美 ‘케임브리지 애널리티카’ 사태, ‘빅브라더’ 현실화
데이터 독점 막는 ‘4세대 신원인증’
블록체인 기술 기반 ‘자기주권증명’ 실현
‘ZKP’ 비밀번호 중복 가능성 ‘10의 77제곱’ 분의 1
[GettyImage]
그동안 디지털 공간에서 자신의 신원을 확인받기 위해선 국가 공인기관이 발행한 공인인증서가 필요했다. 공인인증서는 금융거래나 공공서비스 등 여러 분야에 활용됐다. 이번 개정안 통과로 기존 공인인증서의 효력이 사라지진 않는다. 정부가 공식적으로 인정하는 디지털 신원인증 제도가 폐지되는 것이다. 다시 말해 여러 민간 기관에서 발행한 디지털 신원인증을 사용할 수 있다.
블록체인은 이런 기회에 힘입어 다시 주목받고 있다. 현재 인증 방식을 획기적으로 변화시킬 수 있기 때문이다. 어떤 기회가 예상되는지 살펴보자.
신원인증은 본인을 증명하는 행위다. 인증은 물리 공간과 디지털 공간으로 나눠 구분할 수 있다. 물리 공간에서 인증은 현실 세계 속 자신을 인증하는 것이다. 주된 방법은 육안으로 사람의 생김새를 구별하는 것이다. 또 다른 방법으로 신분증을 제시할 수도 있다. 그 외에도 생체인증, 명함 등 본인을 증명하는 사회적 방식은 다양하다.
디지털 신원인증과 ‘빅브라더’
공인인증서 이용 모습. [Flickr]
그런데 이는 두 가지 문제를 야기한다. 첫째는 서비스 제공의 어려움이다. 예를 들어 디지털 금융 서비스를 생각해 보자. 디지털 공간에서 본인임을 증명하지 못하면 금융 서비스를 이용할 수 없다.
둘째는 익명성의 악용 문제다. 딥웹(Deep Web)은 익명성을 보증하기 위해 등장한 또 다른 인터넷 공간이다. 이곳에서 활동은 추적이 어렵다. 이로 인해 다크웹(Dark Web)이라는 불법 공간이 생겨났다. 다크웹에서는 마약, 무기, 해킹 등 각종 범죄 활동이 이뤄지고 있다. 인터넷 익명성의 대표적 악용 사례다.
이 두 가지 문제를 해결하고자 디지털 신원인증이 등장했다. 현재까지 3세대에 걸쳐 발전했다. 1세대 디지털 신원인증은 계정을 통해 증명하는 것이다. 네이버, 구글 등 인터넷 포털 서비스에 회원 가입한 계정으로 본인을 증명할 수 있다.
2세대는 중앙형이다. 특정 기관이 사용자의 신원을 중개해 서비스를 받을 수 있도록 지원하는 것이다. 공인인증서가 여기에 해당한다. 사용자는 공증기관이 발급한 공인인증서로 여러 분야의 공공 서비스를 받을 수 있다.
3세대는 연동형이다. 한 기관에서 사용한 디지털 신원인증을 다른 기관에 연동해 사용하는 방식이다. 개별 계정에 일일이 접속하는 번거로움을 해결하기 위해 등장했다. 1세대와 2세대 신원인증 모두 여러 인터넷 서비스에 일일이 회원으로 가입해야 한다. 각 계정 아이디와 비밀번호를 기억해야 하는 어려움도 있다. 3세대는 이러한 방식을 계정 간 연합으로 해결했다.
필자가 자주 이용하는 교보문고 인터넷 홈페이지를 예로 들어보겠다. 홈페이지에 직접 가입해도 되지만, 네이버 계정 연동으로도 본인 여부를 인증할 수 있다. 이미 네이버 회원 가입 과정에서 본인임을 입증했기 때문이다. 교보문고 홈페이지에서 이 정보로 회원 가입을 대신하는 것이다. 절차가 단순하고 개인정보 관리도 편리하다.
