언뜻 슬로건 같은 이 글의 제목은 바로 람다256이 추진 중인 DID 프로젝트의 핵심 메시지입니다. 최근 공인 인증서의 독점적 지위를 폐지하는 법안이 국회 본회의를 통과하여 사설 인증서와 공인 인증서가 서로 지위가 동일해지면서, 블록체인 업계에서 화두였던 Decentralized Identity(탈중앙화 신원증명, 이하 DID)에 대한 관심이 점점 더 높아지고 있습니다. 사실 DID라는 주제가 블록체인 업계에 등장한 것은 그리 오래 되진 않은 일입니다. 국내에서 DID가 주목받기 시작한 것은 작년에 다양한 업체들이 합종연횡하며 구성한 얼라이언스들이 등장하면서 입니다.
(출처: Gartner)
Gartner에서 2019년 발표한 블록체인 기술의 Hype Cycle에 따르면 DID는 현재 Peak of Inflated Expectations 단계에 있습니다. Peak of Inflated Expectation(기대의 정점) 단계에 있다는 것은 DID라는 기술에 시장이 거는 기대가 가장 크다는 것을 의미합니다. 한편으로는 뒤이어 일부의 성공 사례와 다수의 실패 사례가 나타날 것이라는 의미이기도 하죠. 블록체인의 상용화를 이끌 것으로 기대되는 대표 기술인 DID를 성공으로 Plateau of Productivity(생산성 안정)에 올려놓기 위해 넘어야 할 산에는 어떤 것이 있을까요? 해당 글에서는 DID 기술이 해결하려는 문제와 람다 256이 DID를 본격적으로 도입하는 프로젝트를 소개하면서 각 개개인이 가지는 데이터 주권의 의미를 전달하고자 합니다.
DID란?
DID는 Decentralized IDentifier의 약자로 우리말로 하자면 ‘’탈중앙화된 신원식별자’’ 정도로 번역할 수 있습니다. 언뜻 쉽게 이해되지 않는 기술 용어입니다. 탈중앙화가 뭐지? 이전에는 뭔가 중앙화되어 있었나? 신원식별자는 뭐야? 이게 왜 좋은 거지? 와 같이 여러 의문이 떠오르리라 여겨집니다. 의문을 하나씩 해결해가면서 DID 기술의 개념에 대해 설명해보겠습니다.
신원식별자란 무엇일까요?
DID 기술에서 말하는 신원식별자는 디지털 신원식별자입니다. 디지털 신원식별자의 가장 일반적인 예로, SNS나 웹 서비스 등에서 사용하는 ID를 예로 들 수 있습니다. 그리고 ID는 정당한 사용자임을 입증하기 위한 패스워드와 쌍을 이룹니다. 보통 인증 시스템은 이렇게 신원식별자와 신원식별자의 정당한 사용자임을 입증하는 방법으로 구성됩니다. 인증 시스템은 인증 방법이나 인증 주체에 따라 여러 가지 인증 시스템으로 분류할 수 있고, 공인 인증서나 DID 역시 이러한 인증 시스템을 구축하는 기술 중 하나입니다.
탈중앙화란 무엇일까요?
DID 기술에서 말하고자 하는 탈중앙화를 설명하기 위해서는 먼저 중앙화에 대해서 설명이 필요할 것 같습니다. 위에서 예를 들면서 설명한 웹 서비스의 ID/패스워드 인증 시스템에서는 웹 서비스를 사용하는 모든 사용자의 ID가 웹 서비스의 인증 서버에 저장됩니다. 게다가 최근에는 소셜 로그인이나, 통합 로그인 등 사용자 편의성을 제공한다는 목적으로 여러 웹 서비스들이 통합된 하나의 거대한 인증 서버를 이용하는 방법도 보편화되었습니다. 이런 거대한 인증 서버를 이용하는 인증 시스템이 바로 중앙화된 인증 시스템이라고 볼 수 있습니다. 이러한 중앙화된 인증 시스템이 등장하면서 사용자가 각 서비스마다 ID와 패스워드를 기억해야하는 불편함이 해소되어 사용자 편의성은 증대되었으나, 호사다마라는 말처럼 몇 가지 주요 문제점이 함께 발생하게 되었습니다.
