1. 들어가면서

지난호에서는 디지털 신원 (이후 디지털ID) 확인을 위한 3대 요구조건들을 언급하였다. 최우선 요구조건은 단연 모바일폰 번호이고, SNS 플랫폼을 이용한 싱글사인온(Single sign on), 그리고 이중요소(Two factor) 인증에 대해 설명하였다. 디지털 페르조나가 일반화되면서 온라인 내지 모바일 이용자의 디지털 신원 조회는 더 이상 온라인 세계로만 국한되지 않고, 점차적으로 이용자가 사용하고 있는 디바이스와 IP 주소, SNS 사이트 쿠키와 같이 실제로 서비스 상에서 인식 못하는 실제세계로의 다양한 접속 기술들이 연계되기 시작했다. 블록체인(Blockchain)도 그 중 하나이다. 본 고에서는 블록체인이 발달하면서 블록체인을 활용한 디지털 신원 조회의 가능성에 대해 논의하고자 한다. 먼저, 블록체인 개념을 설명하고 이를 활용한 디지털ID 관리 비즈니스모델들에 대해 동향을 소개하고자 한다.

2. 블록체인 개념

지난 호에서도 간단히 언급했듯이, 블록체인은 이미 금융권 중심으로 기존의 비즈니스 프로세스를 바꿀 새로운 패러다임으로 등장하였으며, 2016년 초 세계경제포럼(World Economic Forum, WEF)에서 제4차 산업혁명 시대를 이끌 핵심기술 중 하나로 블록체인이 선정되면서 더욱 주목받기 시작한다. 블록체인은 공공 및 사설 네트워크에서 일어나는 거래정보가 암호화되어 해당 네트워크 구성원 간 공유되는 디지털 원장(ledger)을 말한다. 거래 원장 복사본이 각 네트워크 구성원에게 ‘분산되어(distributed)’ 새로운 거래가 발생하면 구성원들의 동의를 통해 해당 거래가 인증된다. 블록체인 기술 적용 분야 중 하나가 디지털 신원 조회이다. 네트워크 참여자들이 공동으로 거래 정보를 검증, 기록 및 보관하며, 주소나 전화번호 같은 기존의 오프라인 개인정보 외에 생체 정보까지도 추가한 디지털ID로 보다 간편하고 안전한 인증이 가능해진다.

블록체인(Blockchain)은 비즈니스 네트워크(Business Network)의 모든 참여자들이 원장(Ledger)을 볼 수 있도록 해주는 공유 원장 기술 (shared ledger technology) 비즈니스 프로세스를 간소화하면서 신뢰와 투명성을 확립하는 거래 애플리케이션을 구축하기 위한 토대가 된다. 블록체인을 기술적으로 개념화하면, 이는 중앙서버 없이 ‘P2P로 구현되는 비가역적(Irreversible; 되돌릴 수 없는) 공유 데이터베이스’이다. 즉, P2P 방식으로 이루어진 네트워크에서 참여자(Node, Client)들은 데이터를 담은 블록을 생성하고 검증을 한다. 각 참여자들은 일정한 규칙에 따라 데이터를 담은 블록을 경쟁을 통해 생성하게 되며, 이러한 블록은 일정한 컴퓨팅 파워가 투입된 이후에는 비가역적이 된다. 

그동안 디지털 세상에서는 생성된 데이터를 조작, 삭제, 취소하는 것이 비교적 쉬웠기 때문에 특정한 디지털 코드가 가치를 지니게 되기가 쉽지 않다. 이러한 이유로 인해, 중앙에서 통제하는 디지털 화폐나 재화(은행전산망 안의 계좌잔고, 게임 머니, 웹하드 포인트, 시리얼 키를 가진 소프트웨어 등)에 절대적 통제권을 행사하여 외부에서 조작할 수 없도록 보안을 유지해야만 했고, 이용자들은 복잡한 인증 절차를 감수해야만 했다. 그럼에도 불구하고 보안이 100% 완전할 수 없기 때문에 해킹사고도 빈번히 일어나고 있고, 중앙권력 자체가 해당 재화를 직접 조작하고 유용하여 부당하게 이익을 취득하는 사기도 가능하게 된다. 

