[파커] DID 얼라이언스는 DID를 이렇게 진단한다

[출처: DID 얼라이언스 코리아]

[파커’s 크립토 스토리]실생활에 적용되는 블록체인 이야기가 수년 째 지속되는 가운데 최근 DID(탈중앙 신원인증)의 행보가 눈에 띕니다. 국내에서 공공기관 및 제도권 기업과 공식적으로 협업하는 블록체인 분야 중 가장 눈에 띄는 한 곳을 뽑으라면 DID를 꼽아도 과언이 아닌데요. 마이데이터 이슈와 함께 협업 사례가 더 늘어나고 있는 추세입니다.

현재 국내 DID 그룹(얼라이언스)는 크게 라온시큐어가 주도하는 'DID 얼라이언스’, 이동통신사들이 속한 ‘이니셜 DID 연합’, 아이콘루프 중심의 '마이아이디 얼라이언스’, 코인플러그가 만든 ‘마이키핀 얼라이언스’로 형성돼 있습니다. 오늘은 그중에서도 DID 얼라이언스 손병국 사무국장을 통해 DID의 현황을 소개해드리고자 합니다. 결론부터 이야기하면 일부 DID 프로젝트들의 눈에 띄는 제도권화 비결은 블록체인 이전에 메인 프로덕트(인증·보안 체계 등)이 갖춰져 있었기 때문입니다. 곧, 이 부분에 있어 블록체인 기술은 메인이 아닌 유용한 사이드 도구 정도로 기능하게 됩니다.(이에 대한 장단점이 있을 것으로 생각됩니다) 이는 다른 블록체인 프로젝트에 비해 정부의 규제 강도가 느슨한 이유가 되기도 하는데요. 아래 손병국 사무국장과의 인터뷰 전문을 통해 구체적인 내용을 파악할 수 있습니다.  

Q>자기소개와 함께 DID 산업에 입문하게 된 계기를 말씀해주세요.

“DID 얼라이언스 코리아에서 사무국장을 맡고 있는 손병국이라고 합니다. 저는 DID 산업에 본격적으로 입문하기 전에 라온시큐어에서 인증·보안 사업 영업과 컨설팅 업무를 해왔습니다. 3년 전 블록체인 사업을 검토하는 과정에서 라온시큐어가 선도하는 분야인 인증 영역과 접목시켜보자 했고, 새로운 팀이 신설되어 팀을 맡게 되었습니다. 블록체인과 DID라는 개념을 처음 알게 되었을 때, 개인정보의 주권이 사용자에게 돌아가고 유관 산업들이 사용자 중심으로 바뀌게 될 것 같다는 생각이 들어 매우 흥미로웠습니다.”

Q> DID얼라이언스는 라온시큐어가 주도하는 협회입니다. 협회 내에서 라온시큐어는 주로 어떤 일들을 수행하고 있나요.

“라온시큐어는 범 연합회 활동을 통해 DID의 한류, ‘K-DID’를 선도하기 위해 노력하고 있습니다. 지난 8월 오픈블록체인·DID협회 포럼에도 참석하여 타 연합회와 민간 협업에 대한 컨센서스를 모았습니다. 정부가 공공 서비스 관련 범 부처 DID 통합 공공 플랫폼 구축을 준비하는 것처럼, 민간 DID 사업자들도 결국 사용자가 여러 번 가입해야 하는 번거로움을 피할 수 있도록 상호 협의하려는 노력들을 지속적으로 하고 있습니다.”

Q3>대다수 블록체인 프로젝트는 암호화폐 인센티브를 통해 비즈니스 모델(BM)을 창출합니다. 그런데 DID 분야의 블록체인 프로젝트는 상대적으로 자체 암호화폐가 없는 경우가 많습니다. 다른 비즈니스 모델이 따로 있는지 궁금합니다.   

“블록체인이라고 하면 보통 암호화폐를 먼저 떠올릴 수 있습니다. 하지만, DID는 블록체인 기술을 ‘활용한’ 신원 인증 서비스가 주요 비즈니스 모델입니다. DID는 블록체인 기술에 ‘보안’을 적용한 새로운 인증 방식입니다.

