[PROOFER] 유즈케이스::신원증명- “블록체인 기반 신원증명 DID의 효용 및 전망 — Part 2”

Writer : 유미선(Misun Yoo)
Reviewer : 맹주현(Juhyun Maeng)
Blockchain Academy PROOFER

블록체인 학회 ‘PROOFER’에서 신원증명 분야에서의 블록체인 보안성에 관한 3부작 글을 연재하며, 연재의 구성은 다음과 같습니다.

1.블록체인이 제공하는 보안성과 암호화 알고리즘이 제공하는 보안성의 비교

2.블록체인 기반 신원증명 DID의 보안성과 한계 — Part 1

3. 블록체인 기반 신원증명 DID의 효용 및 전망 — Part 2

이번에 다루는 주제는 “ 블록체인 기반 신원증명 DID의 효용 및 전망 — Part 2” 입니다.

글의 순서는 자기주권신원의 등장 배경, DID의 개념과 추세, DID 시장의 최근 이슈 사례로 나누어 설명하며, 추가적으로 주목할 만한 사례로 ‘마이크로소프트사의 DID 프로젝트 ION(아이온)’를 소개합니다.

Executive summary

데이터의 활용도와 가치가 모두 증가하면서 사용자들이 데이터 정보의 보안과 결정권 및 수익에 대한 정당한 보상에 대해 높은 관심을 가지게 되며 자기주권신원(SSI)에 대한 수요가 증가하고 있다.

이에 DID는 블록체인에 기반한 프라이버시 보호 및 이용 편의성 특징을 통하여 자기주권신원의 실현을 도울 수 있을 것으로 기대되고 있다. 탈중앙화 ID라는 뜻의 DID(Decentralized Identifier)의 핵심 특징은 중앙 기관이나 기업이 개인의 신원정보를 통제하는 기존 신원확인 방법과 달리 사용자 스스로가 신원정보를 생성 및 관리할 수 있다는 데에 있기 때문이다.

이와 같은 특징을 바탕으로 DID는 기존의 복잡한 신원인증 절차 및 인프라가 제대로 갖춰지지 않은 개도국의 신원인증을 대체하고 SSI의 발판이 될 것으로 기대된다.

이처럼 개도국의 신원인증을 대체할 것으로 기대되는 대표적인 프로젝트로는 제 3세계 금융 시장 점유를 목표로 하는 페이스북의 리브라가 있다.

다음으로 기존의 복잡한 신원인증 절차를 대체할 것으로 기대되는 대표적인 프로젝트로는 MS의 ION이 있다. 이는 DID의 표준 규범이 수립되지 않은 상황에서 막대한 이용자 수와 퍼블릭 체인을 바탕으로 기존 시스템을 대체할 수 있을 영향력을 보일 것으로 기대된다는 점을 바탕으로 한다.

Background

주목받는 자기주권신원 개념 — GDPR 등 데이터 주권에 관한 세계적 추세

데이터의 활용도와 가치가 모두 증가하면서 사용자들이 데이터 정보의 보안과 결정권 및 수익에 대한 정당한 보상에 대해 높은 관심을 가지게 되면서 자기주권신원에 대한 수요가 증가하고 있다.

4차 산업혁명 시장의 발달은 사람들이 디지털 환경에 노출되는 시간과 이에 따라 생성되는 디지털 데이터의 양을 기하급수적으로 늘렸다. 이에 개인정보를 포함한 데이터의 활용에 대한 수요가 점점 더 증가하면서 데이터의 가치에 대한 관심도 늘어났다.

이처럼 소비자로부터 무상으로 수집한 데이터의 활용이 곧 매개 플랫폼의 수익창출로 이어지는 환경에서 개인의 데이터 주권에 대한 인식 역시 높아져왔다. 이러한 사회적 인식의 제고는 곧 실제 데이터의 제공자인 사용자 개개인에게 데이터의 활용에 대한 결정권이 있어야 하며, 데이터 활용에 따른 수익 역시 개개인에게 보장되어야 한다는 사회적 차원의 규제에 대한 논의를 활발하게 하는 데 일조했다.

가장 대표적인 예로 유럽연합이 2018년 5월부터 개인정보보호 규정 GDPR(General Data Protection Regulation)을 실행한 것이 있다. GDPR의 핵심은 데이터의 주체에게 자신의 데이터에 대한 더 많은 권리와 통제권을 주는 것으로, 개인정보를 엄격하게 보호하고 사용자에게 더 많은 권한을 부여하자는 취지에서 유럽 전역에서 발효된 개인정보의 수집, 저장 및 전송, 사용 등에 대한 규제다.