블록체인을 통해 중앙 권력없이 순수하게 이용자로만 이루어진, 또한 조작이나 통제가 불가능한 시스템이 가능해질 것이다. 이전까지 디지털 정보는 모두 복사될 수 있는 것으로 여겨졌으나 블록체인의 등장으로 실제 복제가 불가능한 디지털 자산이 존재할 수 있게 될 것이다. 블록체인은 데이터를 기록하고 운영하는 방식을 정의하는데, 합의를 통해 참여자 모두가 데이터 기록과 관리에 참여한다. 이곳에 비트코인의 숫자를 기록하든, 재산의 소유권을 기록하든, 계약의 내용을 기록하든, 컴퓨터의 코드를 기록하든 개인의 견해나 투표 또는 각자의 생체정보를 기록하든, 아니면 다른 무언가를 기록하든 자유이다. 

지금까지 사람들의 모든 자산은 소유권 등기를 통해 이전(transfer)되고 증명된다. 화폐나 부동산, 토지, 주식, 유가증권은 물론이고, 보석 등 가치가 놓은 것이라면 무엇이든 등기를 통해 소유권 확정이 가능하다. 따라서, 그동안에는 점유만으로 소유권을 증명할 수 없었다. 모든 가치는 ‘원장 기록’을 통해 이동한 것이다. 블록체인 기술은 이러한‘원장’을 제3자 없이 운용할 수 있게 하고, 보다 안전하고 응용가능한 방식으로 운영하게 하는 기본 기술이 된다. 블록체인 기술의 장점을 설명하면 표 1과 같다.

▲ 표1. 블록체인 기술의 장점

3. ‌블록체인 활용 디지털ID 확인 비즈니스모델 동향 및 가능성

블록체인 기술은 고도로 보호, 공유, 복제되는 원장의 힘을 빌어 거래 프로세스를 디지털화할 수 있는 역량을 기업들에게 제공하는데, 잠재적인 블록체인 적용 시나리오는 표 2와 같다.

▲ 표2. 다양한 산업의 잠재적 블록체인 적용 시나리오

디지털ID가 보급됨에 따라 사용자 확인 및 인증 기술이 더욱 정교해지는 이유는 인증된 디지털ID가 다양한 서비스에 추가됨에 따라 데이터 프라이버시 및 보안을 보장하는 주요 요인이 되기 때문이다. 스냅챗(Snapchat)의 2014년 데이터 유출은 스냅챗 설립자인 에반슈피겔(Evan Spiegel)을 포함한 약 460만 명 이용자 이름과 전화번호를 노출하게 했는데, 이러한 해킹을 막기 위해 ID를 확인하는 새로운 방법들이 소개되고 있다. 

블록체인의 인증 기능을 활용해 디지털 신원 확인, 로그인 확인, IoT 보안 등에 사용될 수 있다. 방법은 다음이다. 즉, 블록체인에 참여하는 사람이 공개키와 개인키를 발급받는 첫 번째 단계를 거친 후, 다음 로그인 시 개인키로 블록체인에 참여하고 다른 블록에서 그 사람의 개인키를 인증해 거래에 참여할 수 있게 한다. 로그인 기록은 블록체인에 기록돼 나중에 부정 로그인 등을 감사할 때 정보로 사용할 수 있다. IoT에서는 기기의 동작 조건을 블록체인에 기록해, 기록된 동작만을 수행하도록 하면 관리자 권한을 불법적으로 탈취해 조작하는 공격을 막을 수 있다.

기업 대상의 엔터프라이즈급 블록체인을 새로운 수준으로 끌어올리고 있는 주요 블록체인 서비스(Blockchain-as-a- Service) 제공업체들이 등장하고 있는데, IBM, 딜로이트, 마이크로소프트 등 소수 기업들은 디지털 ID 관리를 위한 솔루션을 블록체인을 활용해 개발하고 있다는 기사들이 여기저기서 나오기 시작한다. 

