블록체인 기술이 세상의 변화를 이끌어 가고 있다. 이런 세상의 변화를 크게 정리하면 다음과 같은 5가지를 꼽을 수 있다.
• 블록체인 기술을 사용한 새로운 자금모집 방식이 조직의 거버넌스와 비즈니스 모델을 변화시킨다.
• 블록체인에 쓰이는 신뢰성 있는 데이터를 이용해 P2P 거래가 활성화됨으로써 거래를 지원하는 중간관리자나 인증을 담당하는 중앙기관 같은 플랫폼이 필요 없어질 수 있다.
• 암호화폐를 포함한 다양한 디지털 자산에 대한 새로운 평가방식이 확산되고 디지털 자산의 새로운 거래 시장이 부각되고 있다.
• 스마트 계약 기술 등으로 사람의 개입 없이 기업 간 계약이나 파트너십의 관리, 거버넌스의 손쉬운 변화가 가능하다.
• 블록체인에 저장된 공통의 데이터를 활용함으로써 기업 간계약 이견이나 문제제기 등을 줄일 수 있으며, 이런 신뢰를 바탕으로 계약 대상의 범위가 확장돼 시장 규모 또한 커질 수 있다.
블록체인 기술의 핵심 키워드는 분산원장에 쓰인 데이터의 ‘신뢰’다. 그리고 분산원장에 쓰인 ‘신뢰’'를 가장 쉽게 응용할 수 있는분야가 ‘신원증명’이다. 또한 ‘신원증명’의 화두가 블록체인 기술을 이용한 ‘분산ID’다. ‘분산ID’는 신원관리 지갑에서 공개키와 개인키를 기반으로 신뢰성 있는 기관에게 신원증명을 신청한 후, 개인에게 발행된 디지털ID가 분산원장에 쓰임으로써 생성된다.
블록체인을 이용한 분산ID의 가장 큰 특징은 자기주권형 신원증명이라는 것이다.
이용자 개인의 지갑에서 분산ID를 신청하고 블록에 기록되면 분산ID의 고유성을 통해 자신의 ID가 신뢰성을 갖고 있다는 사실이 모든 사람에게 공개된다. 따라서 외부인들은 지갑보유자에게 일단 블록체인의 공개키 정보가 포함된 분산ID의 확인을 요구할 수 있고,지갑보유자는 개인키를 이용해 자신을 증명할 수 있다.
따라서 분산ID를 이용해, 지갑보유자는 자신을 증명할 수 있기 때문에 지갑에 있는 개인정보를 외부에 선택적으로 제공할 수 있게 된다. 예를 들어 성별만 필요하면 자신의 남녀 성별만 보내고, 이메일이 필요하면 이메일만 보낼 수 있다. 또한 개인 신분증명에 필요한 정보가 필요하면 공공기관에서 발행한 개인정보를 보낼 수 있다.
요약하면, 분산ID의 특징은 외부환경의 변화와 관계없이 개인의 지갑(Peer)을 기반으로, 언제든지 선택적으로 자신의 개인정보를 스스로 관리하고 제공할 수 있고 보호할 수 있다는 것이다.
ID 관리의 독점과 개인정보유출에 대한 해결책
유럽연합(EU)은 전 세계적으로 화제가 된 개인정보보호법안인 GDPR(General Data Protection Regulation)을 제정했고 미국은 ‘소비자 프라이버시 권리장전(Consumer Privacy Bill of Right)’을 제정하는 등 개인의 정보보호가 점차 강화되고 있다.
하지만 현재 플랫폼 서비스 제공자는 이용자의 동의없이 이용자 서비스 이용 내역등을 파악하는 것이 가능하며 구글과 페이스북은 이를 기반으로 광고 사업자에게 맞춤형 광고 서비스를 제공하고 있다. 또한 여러서비스 플랫폼에서 하나의 인증정보를 사용할 수 있도록 통합 ID인증 서비스를 제공하고 있다. 분산ID는 이런 ID 관리의 독점화와 개인정보유출에 대한 해결책으로 제시되고 있다.
