자기주권신원(SSI)과 분산신원증명(DID)
자기주권신원(SSI)은 사용자가 자신의 개인정보를 직접 관리하는 새로운 신원증명 방식이다. 일반적인 신원증명은 개인정보를 국가나 기업 등의 중앙기관이 통제하고 관리한다. 내 개인정보를 내가 아닌 타인이 관리하는 셈으로, SSI는 사용자가 직접 관리하는 신원증명 시스템이 필요하다는 주장에 따라 등장했다.
SSI를 실현하기 위한 방법으로는 분산신원증명(DID)이 거론된다. DID는 분산화된 저장소에 개인의 신원을 증명할 수 있는 데이터를 보관한다. 블록체인 기술 등장 이전에는 각 정보의 진위와 위변조 여부를 확인할 방법이 없어 불가능한 방법으로 여겨졌으나, 블록체인 기술을 통해 분산된 정보의 무결성을 확보하는 것이 가능해지면서 차세대 신원 기술로 주목받고 있다.
DID는 ‘검증 가능한 자격 증명(VC)’을 통해 신원 확인을 진행한다. VC는 기존 주민등록증이나 운전면허증 같은 신분증에 해당하며, 일반적인 신원 시스템과 달리 블록체인에 기록된다는 점에서 차이점을 보인다.
가령, A라는 사람이 특정 이커머스 업체에서 주기적으로 술을 구매할 필요가 있다고 가정해보자. 이커머스 업체는 A가 술을 구매 가능한 적정 연령인지 확인을 요구한다. A는 술을 구매하기 위해 경찰청에 모바일 운전면허증을 요청한다. 경찰청은 VC에 해당하는 모바일 운전면허증을 발급하고 이 사실을 블록체인에 기록한다.
이후 A는 VC를 본인의 SSI 지갑에 저장하고 관리하며, 이를 활용해 언제든지 이커머스 업체에게 자신이 술을 구매할 수 있는 연령이라는 것을 증명할 수 있다. 이때 이커머스 업체는 블록체인 기록을 보고 쉽게 진위여부를 알 수 있다. A가 직접 개인정보를 관리하면서도, 검증이 가능한 시스템이 만들어진 것이다.
BBR 7월호에서는 지금까지 편하게 사용해온 신원시스템이 어떤 점에서 문제가 되고 있으며 어떤 기업들이 DID 기술에 주목하고 있는지, DID 분야 전문가 인터뷰를 통해 다뤘다.
“인터넷은 신원 레이어 없이 구축됐다” 킴 카메론 마이크로소프트 신원 부문 최고설계자는 2005년 새로운 디지털 신원 시스템 구축의 필요성을 주장하며 이렇게 말했다. 그는 현재 인터넷 신원 시스템이 완전하지 않으며, 사용자가 직접 통제하는 신원 시스템이 필요하다고 역설했다. 당시에는 이를 실현하는 것이 불가능하다고 여겨졌으나, 현재는 블록체인 기술의 등장과 DID 기술이 발전하면서 실현을 위한 노력이 이어지고 있다. DID 기술에 대해 자세히 알아보기 위해 DID 전문 저널리스트인 닥 설즈(Doc Searls)를 만나 이야기를 들어봤다.
Q. 안녕하세요 자기소개 부탁드립니다
저널리스트로 활동하고 있는 닥 설즈(Doc Searls)입니다. 1996년부터 2019년까지 리눅스 저널(Linux Journal)의 편집자로 근무했습니다. 월스트리트 저널, 하버드 비즈니스 리뷰 등 유명 매체에 기고를 하기도 했습니다. SSI를 비롯해 DID 기술 개발을 위한 디지털 신원 워크숍을 공동 설립하고 운영 중에 있습니다.
Q. SSI가 중요한 이유에 대해 말씀 부탁드립니다.
사회생활에서 다른 사람을 대할 때 자신에 대해 드러나는 정보보다 중요한 것은 없습니다. 마치 저희가 평소 자신의 이름이 적힌 이름표를 착용하고 외출하지 않는 것처럼 서로 신뢰할 수 있는 관계가 형성되기 전까지 다른 당사자가 요구하는 것 이상의 개인정보를 공개하지 않는 것은 중요한 문제입니다. 이는 우리가 오프라인 세계에서 평소 다른 사람을 대하는 방식이며, 디지털 세계에서도 동일하게 적용되어야 합니다.
이를 해결하기 위한 방법이 SSI입니다. SSI는 자기주권신원으로, 기존 ID가 아닌 검증 가능한 자격 증명(VC)을 통해 개인을 식별하는 시스템입니다. SSI는 온라인 환경에서 필요에 따라 선택적으로 자신의 개인 정보를 공개할 수 있습니다. 가령, 편의점에서 술을 구매할 때 자신이 적정 연령인지만 확인시켜주거나, 운전자가 운전면허증을 가지고 있는지 여부만 전달하거나, 이런 것들은 전부 ID가 아니라 VC로 특정 상황에서 필요한 정보만 선택해 공개할 수 있습니다.
킴 카메론 마이크로소프트 신원 부문 최고설계자는 2004년 신원 시스템이 가져야 할 7가지 정체성을 정의했습니다. 그는 △사용자가 개인정보 공개 여부를 제어할 수 있어야 하며(User control and consent), △개인정보 제공이 필요에 의해서만 정당하고 제한적으로 이뤄져야 하며(Minimum disclosure for a constrained use & Justifiable parties), △개인정보가 대기업이나 정부 같은 소수의 운영자가 아닌 다각화를 통해 관리되어야 한다(Pluralism of operators)고 정의했습니다. SSI는 이 모든 조건을 충족하는 최초이자 유일한 신원 시스템입니다.