현재 비즈니스 모델로 크게 해당 기술을 활용해 직접 인증 서비스를 운영하는 ‘서비스형’과 제품화를 통해 DID가 필요한 공공기관과 금융·일반 기업들에 제공하는 방식의 ‘구축형’이 있습니다. 서비스형과 구축형에 대한 구체적인 BM은 준비하는 DID 전문업체들의 노하우에 따라 다양해질 수 있습니다. DID 얼라이언스의 경우 자기주권 신원 (SSI: Self-Sovereign Identity), 즉 개인에게 개인 데이터 주권을 돌려주는 것을 목표로 합니다. 따라서 기존 신원 인증 체계에서 개인정보 보유자인 발급자(Issuer)·서비스 제공자(Service Provider)·사용자(User)·DID 플랫폼 네 가지를 축으로 하여 기존 인증체계에서 발생하고 있는 신분증·자격증 발급 비용 및 인증 비용을 절감합니다. 이 비용을 사용자에게 데이터 제공에 대한 보상으로 되돌려주고자 하는 것이 DID 얼라이언스의 비즈니스 모델입니다.”

Q> DID 얼라이언스에는 많은 공공기관 및 제도권 기업이 참여하고 있습니다. 올 초에는 라온시큐어가 병무청과 협력해 블록체인 간편인증 서비스를 오픈하기도 했는데요. 오픈 이후 서비스 사용량 추이·수요층의 반응·성과 및 개선점이 궁금합니다.

“올해 1월 병무청 블록체인 간편인증 서비스를 출시했습니다. 출시 한달 만에 이용실적 5만 건, 발급 건수가 8000여 건에 이르렀습니다. 병무청 민원 포털 잠재 이용자 수가 총 165만 명이라는 점을 고려한다면 앞으로도 이용자가 계속해서 늘어날 것으로 예상됩니다.

특히 사용자 편의성 면에서 호응이 좋았습니다. 예컨대 기존에는 월남파병이나 6.25 참전 용사들을 국가보훈 대상자로 신청하려면 민원인이 병적증명서를 발급받기 위해 최소 2회는 주민센터를 직접 방문해야 했습니다. 그리고 병무청과 보훈처 간에는 공문 및 오프라인 문서를 통해 병무 행정 업무를 처리하고 있었고요. 그런데 이제는 민원인이 스마트폰에서 병무청 간편인증 앱을 다운로드 받아서 지문으로 로그인을 합니다. 민원 신청을 할 때도 지문으로 간편하게 인증만 하면 병적 증명서가 발급됩니다. 발급됐다는 기록만 블록체인에 기록이 되고요.

이렇게 되니 사용자의 편의성과 보안성 증대와 함께 그동안 종이 문서로 업무를 처리하던 병무청과 연계 기관의 업무 효율성도 좋아졌습니다. 나아가 민원인이 민원을 신청했음을 부인할 수 없는 부인방지 기능까지 강화할 수 있게 됐습니다. 이번 병무청 사업 경험을 인정받아 올해 5월에 세종시 ‘블록체인 기반 자율주행 신뢰 플랫폼 구축 사업’, 경상남도 ‘디지털 공공서비스 플랫폼 구축 시범 사업’을, 7월에는 행정안전부 '블록체인 기반 모바일 신분증 서비스 구축' 사업도 잇따라 수주했습니다.”

Q> DID는 마이데이터 시대가 개막되면서 그 수요가 더 커질 시장으로 주목받고 있습니다. 다만 DID도 노드가 폐쇄적일 경우 개인정보 침해에서 완전히 자유로운 건 아니지 않느냐는 우려가 있습니다. 물론 영지식증명 등의 기술을 통해 결과값만 산출해 개인정보 침해를 막는다고 들었지만, 영지식증명 기술이 아직 정상 궤도에 오른 기술이 아니라는 인식도 많습니다. 이에 대해 어떻게 생각하는지 궁금합니다. 그리고 현재 국내 DID 프로젝트의 노드 운용방식이 어떻게 되는지도 궁금합니다.

