 개인정보와 관련해서는 생각보다 바뀐 것이 별로 없었는데, 예전 인터넷 서비스들은 회원가입을 통해 쌓아둔 고객들 개인정보DB(Database)가 자신들의 재산이라는 인식들이 존재했었고, 여전히 우리 입장에서 끊이지 않는 스팸 문자와 이메일 등 심지어 내 이름, 전화번호 같은 개인정보들은 공공연 또는 어둠의 경로 Dark Web(일반적인 인터넷에서 찾기 어려운 접속허가나 특정 어플리케이션으로만 접속 가능한 네트워크)에서 거래된다고도 한다.
하지만 지난 글에서 언급했듯이 여러 심각한 문제들과 당연한 이유로 개인정보 취급관련 위험과 대비는 필요하다 공감하지만, 현실에서는 최소한의 행정적 수단(개인정보 수집동의, 보호방침 및 약관변경에 따른 고지 등등)만 대응할 뿐 매출과 성장에 집중할 수 밖에 없는데, 이는 나중에 첩첩산중으로 쌓인 레거시(legacy, 유산) 시스템으로 인해 더이상 새로운 개편도 어려워 재설계 및 재개발(refactoring) 과정에 발목을 잡히기도 한다.
따라서 이 글에서는 지금까지 약 20년 넘게 개인정보와 관련된 SaaS/IT서비스들의 고도화 사례를 살펴보고, 앞으로 어떤 방향으로 밀려드는 공격들과 유출에 대비하도록 고도화해서 움직일 것인지를 살펴보고자 한다.
SSO/SAML, OAuth … 더 큰 서비스에 기대어 개인정보를 관리하는 방법이 제시되었다
한국에서는 말도 많고 탈도 많았던(?) 공인인증서(기술규격)로 PKI (Public Key Infrastructure)를 통해 각 개인PC에 비대칭 키(공개키와 개인키 한 쌍)를 저장해 관리하고 서명하는 방법은 인터넷 초기에 TLS, SSL 등 각종 암호화 기술들이 국가기밀이던 시절에는 웹브라우저상 취약한 보안을 해결하기 위해서는 적정한 기술이었던 시절도 있었다. 하루가 다르게 높아지는 수준의 공격들과 취약한 client(PC)에 저장했던 형태가 모바일 시대로 넘어오면서 만능은 아니게 되었듯이 이제는 서비스, 즉 공급자들의 서비스 장비, 서버 영역에서의 보안도 당연히 높아져야 하는 시대가 왔다.
점점 닷컴시절 등장한 서비스들이 무르익으면서 Google이나 Facebook 같은 대형 서비스들이 등장하며 소위 ‘계정'과 관련된 힘의 균형 역시 달라졌다. 닷컴 초기시절에는 각각 서비스별로 고유의 회원정보를 모으고 관리했던 반면, 점차 많은 인터넷 서비스들이 출시되고 성장하며 이용자 편의측면에서 회원가입의 프로세스를 줄이려는 노력들이 시도되는데, 지금은 너무나도 일상적으로 사용하고 있는 ‘Login with Facebook’ ‘네이버 아이디로 로그인' 같은 Single Sign-On(SSO)들이 그것이다. 결국 이를통해 우리보다 더 크고 힘 쎈(?) 회사들의 계정 데이터베이스를 공유하며, 보안이나 운영의 어려움, 비용 등을 감쇄하려는 시장의 요구 때문 아닐까 싶다.
SSO를 구현하기 위해 표준규격들인 SAML이나 OAuth 같은 방법들도 2000년대 후반 등장하면서 2010년의 인터넷에서는 어느 서비스에서나 손쉽게 다른 계정이 있으면 로그인할 수 있는 편한 인터넷 세상이 되었다만, 반면에 이런 서비스들의 덩치가 워낙 커지고 클라우드 서비스들이 관리 측면에서 더 저렴해지며 서비스 설계구조(architecture) 역시 분산화되기 시작했고, 다양한 인프라 관리기술로 개발자가 직접 이런 인프라를 자동화하거나 관리하는 DevOps(Developer Operations), 소프트웨어 엔지니어 분들이 사랑하는 SaaS(Software-as-a-Service) 시대로 접어들게 된다.
그러다보니 이제는 MSA(Microservice Architecture), SOA(Service On Architecture)의 시대도 되었다.