DID 기술에서 제안하는 탈중앙화 인증 시스템은 이러한 중앙화된 인증 서버를 이용하지 않는 인증 시스템입니다. DID 생태계의 참여자에는 크게 발행기관(Issuer), 사용자(User; Holder), 검증 기관(Verifier)의 세 주체가 있습니다. 발행기관은 말 그대로 자격증명(Claim/Credential)을 발행하는 기관으로서, 발행기관이 발행한 자격증명은 사용자의 디바이스에 저장됩니다. 사용자는 자신의 자격증명을 요구하는 검증 기관에게 자신의 자격증명을 보여줍니다. 이 모든 과정에서 블록체인을 통해 주고받는 자격증명의 진위 여부를 확인할 수 있습니다.
(출처: Sovrin Foundation)
즉, DID 기술은 인증 정보를 각 사용자의 디바이스에 분산된 형태로 저장하는 안전한 인증 시스템을 구축하여 기존의 중앙화된 인증 시스템의 문제점을 해결하려고 합니다. 태생적으로 분산 시스템이고, 암호학적으로 안전하게 설계된 블록체인 네트워크를 이용하면 탈중앙화와 안전이라는 목적을 쉽게 달성할 수 있기 때문에 DID 인증 시스템에서는 블록체인 네트워크를 인증 시스템의 하부 인프라로 주목하고 있습니다. 그리고 통합 로그인과 같이 사용자 편의성은 증대된 상태 그대로 유지할 수 있는 방안을 제시하고 있습니다.
(출처: 금융결제원)
DID 기술이 해결하려는 첫 번째 문제: 데이터 주권
‘’데이터는 21세기 석유’’라는 말을 들어보셨나요? 먼 과거, 큰 쓸모 없이 여겨지던 석유가 20세기에 정제법의 발견을 통해 엄청난 부가가치를 창출해낸 것 처럼, 데이터도 21세기에 빅 데이터 분석이 발전함에 따라 큰 부가가치를 창출하게 되었다는 의미로 만들어진 비유입니다. 물론 석유와 데이터가 다른 면도 많겠지만, 기술이 발전함에 따라 데이터도 석유처럼 중요해졌다는 점만은 분명합니다.
인증 시스템을 이용할 때 필요한 실제 인증 정보 뿐만 아니라 누가 누구에게 인증을 요청했는지 등의 부가 데이터도 역시 중요한 데이터입니다. 이 데이터를 잘 분석하면 “A 서비스를 이용하는 사용자가 B 서비스도 많이 사용하더라” 라는 분석을 할 수 있게 되고, 이를 이용하면 타겟 마케팅이나 광고 등 기업의 이윤을 창출하는 데 쓰일 수도 있습니다. 그러나 기존 인증 시스템에서 서비스 사용자들은 자신들의 행동으로 생성된 데이터가 이런 식으로 이윤이 창출하는데 쓰이는지 잘 알 수 없을 뿐더러, 어떤 데이터가 어떻게 만들어지고 있는지조차 알기 어렵습니다. 이러한 사항은 보통 서비스 이용을 위한 사용자 동의를 받을 때 보여주는 이용 약관 같은 곳에 명시 되어 있고, 약관을 잘 읽는다면 이해할 수 있을지도 모릅니다. 그런 사용자가 얼마나 있을지는 잘 모르겠습니다만, 결국 요점은 기업들이 이러한 데이터로 실제 이윤을 창출하고 있다는 것입니다.
DID 인증 시스템에서는 이러한 인증 관련한 데이터의 관리를 사용자에게 맡김으로써 데이터 주권을 사용자에게 돌려주려 합니다. 사용자는 잘 만들어진 DID 애플리케이션을 통해 자신의 인증 데이터가 어떤 모습으로 어디로 전달되는지 투명하게 볼 수 있고 데이터 제공을 승인/거절하거나 개인적으로 데이터에 이용약관 등을 추가하여 기업에게 해당 데이터의 이용을 제한할 수도 있습니다.