“DID 프로젝트에서는 개인정보를 직접 노드에 올리지 않기 때문에 노드에 있는 개인정보가 악용되는 일은 없습니다. DID의 기본 사상은 SSI(자기주권 신원), 즉 이용자 개인정보의 주권은 이용자에게 있는 것이니까요. DID 체계에서는 통신회사·금융사·정부 등 중앙의 어떤 기관에서 개인의 신원 정보를 저장하는 일이 없습니다. 사용자만이 개인 정보를 사용자 단말의 안전한 영역(스마트폰의 트러스트 존 등)에 저장 및 관리합니다. 영지식증명(ZKP) 기술에 대해서는 보는 시각에 따라 차이는 있을 것 같습니다. 사실 암호학 기술 자체가 그렇습니다. 이미 어느정도 ZKP 기술이 구현되어 활용되고 있는 사례가 있듯이, 우려할만큼 미비한 수준은 아니라고 봅니다.

국내 DID 프로젝트의 노드 운용 방식은 다양하게 존재합니다. 정부 사업의 경우 프라이빗 방식의 DID가 많고, DID 전문 업체들이 제공하는 서비스형인 경우 허가가 필요한 퍼미션(Permission) 방식이 많은 걸로 알고 있습니다. DID 네트워크의 특성 상 개인에게 노드 참여를 하는 기회는 있기 어려운 것으로 알고 있습니다”

Q>FIDO 인증 방식을 병용한다고 들었습니다. 그런데 FIDO 인증 방식도 아주 적은 확률이긴 하지만, 위변조 가능성이 있다고 알고 있습니다. 이에 대한 대응책은 있는지 궁금합니다.

“위변조 가능성은 FIDO 기술 자체의 이슈가 아닌, 스마트폰의 생체인증 장치(지문/홍채)의 보안성과 관련이 있는 걸로 알고 있습니다. 위변조 가능성이 극히 적지만, 보안성 측면에서는 블록체인이 효과적인 대안이 될 것이라고 봅니다. 기존에는 특정 서버에 데이터를 중앙 집중형으로 모아 관리해 온 반면, 블록체인은 블록에 저장한 데이터를 복수의 컴퓨터에 동시에 분산 저장하는 방식이기 때문입니다. 네트워크 상 여러 참여자가 데이터를 검증하기 때문에 블록체인의 데이터는 무결성을 갖습니다. 데이터를 이용할 때마다 데이터가 저장된 컴퓨터들을 통해 내역을 확인해야 하고, 블록체인에 참여한 이들이 정보를 공유하기 때문에 특성 상 보안성이 높을 수 밖에 없습니다.”

Q>블록체인 기반 DID의 대중화가 이뤄지면 확장성 문제 등으로 그 처리량을 감당하기 어려울 것이라는 반응이 있습니다. 이에 대해 어떻게 생각하는지 궁금합니다.

“DID 서비스가 본격적으로 대중화되기 시작한다면, 인증에 대한 트래픽을 ‘블록체인 플랫폼 내에서만 처리하는 것은 한계가 있지 않을까’라는 걱정이 있는 것은 사실입니다. 이에 대한 이슈는 DID 사업을 하고자 하는 모든 기업들이 고려하고 있을 것입니다. 아직 고려하지 않았다면 고려해야 할 사항으로 판단됩니다. DID 얼라이언스의 경우, 현재 저희 얼라이언스 기반 플랫폼인 옴니원(OmniOne)에 해당 문제에 대한 솔루션이 담겨있습니다. 옴니원 플랫폼은 라온시큐어가 개발했는데요. 라온시큐어는 지난 수십 년간 쌓아온 인증 노하우를 보유하고 있고, 이러한 경험이 옴니원을 만들어 낸 기술 안에 반영되어 있습니다.”

Q>DID 대중화가 중앙화에 가까운 폐쇄적인 방식으로 이뤄질 경우 블록체인 특성으로 인해 빅 브라더 시대가 열리는 게 아니냐는 반응도 있습니다. 이에 대해서는 어떻게 생각하는지 궁금합니다.