또한 이런 서비스들의 고도화 과정에서 장애에 대한 대응, 클라우드 인프라 덕분에 가능해진 무중단 서비스, 트래픽 증가에 따른 확장 등 다양한 시대적 요구들에 의해 MSA(Microservice Architecture)라는 개념이 대중화되기 시작했는데, 물론 모든 서비스에 100% 적합하다 볼 수 없고 초기 스타트업 제품에서는 오히려 단순한 서비스 구조가 효율적일 수 있겠지만, 넷플릭스처럼 대규모 이용자들을 대응해야 하는 서비스라면 당연히 고려해볼 수 있는 구조이다.
O’Relly의 Architecting for scale의 저자인 Lee Atchison이 IDG에 기고한 글에서도 보면, 결국 Scalability(확장성)을 위해 각 데이터들을 분산해야 된다고 주장하고 있고, 이런 나누어진 Microservice들은 Amazon Web Service(AWS), Google Cloud Platform(GCP), Microsoft Azure 등 다양한 클라우드 서비스들 덕분에 각각 가상화된 서버(VM, Virtual Machine) Instance로 나누어 관리할 수 있게 되었으며, Docker같은 배포와 관리 도구들 덕분에 클릭 몇 번이면 가능한 시절이 되었다. 예전 2008년쯤 네이버에서 한국 최초로 VM서버 기반 2천만명 가까운 상용 서비스를 해봤던 경험으로서는 관련기술 발전속도는 정말 놀라울 정도이다.
반면에 개인정보와 idP(identity provider)들의 다양화, 예를들어 다들 쓰는 스마트폰을 ‘점유인증(문자 메시지 등으로 내가 이 기기를 사용하고 있음을 증명)' 하거나 카드나 다양한 금융과 연계된 정보들을 보관하는 것 역시 관련 시장의 수요(전자서명법 개정을 통한 공인인증서 폐지), 국내 법규에 따르기 위해 대처하거나 이용자 사용성 측면에서도 다각도로 고려하고 대응해야 하는 시대로 넘어왔다.
이제는 개인정보 역시 분산화, 탈중앙화 그리고 고도화 해야하는 시대를 앞두고 있다
어찌보면 탈중앙화된 네트워크의 연결로 시작한 인터넷이자 WWW인데, 어느순간 중앙화, 데이터센터 시대에 접어들더니 작게 쪼개어 사용하는 VM(가상서버 머신)의 시대로 넘어오고 또한 잘게 시스템 구조도 분산해서 관리하는 시대가 되다보니, 개인정보 역시 예전에는 한 곳에 중앙화된 형태로 보관하다가 보안상 위협은 물론이고 관리 차원에서도 점점 어려운 시대가 되었다.
예를들어 예전에 Legacy 시절 답습했던 습관들 — CI값 기준으로 민감한 개인정보를 보관하고 저장하는데 암호화하지 않거나, raw한 데이터로 패킷에 실어 통신하는 등 예전 세대에서는 괜찮았겠지만 점차 해커들의 공격이나 관리자의 실수로 인한 유출 등 다양한 문제들이 발생하며 천문학적인 배상비용이나 서비스의 중단 등 큰 문제가 발생하는 일은 이전 글 언급처럼 이제는 매우 익숙한 일이 되어버렸다.
다만 그렇다고 예전 방식을 고수하고 그대로 두기에는 점점 더 어려운 상황이고, 기존에 쌓여있던 개인정보 영역을 고도화하기 위해서는 DI(Duplicated joining verification information) 형태로 취급하는 것을 떠나 ‘꼭 봐야할 정보만 따로 나누어 보는 형태' 즉 개인정보의 분산 고도화도 필요하다. 예를들어 이용자 cohort 분석하는데 있어서 사용자 시나리오, funnel(단계별) 분석 등에서도 꼭 봐야할 정보 — 나이대/성별 등 demographic(인구통계 기반) 데이터 중 직접 묶어서 조회해오던 개인정보를 이제는 개별적으로 분리하는 노력도 필요할 것이다.
또한 이 과정에서 기존 CI(Connecting Information, 식별가능한 연계된 개인정보) 체계에서 점진적으로 이동하면서 DID(Decentralized Identifier) 체계로 한걸음씩 고도화하는 것이 미래를 위한 준비가 아닐까? 최근 과기부 한국인터넷진흥원이나 금융보안원 같은 기관들이 기존 공인인증서를 대체할 가장 주목할 기술로서 블록체인 분야 DID관련 산업을 육성하는 것만 봐도, 기존 중앙화된 구조 대비해 탈중앙화, 분산ID 기반의 신원관리 체계가 앞으로 고도화해야할 미래인 것은 분명해 보인다.