물론 이 자체만으로도 좋다고 생각할 수도 있습니다. 하지만 다른 각도로 보았을 때, 사용자가 직접 인증 데이터를 관리하는 것이 정말 사용자에게 좋기만 한 일 일까요?
사용자의 관점에서는 인증 데이터를 직접 관리 해봤자 기업처럼 이득을 얻을 수도 있는 것도 아니고, 사용자가 항상 인증 데이터 관련 조작을 해야 하는 상황이 귀찮기만 할 수도 있습니다. 원래대로 기업이 알아서 관리하고, 기업이 그 데이터로 이득을 얻든 말든 자기만 귀찮게 하지 않으면 된다고 생각할 수도 있습니다. 때문에 DID 기업들은 기존 인증 시스템처럼 기업에게 인증 데이터에 대한 관리 권한을 위임 하거나, 인증 관련 데이터를 제공하면 암호화폐나 포인트를 지급하여 데이터 제공에 따른 이윤을 공유 하거나, 인증 데이터를 팔 수 있는 마켓을 제공하는 등 다양한 방법으로 사용자에게 데이터 관리에 대한 귀찮음을 상쇄할 수 있는 옵션을 제공하려 하고 있습니다.
DID 기술이 해결하려는 두 번째 문제: 보안
타인의 신원 인증 정보를 탈취하여 부당한 이득을 취하려는 사악한 해커가 있다고 가정해 보겠습니다. 중앙화된 인증 시스템에서 사악한 해커의 목표는 중앙화된 인증 서버 하나 뿐입니다. 갖은 수단을 강구하여 중앙화된 인증 서버 하나만 뚫어낸다면, 서버에 저장된 대량의 신원 인증 정보를 탈취할 수 있게됩니다.
그러나 DID 인증 시스템에서는 중앙화된 인증 서버가 존재하지 않습니다. DID 인증 시스템에서 신원 인증의 입증 수단은 스마트폰과 같은 사용자의 장치마다 각각 존재하기 때문에, 해커의 목표는 각 사용자의 장치가 됩니다. 목표가 분산되어 있어서 신원 인증 정보 대량 탈취는 더욱 어려워지고, 설령 사악한 해커가 사용자 장치의 해킹에 성공했다 치더라도 해당 사용자 장치 하나의 신원 인증 정보만을 획득할 수 있을 뿐이기 때문에 한 번의 해킹으로 대량의 피해자가 생기지는 않습니다.
추가적으로, 암호학적으로 안전하게 설계된 블록체인 네트워크를 DID 인증 시스템의 하부 인프라로 사용함으로써 보안성을 강화할 수도 있습니다.
DID 기술이 해결하려는 세 번째 문제: 개인 정보 보호
기존의 인증 정보 전송은 일반적으로 정확히 어떤 정보가 어떻게 전달되는지 사용자가 자각하지 못하는 경우가 많고, 필요한 정보 이상으로 많은 정보를 전달하는 경우도 있습니다. 예를 들어, 성인임을 입증하기만 하면 되는 상황인데, 인증 데이터의 구조에 따라 사용자가 자각하지 못하는 상태로 성인 인증에 필요한 생년월일 뿐만 아니라 성별, 이름 등을 함께 전달하게 될 수도 있습니다.
DID 인증 시스템은 인증 정보 전송이 반드시 사용자를 통해서 이루어지게 하는 인증 시스템이며, 사용자가 서비스 이용에 필요한 정보만을 정확히 취사 선택하여 제공할 수 있는 시스템을 목표로 하고 있습니다.
거기에 더해서 인증 내용이 맞다는 것만을 전달할 수 있는 암호학적 방법까지도 적용하려 하고 있습니다. 예를 들면, 성인 인증 시에 기존처럼 생년월일 정보를 전부 제공하는 것보다는 인증 데이터를 가공해 성인이 맞는지 여부만을 암호학적으로 검증할 수 있도록 만들어 전달하는 것입니다. 이러한 방법이 인증 시스템에 적용된다면 개인 정보의 노출을 효과적으로 제한하여 개인 정보 보호 문제를 해결할 수 있게 됩니다.