“조심스럽게 접근해야 하는 문제 같습니다. DID라는 새로운 신원증명 기술을 어떤 곳에서, 어떤 의미로, 어떻게 서비스 할 것이냐에 따라 다를 것으로 보입니다.  ‘블록체인’과 ‘DID’는 명확히 분리해서 생각할 필요가 있습니다. DID는 신원 인증을 더욱 안전하고 편리하게 구현하기 위해 블록체인을 ‘활용’한 것입니다. DID는 ‘탈중앙화 신원 인증’으로 해석될 수 있습니다. 한 국가의 국민들이 ‘탈 국가’의 국민이 될 수는 없지 않을까요. 이미 정부에서는 국민들의 개인정보를 데이터베이스(DB)로 보관하여 운영하고 있습니다. 그래서 그간 전자 신분증·디지털 신분증에서는 추적이 가능하다는 점에서 프라이버시 문제가 대두된 것이죠. 그러나 영지식증명(ZKP) 기술과 페어와이즈(pairwise) 기술 등을 잘 접목하고 구현한다면, 프라이버시 문제는 상당 부분 해결될 수 있을 것으로 기대하고 있습니다. 현재 정부가 발행을 준비 중인 DID 기반 모바일 신분증은 자기주권 신원증명(Self-Sovereign Identity) 사상에 따라 그 원칙에 맞게 개발될 예정입니다. 예컨대 DID 얼라이언스의 회원사인 라온시큐어와 LG CNS가 진행하는 행정안전부의 DID 기반 모바일 공무원증은 소유자 본인의 기기(스마트폰)에만 보관됩니다. 신원 인증이 필요한 경우에 소유자 스마트폰에 인증 정보가 QR코드 등의 디지털 형태로 노출되고, 인증이 완료된 후에는 폐지되기 때문에 개인정보의 유출을 막을 수 있고 프라이버시를 지킬 수 있는 것입니다.”

Q>해외에서는 DID가 어떤 방식으로 활용되고 있는지 궁금합니다.

“국내 뿐만 아니라 글로벌 시장에서도 DID 기반의 다양한 프로젝트가 진행되고 있습니다. 글로벌 IT기업 마이크로소프트는 비트코인을 기반으로 한 DID 프로젝트 ‘ION’을 공개했습니다. 사용자들에게 아이디의 필요성을 대체할 수 있는 DID를 제공하는 것을 비전으로 내걸었고요. 최근에는 인도 IT 대기업 테크 마힌드라가 AWS의 블록체인 솔루션 Amazon Managed Blockchain을 활용해 향후 12~18개월 안에 항공·통신·헬스케어·금융 분야 기업을 위한 블록체인 솔루션을 출시할 계획이라고 밝혔습니다.

DID 얼라이언스도 DID 글로벌 표준 구축에 힘쓰고 있습니다. 통일된 DID 체계가 구축되면 여권·신분증 등 새로운 서비스 이용을 위한 별도의 ID 발급이 필요하지 않게 될 것입니다. 다만 아직은 각 국가마다 ID가 어떻게 만들어질지 모르고, 서비스 제공을 위해 DID 체계를 어떻게 구성할지 정하지 않은 상태입니다. 서로 다른 플랫폼에서 발급된 DID가 여러 서비스에서 상호 호환될 수 있도록 신뢰할 수 있는 프레임워크의 준비가 선행돼야 합니다. DID 얼라이언스가 추진하고 있는 GADI(Global Architecture for Digital Identity)는 그런 맥락에서 준비된 것입니다.”

Q>끝으로 하고 싶은 말씀이 있다면 부탁드립니다.       

“DID 산업의 핵심은 ‘호환성’과 ‘포용성’입니다. 소규모의 사업들로 완성되는 것이 아니라, 긴 호흡으로 완성되어야 비로소 가치와 혜택을 만들어 낼 수 있다고 생각합니다. 서로 간의 기술·네트워크·서비스가 다르지만, 이용자는 동일한 한 명일 수 있습니다. DID 사업을 하는 주체들이 궁극적으로는 사용자 입장에서 여러 다른 DID 서비스를 이용 시 실질적으로 편리함을 느낄 수 있는지에 대해 주목하고, 이를 위한 작업이 시작돼야 할 때라고 생각합니다.

앞서 이야기한 것처럼 GADI는 이러한 문제점을 해소하기 위해 만들어졌습니다. GADI에 대해 저희는 최근 글로벌 웨비나와 백서를 국문 버전으로 준비해 공개했습니다. DID 얼라이언스 공식 홈페이지에서 관련 정보들을 확인할 수 있습니다. GADI 프레임워크를 통해 글로벌 표준화를 함께 만들어 나갈 기업 및 기관이 있다면 홈페이지를 통해 가입을 신청하실 수 있으니 많은 관심과 참여를 부탁드리겠습니다.”