이처럼 데이터 주권에 대한 관련 규제 수립과 관심은 자기주권신원(Self-Sovereign Identity, SSI)에 대한 높은 수요를 가져오는 배경이 되었다. 자기주권신원은 개인정보 혹은 신원정보 관리와 활용에 대한 새로운 패러다임을 제시하고 있는 개념이다. 기존에는 중앙화된 제3의 기관 혹은 서비스 제공자가 개인정보를 관리했다면, 이제는 개개인 스스로가 자신의 정보를 관리하는 형태로의 패러다임 전환이 이루어지고 있는 것이다.

물론 블록체인 원장이 정보가 수정되거나 삭제될 수 없는 영구 기록물을 생성하는 원장 기술이라는 점에서 정보를 정정하거나 삭제해달라고 요구할 권리, 이른바 ‘잊힐 권리’를 보장하는 GDPR에 위배된다는 우려도 있다.

그러나 프라이버시와 GDPR의 준수를 염두에 두고 개발된 블록체인이라면 분명한 장점을 갖는다. 예를 들어 IBM이 참여하는 소브린 레저(Sovrin ledger)는 개인 정보를 보관하지 않는다. 또한, 더욱 전통적이고 중앙화된 데이터베이스를 통해 GDPR의 개인정보보호 원칙을 이행하기 위한 추가적 조치를 취한다. 이처럼 개인 정보를 수취해 영구적으로 유지하지 않는 블록체인의 경우 개인 데이터 주권 규제를 만족하면서도 탈중앙 신원증명의 장점 또한 지닐 수 있다.

Industry Trend

자기주권 신원을 실현할 블록체인 기반 탈중앙화 신원증명 DID

DID는 블록체인에 기반한 프라이버시 보호 및 이용 편의성 특징을 통하여 자기주권신원의 실현을 도울 수 있을 것으로 기대되고 있다. DID의 핵심 특징은 중앙 기관이나 기업이 개인의 신원정보를 통제하는 기존 신원확인 방법과 달리 사용자 스스로가 신원정보를 생성 및 관리할 수 있다는 데에 있기 때문이다.

탈중앙화 ID라는 뜻의 DID(Decentralized Identifier)의 핵심 특징은 중앙 기관이나 기업이 개인의 신원정보를 통제하는 기존 신원확인 방법과 달리 사용자 스스로가 신원정보를 생성 및 관리할 수 있다는 데에 있다. 따라서 DID는 블록체인에 기반한 프라이버시 보호 및 이용 편의성 특징을 통하여 자기주권신원의 실현을 도울 수 있을 것으로 기대되며 많은 주목을 받고 있다.

이때 프라이버시 보호 특성은 사용자 개인의 단말기에 분산화되어 저장된 정보에 오직 사용자 키를 통해서만 접근이 가능하고 인증시에는 필요한 정보만 골라 제출할 수 있어 자신의 개인 정보를 직접 관리할 수 있다는 점에서 두드러진다. 특히 신원 요청 정보를 오프체인에 저장할 경우 해킹으로 개인정보가 유출될 위험에서 자유로울 수 있다. 반면 현재 중앙 시스템에서 개인정보를 보관하고 관리하는 체제에서는 해킹이 발생하면 개인 정보가 대규모로 유출될 위험이 있고, 제 3자가 개인 정보를 악용할 위험이 있다.

다음으로 이용 편의성이란 DID가 신원인증에 필요한 정보들을 미리 정의한 다음 암호키를 통해 공개키가 나의 것임을 증명하는 방식에서 기인한다. 또한 개인이 상황마다 필요한 정보만 선택하여 구성한 DID를 여러 단말기와 클라우드에 걸쳐 보유할 수 있다는 것도 편의성 증대가 기대되는 이유 중 하나다. 더 나아가 표준 DID가 수립될 경우, 국경이나 네트워크에 관계없이 단일 DID만으로 간편하게 신원인증이 가능해질 수 있다는 전망도 가능하다.