특히 캐나다와 일본에서는 금융회사 등 민간기관의 주도로 상향식(Bottom-Up) 분산ID 서비스를 구축해 시범 운영 중이며, 에스토니아, 스위스, 싱가포르 등에서는 정부 주도로 하향식(Top-Down) 서비스를 구축·운영 중이다.
캐나다에서는 2017년부터 금융기관을 중심으로 ‘사이버 인증 리뉴얼 프로젝트’ 의 일환으로 후원하고 있는 디지털 신원확인 플랫폼을 제공하는 스타트업 시큐어키(SecureKey)가 IBM의 하이퍼레저패브릭 기반으로 시장을 주도하고 있다.
에스토니아는 2013년부터 정부 주도로 블록체인을 이용한 ‘전자거주권(e-Residency)’ 프로그램으로 국적에 관계없이 디지털 ID 형태의 신원증명서를 발급하고 있다. 이 신원증명서를 이용해 법인설립에 필요한 절차를 간소화하고, 외국인도 인터넷을 통해 손쉽게 법인을 설립할 수 있게 됐다.
또한 스위스의 도시 주크(Zug)에서는 2017년부터 지방정부 주도로 시민을 대상으로 블록체인 기반 신분증을 발급하는 파일럿 프로젝트를 운영하고 있다. 분산ID 플랫폼 업체인 유포트(uPort)와 협업해 신분증 발급과 증명을 위해 공개형 블록체인인 이더리움에 기반한분산ID 플랫폼을 구축하고 있다.
일본도 2017년부터 일본 거래소 그룹과 증권사를 중심으로 블록체인 기반의 KYC 업무를 실증 실험함으로써 개념검증을 완료하고, 계좌개설 시 필요한 신원정보(이름, 주소, 생일, 직업 등)를 공유함으로써 고객의 불편함을 해소하고 있다.
민간의 경우 자기주권ID(Self-sovereign identifier) 관리를 위해 IBM, 소브린(Sovrin), 오캄(Ockam), 에버세이프(Aversafe), 트러스티드키(Trustedkey) 등 다양한 스타트업과 비영리 단체를 중심으로 새로운 구조의 서비스 개발이 진행되고 있다. 이들은 대부분 하이퍼레저를 분산원장 기반으로 활용하고 있다.
국내에서는 블로코가 L카드 블록체인 기반 생체인증 간편 로그인, J은행 블록체인 기반 전자서명 간편 로그인, S카드 블록체인 기반 바우처 등을 허가형 기반의 코인스택을 이용해 개발했다.
더루프도 자체 개발한 루프체인을 통해 동일한 공인인증서를 관리하는 고등인증 시스템 ‘Chain ID’를 개발했으며 국내 11개 증권사와 함께 시범서비스를 운영 중이며 신한금융지주도 계열사인 은행, 카드 등 앱 서비스를 대상으로 별도의 인증이나 인증 앱 설치 없이, 한 번의 통합인증으로 모든 앱 서비스를 별도 로그인 없이 사용할 수 있는 싱글사인온(SSO, Single Sign On) 서비스를 준비 중이다.
또한, 와이즈엠글로벌도 분산ID 전용 블록체인을 제공하는 심버스(SymVerse) 프로젝트를 개발 중이다.
SymID라는 분산ID는 재단의 신원확인 후 CA(Citizens Alliance) 서버가 무결성을 보장하는 8바이트의 난수로 제공한다. 계정의 생성절차는 지갑에서 공개키와 개인키를 생성한 다음 CA서버에 계정신청을 하면 SymID, 계정의 순위, 공개키 등에 대한 기록이 시민(Citizen) 데이터블록에 기록된다.
SymID는 인증서비스를 제공하는 CA서버와 연동해 생성하며, 이를 이용해 복수의 계정 신청이 가능하다. 계정은 <공개키해시@국가.상태.역할.신용도.조직>의 도규먼트(Document)와 같은 부가정보를 블록체인에 저장한다. 공개키 해시는 이용자의 서명을 검증하기 위한 용도로 사용하고 ‘국가’는 국가 간의 거래구분을 위해 사용하며, ‘역할’은 노드 특징, 산업적 기능, 조세부담 등을 구분하는 용도로, ‘조직’은 dApp의 이용자 집단을 식별하기 위한 용도로 각각 사용한다.