Q. SSI가 기존 신원 시스템의 문제를 해결하기 위해 나왔다고 말씀해주셨는데요. 현재 많은 사람이 구글이나 페이스북을 통한 소셜 로그인을 사용하고 있습니다. 이 같은 방식이 가진 문제점과 SSI가 대안으로 활용될 수 있는 이유는 무엇인가요?
구글, 페이스북과 같은 대기업은 개인정보를 대량으로 보유하고 있습니다. 이들은 개인정보를 각사의 ‘정보 저장고(silo)’에 보관하고 있으며, 이 저장고에 수많은 개인정보가 들어 있습니다. 그 결과, 우리는 구글이나 페이스북을 이용하지 않을 때도 구글 로그인, 페이스북 로그인 등을 통해 자신의 신원을 검증하게 됩니다.
이는 원시적인 수준의 신원 시스템입니다. 디지털 세상에서 자신의 신원에 대한 주권을 확보하기 위해서는 이런 서버들로부터 자유로워질 필요가 있습니다. 디지털 세상에서 자신을 드러내기 위해 이 같은 업체들을 이용하는 한, 이들로부터의 독립은 어려우며 이상적인 신원 시스템 구축도 힘들어집니다.
Q. 일각에서는 SSI가 이상적인 신원시스템이라는 것에 공감하면서도, 한편으로는 불편하고 어렵다고 인식하고 있습니다. 보안을 위해서 편의성을 등한시하는 것은 기술 채택에 걸림돌로 작용할 가능성이 있는데요.
우선, SSI 산업이 편의성이 낮다는 지적에 대해서는 SSI 산업이 아직 초기라는 부분에 대한 감안이 필요합니다. 현재 SSI에 대한 연구와 발전은 많이 이뤄지고 있지만, 실질적인 사업은 미약하며 아직 산업이라고 부를 만한 단계는 아닙니다. 현재 개발자 집단은 SSI가 킴 캐머런이 제시한 신원 시스템의 조건을 해결하고 시스템 채택에 필요한 요구사항을 설정하고 있습니다. SSI를 둘러싼 개발 현황은 아직 초기 단계에 불과합니다.
편의성 확보를 위해서 SSI 개발자들은 SSI가 어떻게 형성되어야 하는지, 그리고 개인을 위해 어떻게 작동하는지에 대한 합의를 끌어내야 합니다. SSI가 성공적으로 도입된다면, 이는 모바일 앱이나 전자기기 전반에 도입될 것입니다. 이를 위해서는 인터페이스가 쉽고 사용자 친화적이어야 합니다. 그런 고려가 없다면 광범위한 기술 채택은 어렵습니다.
Q. SSI 형성과정에 대한 합의가 필요하다고 말씀해주셨는데요. 그렇다면 SSI가 가장 적극적으로 활용될 분야는 어디라고 보십니까?
SSI가 적극적으로 활용될 분야를 뽑으라면 우선 소매 분야를 뽑을 수 있습니다. SSI는 돈의 소비가 일어나는 모든 곳과 연관이 있습니다. 개인정보가 점점 더 중요해지고, 개인정보를 최소한으로 제공하는 것 역시 주목받고 있는 상황에서 개인정보를 다루는 업체들 역시 SSI 도입을 검토하게 될 것입니다.
이외에도 고객 지원과 사물인터넷(IoT) 분야 역시 SSI 도입에 이상적인 분야라고 생각합니다. IoT가 ‘구글 of Things’나 ‘애플 of Things’가 아닌 ‘인터넷 of Things’로 거듭나려면, SSI를 통한 독립이 필요합니다. 고객 지원의 경우, 현재 고객 지원 시스템은 개인정보 문제 때문에 지원이 필요할 때마다 전화로 일일이 개인정보를 제공하고 있는데요, SSI를 통해 미리 내가 누군지 아는 상태에서 고객 서비스를 지원한다면 빠른 서비스를 받을 수 있겠죠.
Q. SSI와 DID 시장에 대해서 어떻게 바라보고 계십니까? SSI가 기존 디지털 신원 시장을 어느 정도까지 대체할 수 있다고 생각하시나요?
저에게 이것은 1980년대의 PC의 미래, 1994년의 인터넷의 미래, 2005년의 스마트폰의 미래에 대해 묻는 것과 같습니다. 이 모든 것들이 당시에는 그림의 떡처럼 보였지만, 몇 년 안에 이것들 없이는 일을 할 수 없는 지경까지 이르렀죠.
다만, 저는 SSI가 기업들 위주로 연구된다면 필요성에도 불구하고 널리 사용될 것이라고 생각하지 않습니다. SSI는 자기주권적인 개인들로부터 시작될 필요가 있습니다. 그렇지 않다면 단지 같은 상품에 새로운 포장만 하는 꼴이 될 것입니다.
일각에서는 사람들이 개인정보 보호에 생각보다 큰 관심이 없다고 말하지만, 저는 그렇게 생각하지 않습니다. 사람들은 자신의 개인정보를 매우 중요시합니다. 개인정보가 개인의 허가 없이 무단으로 수집된다고 사람들이 개인정보보호에 무관심하다고 단언하기는 어렵습니다. 이는 문제일 뿐이며, SSI는 이를 개선하기 위한 방법으로 활용될 수 있습니다.
SSI를 디지털 세계에서 구축하기 위해서는 갈 길이 멀지만, 아직 늦지 않았습니다. 인류는 디지털 세상을 수천 년 동안 사용할 것이며, 저희 중 대부분은 아직 20년 정도밖에 디지털 세상을 경험하지 못한 상태입니다. SSI는 무한한 큰 가능성을 가지고 있습니다.
본 인터뷰는 <BBR: Blockchain Business Review> 7월호에서도 보실 수 있습니다.