뿐만 아니라 DID는 일일이 신분증을 찍어 올리거나, 정보를 입력할 필요 없이 자신이 소유하고 있으며 이전에 인증했던 정보를 불러오기만 하면 된다. 자신을 증명하기 위해 정보가 기입된 서류들을 제출할 필요가 없게 되는 것이다. 가령 인터넷 사이트 회원가입을 위해 핸드폰번호, 집주소 등을 입력하지 않아도 소셜 로그인과 같이 DID만 있으면 필요한 최소한의 정보로 신원을 인증 할 수 있기 때문이다.

다만 소셜 로그인은 웹 사이트 로그인 외에 신원확인 시스템으로서 기능을 하기에는 해킹의 위험성과 서비스 종료 시 데이터 지속성을 보장할 수 없다는 점 때문에 보안성이 부족한 면이 있다. 이와 달리 DID는 신원확인이 필요한 모든 부분에 적용 가능하다. 예를 들어 번거로운 KYC 절차 등 본인 인증이 필수적인 금융 분야는 DID가 적용되기 최적화된 분야다. 블록체인의 정보의 위·변조 불가능 특징에 따라 신원정보 위조 등의 문제를 걱정하지 않아도 되기 때문이다. 또한 정보를 제공받는 서비스 제공자도 따로 사용자의 정보를 확인하기 위해 복잡한 절차를 거쳐 신원 정보를 저장하고 관리할 필요가 없어져 비용절감의 효과를 누릴 수 있다.

궁극적으로 이와 같은 특징을 바탕으로 DID는 기존의 복잡한 신원인증 절차 및 인프라가 제대로 갖춰지지 않은 개도국의 신원인증을 대체하고 SSI의 발판이 될 것으로 기대된다.

Current Issue

DID 산업군의 최근 이슈 및 사례: 페이스북 리브라의 제 3세계 금융을 발판으로 한 디지털 신원 인증 혁신 가능성

DID는 기존의 복잡한 신원인증 절차 및 인프라가 제대로 갖춰지지 않은 개도국의 신원인증을 대체하고 SSI의 발판이 될 것으로 기대된다. 이처럼 개도국의 신원인증을 대체할 것으로 기대되는 대표적인 프로젝트로는 제 3세계 금융 시장 점유를 목표로 하는 페이스북의 리브라가 있다.

페이스북 리브라 백서 끝 부분에는 “리브라 어소시에이션이 가진 또 하나의 목표는 개방형 ID 표준을 개발하고 촉진하는 것이다.” “탈중앙화 되고 휴대 가능한 신원인증은 포용적 이며 경쟁력 있는 금융 시스템의 필수 요소이다.”라는 내용이 들어가 있다. 또한 이처럼 디지털 신원을 탈중앙화된 방향으로 혁신하겠다는 내용을 토대로 현재 전세계 금융 소외계층 17억 명 중 휴대전화를 소유하여 신원을 확인할 수 있는 약 10억명에게 금융 접근성을 제공한다는 비전을 제시하고 있다.

이를 통해 페이스북의 다음 행보는 리브라를 통한 제 3세계 금융 시장 확보임을 짐작할 수 있다. 특히 은산분리가 약한 국가들에 스테이블 코인 리브라를 공급하여 금융 서비스에 침투하고자 하는 것이다. 특히 금융 분야에서 신원인증은 필수적인 절차임을 감안하면 제대로 된 신원증명이 어려운 제 3세계는 DID가 기존 신원인증을 대체할 가능성이 가장 높은 곳이다.

다만 리브라 자체 DID를 바탕으로 한 금융이 디지털 신원 구축의 바탕이 되는 개인 정보를 가장 많이 보유한 페이스북과 결합하면 DID의 순기능인 데이터 주권 확보 이상의 결과가 우려된다. 개인의 방대한 생활정보를 지닌 페이스북의 데이터에 리브라 계정의 금융정보가 더해지면 사용자 개인의 생활 전반에 걸쳐 거의 모든 정보를 파악할 수 있게 될 것이며, 이를 활용하면 개개인의 생활에 훨씬 깊숙히 관여할 수 있게 될 것이기 때문이다.

그러나 페이스북이 구체적인 계획을 공개하지 않았고 페이팔을 선두로 최근 이베이, 비자, 마스터카드, 메카르도 파고, 스트라이프 등의 리브라 협회 탈퇴가 이어지는 상황에서 당장으로서는 리브라의 탈중앙화된 ID 시스템이 어떻게 작동할지 예측하기는 어렵다.