SymID는 변경되지 않고 계정상태 변경내역은 Citizen 블록 기록하며 이용자는 자신이 원할 경우 계정을 잠금 상태로 전환하거나 신규 계정을 생성해 잔액을 전부 이동함으로써 개인키 분실이나 유출에 대응할 수 있다.
각국과 업계의 적극적인 표준화 진행
우리나라를 비롯한 전 세계가 이러한 분산ID를 주목하면서 국내외에 표준화활동도 치열하게 전개되고 있다. 분산ID에 대한 요구가 큰 가장 큰 분야인 금융권에서 금융보안표준화협의회를 구성해 산업 표준화 활동을 전개하고 있다. 국내에서는 IT 표준화를 담당하고 있는 한국정보통신기술협회 산하 정보보호위원 회의 개인정보보호/블록체인 표준포럼이 이에 대한 표준화를 진행하고 있다.
국제적으로는 국제전기통신연합(ITU-T)산하 IEC에서 ISO 산하 기술위원회(TC) 307과 공동으로 X.509 표준을 분산원장에서도 사용할 수 있도록 표준을 개발 중이다. W3C에서도 독자적으로 분산ID 전반에 걸쳐 민간기업이 참여해 인터넷 표준화를 진행하고 있다.
국내에서는 분산ID에 대한 표준화가 올해말로 제정될 것으로 예상되고 있으며 국제적으로는 W3C에서 이에 대한 표준화가 내년 상반기에 진행될 것으로 예상된다.
세계 유수의 거대 기업들이 분산ID 기술에 주목하고 있는 이유는 고객의 확보와 유지에 대한 주도권 때문이다. 여태까지 모든 인터넷 플랫폼은 플랫폼 가입시 로그인 ID과 패스워드을 확보하고 이를 기반으로 중앙집중적인 방식을 통해 고객의 플랫폼 접근을 통제했다. 또한 좀 더 강력한 보안이 요구되는 금융권이나 공공기관의 경우, 공인인증서(PKI)를 이용해 플랫폼 접근을 관리하고 있다.
블록체인 기반의 분산ID가 확산되면 플랫폼에 대한 접근방법도 달라진다. 지갑보유자가 플랫폼에게 자신의 분산ID만 알려주면, 플랫폼은 분산 ID의 존재여부를 블록체인에서 확인하고 지갑보유자에게 분산ID의 실제보유자인지의 여부를 증명하라고 요구한다. 이때, 지갑보유자는 분산ID의 소유를 증명하고 플랫폼에게 전달함으로써 플랫폼에 접근할 수 있다.
이는 플랫폼 사업자들은 플랫폼 이용자들의 분산ID는 알 수는 있지만 과거처럼 이메일 등 개인의 정보는 알 수 없게 된다는 것을 의미한다. 개인정보 보호에 대한 관심이 높아지고 있다는 것을 고려하면, 분산ID로 인해 플랫폼 사업자는 사업의 핵심기반인 이용자의 개인 정보 확보에 문제가 생길 수 있다. 이는 고객 전략과 수익확보 전략에 큰 변화가 생긴다는 점을 의미한다.
다양한 방식으로 이뤄지는 분산ID의 라이프사이클
분산ID 기술을 좀 더 세밀하게 들여다보기 위해서는 분산ID의 생성, 사용, 폐기에 이르는 라이프사이클에 주목할 필요가 있다.
우선 분산ID의 생성과 저장방식에 대하여 살펴보자. 분산ID는 지갑보유자가 신뢰기관(TrustAnchor)에게 자신을 증명해 블록체인에 기록해달라고 요청하게 된다. 이때 신뢰기관은 금융기관이나 동사무소와 같은 공공기관이 대표적인 예가 될 수 있다.