IBM은 블루믹스(Bluemix) 클라우드 환경에서 고객에게 블록체인 엔터프라이즈 솔루션을 제공하는 BaaS 기업이다. IBM 블록체인은 IBM이 개발에 중추 역할을 담당했던 리눅스 재단(Linux Foundation)의 ‘하이퍼레저 패브릭(Hyperledger Fabric)’을 기반으로 한다. 리눅스 재단과 IBM의 주도로 2015년 12월부터 ‘하이퍼레저’ 프로젝트가 시작되었는데, 여기엔 시스코(Cisco), JP모건(JP Morgan), 인텔(Intel), 웰스 파고(Wells Fargo) 등 글로벌 기업들이 공동으로 참여 중이다. 주로 기업 결제, 상품 추적 및 관리 등을 위한 오픈소스 분산원장 프레임을 개발하고 글로벌 블록체인 기술 표준화 작업을 진행하는데, IBM과 ‘하이퍼레저’ 컨소시엄이 기업용 블록체인 네트워크 프레임워크 ‘하이퍼레저 패브릭’을 개방하였다. IBM은 금융산업 분야에서 음악산업 분야에 이르기까지 다양한 기업고객들에게 블록체인 서비스를 BaaS로 제공한다. 디지털 신원 관련해서 IBM은 시큐어키(SecureKey)와 ‘새로운 디지털ID 및 속성 공유 네트워크’를 구축하기 위해 협력을 체결했다.  

딜로이트(Deloitte)는 분산 원장 기술을 사용해 디지털 ID를 관리하기 위해 전 세계 곳곳의 조직들과 함께 개념 증명을 현재 진행 중이다. 딜로이트는 이더리움(Ethereum)을 사용해 스마트 신원 플랫폼을 개발하고 있다. 이더리움은 화폐를 포함한 모든 자산의 거래가 가능한 온라인 플랫폼으로서, 통화로서의 기능보다는 물류나 유통 분야에서의 복잡한 거래의 내용을 블록체인 기술에 기반한 플랫폼(계좌정보)을 이용하여 빠르고 안전하게 처리하는 기능이 더 강하다. 이 또한 비트코인과 유사하게 관리의 주체가 없고 이더(Ether)라는 가상통화를 통해 각종 정보를 플랫폼에서 거래한다. 비즈니스모델화된 딜로이트의 스마트 ID 서비스는 개인과 조직, IoT 기기가 상호 ID 기록을 획득, 확인 및 배포하기 위한 책임 있는 프로세스를 제공한다. 또한, 뱅크 액셀러레이터(bank accelerator)와 같은 딜로이트의 블록체인 서비스는 고객에 게 빠르고 안전한 P2P 결제를 구현하기 위한 블록체인 아키텍처를 제공한다. 

블록체인을 이용한 신분증 서비스도 시범사업이 시작되는 단계이다. 블록스토어, 차이나어낼리시스, 엘립틱 등은 디지털ID 정보를 블록체인에 저장하고, 신원확인, 데이터 유효성 검증, 활동 분석 등의 기능을 제공한다. 국내 금융권에서도 R3와 함께 ‘디지털아이덴티티’라는 블록체인 신분증 앱을 공동 개발하기 시작했다. 모바일에 블록체인 신분증 앱을 설치하면 은행별로 따로 인증할 필요없이 개별 은행에 접근, 금융 서비스를 이용할 수 있게 한다는 개념이다.

나가면서

디지털ID 관리와 조회는 지속적으로 진화 중이다. 한편, 블록체인 기술은 거래 과정에서 중간자를 없애 데이터 및 분석 공유와 수익화를 민주화할 수단으로 부상 중이다. 비즈니스모델로 개발되면 기업들은 소비자에 대한 상당한 수준의 협상력을 갖게 된다. 또한, 소비자도 블록체인을 통해 자신의 데이터에 접근 가능한 대상을 통제할 수 있게 되어 어떤 특성 기업의 제품이나 서비스를 소비할 때 데이터를 노출하는 대가로 할인이나 보상 등 다양한 요구를 할 수도 있다. 상호 윈윈이다. 