또한 아무리 페이스북이라 해도 사용자들 입장에선 블록체인은 여전히 진입장벽이 높은 기술이다. 특히 DID 앱에서는 사용자가 프라이빗 키를 분실할 경우 복구가 불가능할 수 있는데, 비밀번호를 분실해도 다시 만들면 되는 지금의 ID 시스템에 익숙한 사용자에게는 큰 걸림돌이 될 수 있는 부분이다.

Case study

퍼블릭 체인을 기반으로 한 MicroSoft ION 사례

기존의 복잡한 신원인증 절차를 대체할 것으로 기대되는 대표적인 프로젝트로는 MS의 ION이 있다. 이는 DID의 표준 규범이 수립되지 않은 상황에서 막대한 이용자 수와 퍼블릭 체인을 바탕으로 기존 시스템을 대체할 수 있을 영향력을 보일 것으로 기대된다는 점을 바탕으로 한다.

2019년 5월 파일럿 출시 후 2019년 연말내로 메인넷으로 전환될 예정인 ION은 비트코인 블록체인 상에서 사이드트리 퍼블릭키 프로토콜을 구현하는 오픈소스이다. 이때 레이어 2 네트워크를 사용하여 기존 비트코인의 느린 트랜잭션을 보완하고 초 당 수만 건을 처리할 수 있는 빠른 속도를 지녔다. 또한 유저의 암호화된 ID만 블록체인에 담기며 실제 개인정보는 암호화되어 마이크로소프트도 볼 수 없는 오프체인 ID 허브에 저장된다.

이에 따라 ION은 사용자가 페이스북이나 이메일 등으로 애플리케이션에 로그인하는 대신 비트코인 네트워크에서 거래를 서명할 때 쓰는 것과 같은 DID 시스템을 통해 사용자의 소유권을 증명할 수 있다.

특히 ION은 비트코인 기반의 퍼블릭+Permissionless 네트워크로서 누구나 자격없이 참가할 수 있고 자신의 퍼블릭 키 PKI를 관리할 수 있어 진정한 탈중앙 구조를 실현한다는 점에서 다른 DID 탈중앙 디지털 신원 프로젝트들과 대비된다. 보통 기업 상대의 비즈니스 유즈케이스로 쓰이는 JP Morgan 이나 IBM 의 Permissioned 블록체인 기반 신원증명 프로젝트들과 달리 따로 관리자가 없으며 새로운 데이터 블록에 대한 작업증명은 컨센서스 매커니즘으로 이어지기 때문이다.

단점으로는 DID가 유용하게 쓰이려면 여러 사용처에서 단일 ID로 로그인이 편하게 될 수 있어야 하는데 서로 다른 블록체인 하에서 단일 ID로그인이 가능할지에 여부에 대한 것이 있다. 그러나 마이크로소프트는 마스터 카드 등의 파트너들과 오픈 소스 프로토콜 및 퍼블릭+Permissionless 네트워크를 기반으로 한 수십억 명의 유저베이스를 통해 이를 해결하고자 한다.

ION의 향후 유저베이스 증식 전략을 살펴보자면, 먼저 현재 수백만 명이 ID 증명에 사용하고 있는 Microsoft Authenticator 앱에 분산형 ID 를 추가적으로 지원할 예정이다. 이때 자연스럽게 사용자 풀을 늘리기 위해 기존 사용자의 동의를 얻는 경우 기존 ID 데이터가 암호화 키를 사용해 오프체인 ID 허브에 암호화되어 저장되는 식으로 서비스가 진행될 계획이다.

추가적으로 마이크로소프트가 전략적으로 키우고 있는 퍼블릭 클라우드 서비스인 애저에 DID가 접목될 가능성도 주목되는데, 해당 서비스는 아래 그래프에서 보이듯 2019년 8월 기준 퍼블릭 클라우드 수용 부문에서 61%의 점유율을 보이는 AWS 다음으로 52%의 점유율을 지니고 있다.

또한 이미 많은 기업들이 마이크로소프트 제품을 쓰고 있으므로 마이크로소프트가 자사 제품에 ION을 도입하는 것만으로도 DID 사용자 기반이 크게 확대될 수 있다는 점도 고려할 만 하다. 현재 DID의 표준 규범이 수립되지 않은 상황에서 이처럼 막대한 이용자 수를 바탕으로 현재 진행되고 있는 DID프로젝트 중에서는 최대 규모의 프로젝트로서 기존 시스템을 대체할 영향력을 지닐 것으로 기대할 수 있다는 점에서 주목할 만하다.