신뢰기관은 지갑보유자의 신원을 확인한 후 이를 분산원장에 기록하고 분산ID를 발급한다. 이때 신원정보 저장을 위해 별도로 지정된 분산원장을 ‘신뢰된 분산ID 저장소’라고 부른다. 분산원장 기반의 신뢰된 분산ID 저장소 내에는 개인정보를 평문으로 저장하지 않으며, 개인정보가 포함된 신원정보는 암호화 등의 조치를 수행하거나, 분산원장 밖(Of-Chain)에 저장할 수도 있다.
분산ID 생성 방식은 신원정보 저장위치에 따라 세가지로 분류할 수 있다.
①분산원장 내에서 암호화해 저장하는 방식으로 분산원장 내에 신원정보가 암호화돼 저장되며, 사용자는 복호화에 필요한 키를관리하는 방식(더키(thekey), vip 등이 채택)
②사용자 모바일 내 신원정보가 저장되며, 사용자는 서비스 제공자에게는 필요한 신원정보만 선택해 제공하는 방식(소브린, 유포트 등이 채택)
③발급기관 내에 저장하는 방식으로 신원정보를 발급하는 기관에서 신원정보를 저장하며, 사용자가 동의한 경우에만 서비스 제공자에게 신원정보를 제공한다.(시큐어키 등이 채택)
다음은 분산ID의 유통 과정이다. 일단 분산ID가 분산원장에 저장되면 이를 기반으로 지갑보유자는 자신의 지갑에 개인정보를 저장하고 이를 선택적으로 외부에 제공할 수 있게 된다.
새로운 직장에 취직하기 위해 입사원서를 제출하는 지갑보유자의 예를 들어보자. 이경우, 지갑보유자는 자신의 최종 학교 졸업증명서와 경력증명서를 새로운 직장에 제출해야 한다. 그는 지갑을 통해 해당학교에 자신의 분산ID로 졸업증명서를 새로운 직장에 보내 달라고 요구할 수 있다.
해당학교는 분산ID를 확인하기 위해 지갑보유자에게 신원증명을 요구하게 되고 지갑보유자는 필요한 신원정보를 보내면, 해당학교는 이를 확인한 후 새로운 직장에 졸업증명서를 보낸다. 경력 증명서를 발행하는 이전 직장도 동일한 방식으로 경력증명서를 발급한다.
여기서 이용자들의 편의성을 높이기 위해 이런 신원증명이나 신원증명 요청에 대한 표준 양식이 필요하게 된다. 이런 표준 양식에 의해 작성된 신원증명을 '신원증명 크레덴셜(Credential)'이라고 부른다. 향후 분산ID를 기반으로 이런 과정을 중계하는 신원증명 중계기관(Hub)도 등장할 수 있다.
컨설팅 전문업체인 맥킨지의 보고서에 따르면 2022년까지 신원정보와 관련된 시장의 가치가 160~200억 달러에 이를 것으로 예측되고 있다. 국내에서는 은행연합회, SKT 등 이동통신회사들이 이런중계기관의 역할을 담당하기 위해 각축을 벌이는 이유는 시장선점의 효과가 매우 크기 때문이다.
중계기관은 분산ID의 유통과정의 핵심적인 지위를 가질 수 있고 고객 신원 인프라를 기반으로 다양한 사업기회를 획득할 가능성이 높기 때문이다. 또한 신원확인 과정에서 수집되는 정보를 비식별화 시킨 빅데이터의 상업적 이용도 가능하다. 점차 개인정보의 획득이 어려워지는 추세에 따라 이런빅데이터의 가치가 점차 중요해질 것으로 예상된다. 물론 이외에도 분산ID의 간편성을 이용한 신규고객의 유치도 가능하다.
그러나 분산ID의 핵심은 이용자가 스스로 자신의 정보를 통제하고 제공할 수 있는 자기주권(Self Sovereign)에 있고 분산ID는 블록체인 네트워크에서 P2P(Peer to Peer)로 전달되기 때문에, 중계자를 어느정도 배제할 수 있다는 점에 주목해야 한다. 다시 말해 자기주권형 분산ID는 잊혀졌던 소비자 주권을 되찾아주는 단초가 될 것이기 때문이다.