또한 SSI(Self-Sovereign Identity)라고 불리우는 자기주권신원 관리에 있어서도 ESG(Environmental(환경), Social(사회), Governance(지배구조)의 앞글자를 딴 약자로, 기업의 비(非)재무적 성과를 판단하는 기준) 차원에서 역시 더이상 고객의 개인정보를 기업의 자산이 아닌 사회적 책임으로서 개인에게 관리 주권을 옮기고 필요할 때 가져오는 구조 역시 앞으로 고도화 해나가야 할 방향일 것이다.
그렇다면 어떻게 이 영역을 시간과 비용을 아껴서 한 번에 고도화할 수 있을까?
작년 국내 최초의 상용 DID 서비스인 마이키핀을 출시하고, 1년여간 운영해오면서 정말 다양한 서비스들에 외부 2FA(2 Factor Authentication) 형태로 연동한 경험을 바탕으로, 보다 더 크고 고도화하고 싶은 조직은 아예 이 DID를 직접 내장해 운영하고 싶다는 요청을 꽤 많이 받았었지만. 코인플러그 역시 소프트웨어 엔지니어, 개발자원은 어느 다른 소프트웨어 기업처럼 한정적이기에 SI 구축 형태로 진행하기엔 한계가 있는 것은 당연하다.
물론 공공기관 대상으로는 최근 지정된 기획재정부 조달청 혁신시제품 사업을 통해 수의계약으로 쉽게 구매해 기관별 별도의 Private Blockchain Network를 구성하고 인증서버 소프트웨어를 설치할 수 있게 되었고, 기본적인 출입보안 시스템과 연동해 쉽게 구축할 수 있지만, 이런 패키지 소프트웨어 솔루션과는 다르게 민간영역에서는 자사의 온라인 서비스나 다양한 시스템에 연동하고 싶은 요구사항들이 항상 다양하게 발생할 수 있다.
특히 마이키핀 서비스 내에서는 ‘인증서’라는 이름으로 일반인이 이해하기 쉬운 형태의 인증정보를 보관 및 제공(VC/VP)하고 있는데, 단순히 DID만 도입한다고 끝나는 것이 아니라 다소 생소하고 복잡할 수 있는 VC(Verifiable Credentials)와 VP(Verifiable Presentation) 개념이라던지, 관련 구현 노하우들을 아무리 잘 제공한다고 쳐도 자체적으로 추진하기에는 다소 어려움이 발생할 수 있어서, 코인플러그는 단계적으로 다양한 기업들을 위해 API(Application Programming Interface) 뿐만 아니라 직접 개발할 수 있는 SDK(Software Development Kit)를 제공하고 있다.
이번에 코인플러그와 MOU를 체결한 코넥스(KONEX) 상장사인 유비온 역시, 한국에서 가장 많은 학교와 기관들의 학습관리 시스템(LMS, Learning Management System)를 구축해온 전문 SW기업으로, 주로 각 학교별 학생, 교직원, 졸업생들의 SSO(Single Sign-on)나 계정관리에 있어 어려움이 있었고, 자사 시스템 내 마이키핀 연동은 물론 SDK(Software Development Kit, 개발자 도구)를 기반한 공동 사업 등도 함께 추진, 협력하기로 했다. 하반기 예정인 마이키핀 얼라이언스 행사를 통해 그 진행사항들을 공유할 계획이다.
개인정보 영역의 고도화 시작은 마이키핀 얼라이언스에서 함께
4차산업 이런 관념적 용어들을 쓰지 않더라도, AI나 클라우드 등 새로운 기술도입에 비해 상대적으로 어려운 블록체인 기술은 복잡한 구조와 암호화된 합의 알고리즘과 그 네트워크 유지의 어려움으로 인해 다소 어렵게 생각될 수도 있지만, 마이키핀 얼라이언스에서는 130여개의 파트너사들과 함께 이 고민을 함께 논의하고 해결할 수 있는 방향으로 추진하고 있다.
기존 금융거래 사기 예방 블록체인 시스템, 전자계약 등 블록체인 분야 중 우선적으로 적용된 분야 뿐만 아니라 곧 공개할 다양한 산업군에서의 블록체인 기술적용과 DID 기술에 대한 실증사례, 최근 한국인터넷진흥원과 함께 진행 중인 비대면 안면인식 결제나 주문/배송 O2O 플랫폼 분야의 적용사례 등을 공유하고자 한다.
특히 올해 하반기에 진행할 마이키핀 얼라이언스 행사에서 SDK 등 다양한 기술 솔루션들의 론칭파트너로서 자사의 기술력과 함께 공동 사업들을 적극적으로 추진할 기업이라면 언제든지 마이키핀 얼라이언스를 가입신청 하시기 바란다.