국내의 대표적인 디지털 신원 확인 방법은 온 국민이 알고 있는 공인인증서이다. 한번쯤 공인인증서 갱신 날짜를 넘겨 낭패를 본 경험을 가지고 있을 것이다. 갱신 시마다. 기존 인증서의 비밀번호와 다른 번호를 써야 해서 꼭 기입하지 않으면 외우기가 쉽지 않다. 게다가 비밀번호 자체가 10자리로 긴 데다 영문에 숫자에 특수문자까지 넣어 조합해야 하니 생각만 해도 머리가 아파온다. 카드 결제나 본인 확인을 위해 공인인증서는 온라인 신분증이 되었다. 공인인증서는 모든 전자문서에서 개인 신원과 의사표현을 확인해 문서 효력을 발생시키는 디지털 인감증명 역할도 한다. 

공인인증서는 전자서명법에 따라 공인인증기관이 발행하지만 사용의무가 부과된 건 아니다. 개인이 원치 않는다면 이용하지 않아도 되지만 불편함은 감수해야 한다. 인증용 대체제로 아이핀이나 OTP가 나와 있지만 발급이나 사용 시 공인인증서보다 불편한 경우가 더 많다. 옥상옥이 된 것이다. 공인인증서는 암호화된 디지털 파일 형태라 훼손되거나 없어지지 않는데, 갱신 문제는 심각하다. 이는 바로 공인인증서의 저장 문제 때문인데, 저장 매체는 PC 하드디스크, USB, 보안 토큰, 스마트카드(IC칩), 휴대전화 등 다양하다. 중요한 건 어떤 매체에 인증서를 저장하느냐에 따라 인증서를 갱신해야 하는 주기도 1년에서 5년까지로 달라진다는 점이다.

공인인증서 사용자 10명 중 9명 이상이 하드디스크나 USB에 인증서를 저장하며, 여기서 갱신 문제가 발생한다. 파일이 통째로 도난당할 경우 해킹당할 여지도 있다. 이 때문에 인증기관에서는 개인에게 무료로 발급되는 범용 공인인증서에 대해 하드디스크나 USB에 저장할 때 유효기간을 1년밖에 주지 않는 것이다. 스마트카드나 보안토큰 경우 5년까지 인증서의 유효기간이 주어지지만 사용자가 비용을 내고 매체를 구매해야 하는 게 문제다. 유심에 인증서를 저장할 경우 3년 이상 유효기간을 주지만 이 역시 추가 비용부담 문제가 발생한다. 휴대전화를 통한 인증서 저장은 모바일 금융거래에만 제한되는 문제도 있다. 최근 등장한 스마트폰 내부 ‘트러스트존’ 저장공간에 인증서를 저장하는 기술은 3년 유효기간을 부여하고 아직 무료이지만, 호환성이 문제이다. 금융권의 경우 각 은행마다 사용하는 트러스트존이 다 다른 탓에 여러 은행을 사용하려면 각 은행 별 인증서를 따로 받아야 한다. 

최근 국내에서는 블록체인을 공인인증서와 결합한 서비스가 나왔다. 이는 공인인증서를 대체하기 보다는 공인인증서 사용 과정에 블록체인을 도입한 수준이다. 이는 이제 시작이다. 즉, 블록체인은 거래에 관여하는 모든 당사자가 동일한 데이터에 접근할 수 있게 해 데이터 수집과 공유, 데이터 품질, 데이터 분석을 가속화하고 모든 거래에 대한 세부 기록이 블록체인에 유지되어 시작부터 끝까지 거래에 대한 완전한 개요를 제공한다는 기술적 장점 때문에 신원 확인 방법으로 자리잡을 것으로 기대한다. 게다가 개인이 자신의 개인 데이터를 관리하고 제어할 수 있다는 점에서 볼 때, 블록체인은 기업과 개인이 데이터 및 분석 정보를 상호적으로 직접 공유, 판매, 제안 할 수 있는 새로운 시장을 형성하는 핵심 요소가 될 수 있다고 기대해본다. 

--------------

본고는 2017년도 정부(과학기술정보통신부)의 재원으로 정보통신기술진흥센터의 지원을 받아 수행된 연구의 일부임[R0190-15-2027, 고신뢰 사물지능 생태계 창출을 위한 TII(Trusted Information Infrastructure) S/W 프레임워크 개발].

송민정 교수 한세대학교 미디어광고학과