야놀자 사례
람다256의 루니버스를 기반으로 한 DID의 실제 서비스 적용 첫 사례는 바로 야놀자입니다. 루니버스 DID와 글로벌 여가 플랫폼의 서비스를 어떻게 연결할 수 있을까요? 그 답은 DID 기반 비대면 체크인 서비스입니다.
기존의 호텔 체크인 프로세스는 여권 등의 신분증 복사, 바우처 인쇄본 제공, 장시간 대기 등 고객에게 불편을 줄 뿐 만 아니라 개인정보 유출에 취약하다는 보안 이슈가 있습니다. 고객이 야놀자에서 숙박 시설을 예약할 때, 자신의 디바이스에 저장된 DID를 통해 본인을 인증합니다. 그리고 예약 당일, 호텔 로비에서 키오스크를 활용해 예약 시 발급받은 QR코드를 인증하고 DID를 띄워 본인임과 성인 여부를 인증함으로서 바로 숙소 키를 모바일로 발급받을 수 있습니다. 최근 신종 코로나바이러스 감염증(코로나19)의 확산 사태로 비대면 서비스에 대한 관심이 높아지는 상황에서, 사용자는 분산형 신원인증 서비스를 적용한 편리하고 안전한 체크인 프로세스를 경험하게 될 것입니다.
타인의 신원 인증 정보를 탈취하여 부당한 이득을 취하려는 사악한 해커가 있다고 가정해 보겠습니다. 중앙화된 인증 시스템에서 사악한 해커의 목표는 중앙화된 인증 서버 하나 뿐입니다. 갖은 수단을 강구하여 중앙화된 인증 서버 하나만 뚫어낸다면, 서버에 저장된 대량의 신원 인증 정보를 탈취할 수 있게됩니다.
그러나 DID 인증 시스템에서는 중앙화된 인증 서버가 존재하지 않습니다. DID 인증 시스템에서 신원 인증의 입증 수단은 스마트폰과 같은 사용자의 장치마다 각각 존재하기 때문에, 해커의 목표는 각 사용자의 장치가 됩니다. 목표가 분산되어 있어서 신원 인증 정보 대량 탈취는 더욱 어려워지고, 설령 사악한 해커가 사용자 장치의 해킹에 성공했다 치더라도 해당 사용자 장치 하나의 신원 인증 정보만을 획득할 수 있을 뿐이기 때문에 한 번의 해킹으로 대량의 피해자가 생기지는 않습니다.
추가적으로, 암호학적으로 안전하게 설계된 블록체인 네트워크를 DID 인증 시스템의 하부 인프라로 사용함으로써 보안성을 강화할 수도 있습니다.
기존의 호텔 체크인 프로세스는 여권 등의 신분증 복사, 바우처 인쇄본 제공, 장시간 대기 등 고객에게 불편을 줄 뿐 만 아니라 개인정보 유출에 취약하다는 보안 이슈가 있습니다. 고객이 야놀자에서 숙박 시설을 예약할 때, 자신의 디바이스에 저장된 DID를 통해 본인을 인증합니다. 그리고 예약 당일, 호텔 로비에서 키오스크를 활용해 예약 시 발급받은 QR코드를 인증하고 DID를 띄워 본인임과 성인 여부를 인증함으로서 바로 숙소 키를 모바일로 발급받을 수 있습니다. 최근 신종 코로나바이러스 감염증(코로나19)의 확산 사태로 비대면 서비스에 대한 관심이 높아지는 상황에서, 사용자는 분산형 신원인증 서비스를 적용한 편리하고 안전한 체크인 프로세스를 경험하게 될 것입니다.