Conclusion

4차 산업혁명 시장의 성장에 따라 데이터의 활용도와 가치가 모두 증가하면서 개인의 데이터 주권에 대한 인식 역시 높아져왔다. 이러한 사회적 인식의 제고는 사용자 개개인에게 데이터에 대한 결정권이 보장되어야 한다는 논의를 활발하게 하는 데 일조했다. 가장 대표적인 예로 유럽연합이 2018년 5월부터 실행한 GDPR이 있는데,이는 데이터의 주체에게 자신의 데이터에 대한 더 많은 권리와 통제권을 주는 자기주권신원(SSI)에 대한 규제이다.

이처럼 사용자들이 데이터 정보의 보안과 결정권 및 수익에 대한 정당한 보상에 대해 높은 관심을 가지게 되면서 DID가 사용자 스스로가 신원정보를 생성 및 관리할 수 있다는 점에서 자기주권신원(SSI)의 실현을 도울 수 있을 것으로 기대되고 있다. 이는 블록체인에 기반한 프라이버시 보호 및 이용 편의성 특징에 기반한다.

프라이버시 보호 특징은 자신의 개인 정보를 단말기에 저장하고 필요한 정보만 제공할 수 있고 정보의 활용처까지 확인하며 개인 정보를 직접 관리할 수 있다는 점에서 두드러진다. 또한 개인의 신원정보는 개개인의 단말기에 분산화 되어 저장되며 특히 신원 요청 정보를 오프체인에 저장할 경우 해킹으로 개인정보가 유출될 위험에서 자유로울 수 있다.

이용 편의성 특징은 최초의 신원 확인 후에는 어떤 서비스를 이용해도 인증을 위해 똑같은 절차를 반복할 필요가 없다는 점에서 나타난다. DID는 신원인증에 필요한 정보들을 미리 정의한 다음 암호키를 통해 공개키가 나의 것임을 증명하는 방식이기 때문이다. 더 나아가 표준 DID가 수립될 경우, 국경이나 네트워크에 관계없이 단일 DID만으로 간편하게 신원인증이 가능해질 수 있다는 전망도 가능하다.

이와 같은 특징을 바탕으로 DID는 기존의 복잡한 신원인증 절차와 인프라가 제대로 갖춰지지 않은 개도국의 신원인증을 대체하고 SSI 구현의 발판이 될 수 있을 것으로 기대된다. 이처럼 개도국의 신원인증을 대체할 것으로 기대되는 대표적인 프로젝트로는 제 3세계 금융 시장 점유를 목표로 하는 페이스북의 리브라가 있다.

다음으로 기존의 복잡한 신원인증 절차를 대체할 것으로 기대되는 대표적인 프로젝트로는 MS의 ION이 있다. 이는 DID의 표준 규범이 수립되지 않은 상황에서 막대한 이용자 수와 퍼블릭 체인을 바탕으로 기존 시스템을 대체할 수 있을 영향력을 보일 것으로 기대된다는 점을 바탕으로 한다.

Reference

• “블록체인 기술은 GDPR을 준수할 수 있을까?” https://brunch.co.kr/@curg/22
• “블록체인 기술은 GDPR 규제를 준수할 수 있을까?” https://bit.ly/2KHjMz3
• “블록체인과 GDPR”
  http://www.itworld.co.kr/news/109231
• “페이스북 ‘리브라로 ID 시스템도 혁신하고 싶다”
  https://bit.ly/2NcS8vi
• “리브라에는 암호화폐 보안의 핵심 요소가 빠져있다” https://bit.ly/2z5G9Yf
• “디지털 신원 문제, 리브라가 해결해버리는 건 아닐까” https://bit.ly/2HcrNKe
• “KEEP!T column: 페이스북, 리브라 연합과 제3세계의 시장” https://bit.ly/2P1hJd4
• “Cloud Computing Trends: 2019 State of the Cloud Survey” https://bit.ly/2J7PZ1h

이어지는 연재 게시물 링크:

블록체인이 제공하는 보안성과 암호화 알고리즘이 제공하는 보안성의 비교

블록체인 기반 신원증명 DID의 보안성과 한계 — Part 1