DID 도입이 넘어야 할 산
전자서명법 개정안이 국회를 통과함에 따라, 정부에서 보증해주는 유일한 공인인증서가 아닌 사적 기관이 보증해주는 다양한 방식의 인증서를 사용할 수 있게 될 가능성이 높아졌습니다. 공인인증서를 대체하는 안전하면서도 편리한 인증 수단으로서의 DID의 성장이 기대되면서도, DID가 공인인증서만큼 혹은 그보다도 더 널리 도입되기까지는 넘어야 할 산들이 있습니다.
편의성과 범용성 확보
우선, 공인인증서의 고질적인 문제였던 공급자 중심 구성으로 인한 사용자의 불편함을 획기적으로 개선해야 합니다. 오늘날의 사용자들은 편리한 서비스에 익숙해져 있습니다. 굳이 불편을 감수하면서 새로운 서비스를 써 볼 사용자는 없겠죠. 기존 공인인증서보다 편리하면서도, 공인인증서 수준의 범용성이 필요합니다.
사용자 인식 개선
DID가 사용자에게 신원정보에 대한 자기 통제권 및 데이터 주권을 돌려준다는 것은 명백하지만, 사실 즉각적으로 DID의 가치를 사용자가 느끼지는 못할 것입니다. 왜냐하면 유사한 경험을 사용자들이 한 적이 아직 없기 때문이죠. 이를 최대한 사용자가 느낄 수 있게끔 경험 사례를 많이 만들어 나감으로써 사용자들이 자기 주권을 가지고 중개자 없이 스스로의 신원을 증명하게 해야 합니다.
글로벌 기술 표준 마련
블록체인 기반 DID의 핵심은 글로벌에서도 쉽게 통용될 수 있다는 점에 있습니다. 만약 표준화되지 않은 기술로 인해 사용자가 사용하는 서비스에 따라 복수의 DID를 보유해야 한다면 기존 ID 체계와 크게 다를 바가 없을 것입니다. 따라서 세계적으로 통용되는 DID의 기술 표준을 마련하고, 실제 활용할 수 있는 사용처를 확보해 가능한 널리 사용되어야 합니다.
람다256이 바라보는 DID의 미래
평소에 들고 다니는 지갑 안에 무엇이 들어있는 지를 생각해봅시다. 현금, 신분증, 각종 체크카드나 신용카드, 운전면허, 포인트카드 등등… 지갑이 넉넉하다면 고지서나 각종 서류를필요에 따라 넣어두기도 하고, 여행 중인 사람이라면 항공권이나 기차표, 호텔 바우처도 들어있을 것입니다. 이 모든 걸 디지털 자산(Digital Asset)의 형태로 ‘나’라는 사용자를 위한 하나의 안전하고 완전한 앱에 담을 수 있다면 어떨까요? 그리고 자신의 서비스 사용 내역 및 활동 내역을 안전하게 보호하고, 원하는 경우에 한해 데이터를 공유하고 그에 따른 보상을 얻는다면요? 대부분의 IT 기업이나 서비스 업체는 고객이 생성한 데이터를 자체적으로 활용하거나 아예 데이터를 사업화하기도 합니다. 한편, 고객은 자신의 데이터가 어떻게 사용되는지 모르는 상태로, 소수의 거대한 공룡 기업들만이 21세기 석유라 불리는 데이터를 독점하고 있습니다. 개인이 주도적으로 자신의 데이터를 활용하고자 하는 수요처에게 제공하고 그에 대한 보상과 함께 맞춤형 서비스를 제공받을 수 있다면 사용자 권익을 향상시킬 수 있고, 진정한 데이터 이코노미의 실현이 가능할 것입니다.
람다256은 DID 기술의 개척자로서, 표준안을 따르는 최고의 DID 인증 시스템을 구축하려 하고 있습니다. 머지 않아 DID를 통해 사용자가 자신이 생성한 데이터에 대한 주권을 되찾고 데이터 기반 생태계의 적극적인 참여자로 등장하기를 기대하고 있습니다. 여러분도 기대되지 않으시나요? 앞으로의 행보를 관심 있게 지켜봐주세요!
DID 적용에 관심이 있으신 분들은 아래 링크로 편하게 문의 남겨주시기 바랍니다.
https://abit.ly/vizb1m