디지털 신원인증은 여러 단계를 거쳐 발전했다. 그런데 편리한 디지털 신원인증이 자칫 ‘빅브라더’의 출현으로 이어질 수 있다. 중앙형·연동형 신원인증은 제공 기관에서 개인의 서비스 접근 이력을 볼 수 있다. 이런 우려는 과대망상에 불과할까.
2016년 벌어진 ‘케임브리지 애널리티카(Cambridge Analytica)’ 사태를 보자. 당시 미국 대선을 앞두고 영국의 데이터 분석업체 케임브리지 애널리티카는 SNS(소셜네트워크서비스) 페이스북 가입자를 대상으로 심리 퀴즈게임 서비스를 제공했다. 퀴즈게임을 통해 사용자 약 8700만 명의 정치 성향을 분석해 도널드 트럼프 당시 공화당 후보 진영에 전달한 의혹을 받았다. 케임브리지 애널리티카는 폐업했고 2019년 미국 연방거래위원회(FTC)는 페이스북이 개인정보 관리에 소홀했다며 벌금 50억 달러(5조9800억 원)를 부과했다.
특정 집단이 디지털 공간에서 수집한 정보를 악용한 것이다. 디지털 신원인증에서도 같은 문제가 발생할 수 있다.
블록체인이 연 4세대 디지털 신원인증 시대
그렇다고 디지털 신원인증 자체를 폐지할 수는 없다. 인터넷 서비스 이용에 필수적이기 때문이다. 빅브라더의 출현을 막으면서도 간편한 신원인증 기능을 제공할 수 있을까. 이와 관련해 ‘자기주권증명(SSI·Self-Sovereignty Identity)’ 기술에 주목할 필요가 있다. 새로이 등장한 4세대 디지털 신원인증 방법이다.SSI는 개인이 직접 자기 신원을 인증하는 방식이다. 타인이 신원을 검증하는 기존 중앙형·연동형과는 다르다. 그렇다면 개인이 밝힌 신원을 누가 보증할 것인가.
물리적 공간의 인증을 예로 들어보자. 개인은 주민증·여권·면허증 등 공증기관에서 발급받은 신분증을 제시해 본인임을 입증한다. 자기 멋대로 만든 ‘신분증’으로는 불가능한 일이다. 디지털 신원인증도 마찬가지다. 자기 자신을 증명하려 해도 공증받지 못하면 쓸모가 없다.
디지털 공간에선 다행히 이를 해결할 기술이 있다. 바로 블록체인을 통한 ‘탈(脫)중앙 신원인증(DID·Decentralized Identity)’ 기술이 그것이다. 블록체인 기반 DID 기술로 SSI를 구현할 수 있다. 인증 신뢰도를 블록체인으로 담보할 수 있는 것이다.
공인인증서는 개인에게 ‘개인키(private key)’라는 것을 발급한다. 공인인증서를 사용하다 보면 인증서를 선택하라는 팝업창을 볼 수 있다. 개인키를 선택하는 과정이다. 여기에 비밀번호를 입력해 자신이 개인키 소유주임을 확인한다. 이후 개인키는 인증 내용을 암호화해 공증기관에 전달한다.
공증기관은 암호화된 인증 내용을 받아 개인키와 한 쌍을 이루는 ‘공개키(public key)’를 만든다. 이 공개키가 있어야 개인키로 암호화된 인증 내용을 풀 수 있다. 특정 개인정보를 공개키로 풀 수 없다면, 이는 해당 공증기관이 발급하지 않은 인증서라는 뜻이다.
DID의 원리도 유사하다. 차이점은 개인키와 공개키를 관리하는 주체가 특정 기관이 아니라는 점이다. 신원을 보증하는 기관에서 개인키와 공개키를 발급하는 것은 똑같다. 다만 탈중앙 방식의 4세대 DID는 공개키를 블록체인으로 관리한다.
블록체인의 데이터는 무결성이 높다. 네트워크상 여러 참여자가 데이터를 검증할 수 있기 때문이다. 블록체인은 블록(데이터 저장 단위)에 저장한 데이터를 복수의 컴퓨터에 동시 복사해 저장시키는 분산형 데이터 저장 기술이다. 기존의 데이터 저장 방식이 특정 서버에 데이터를 중앙 집중형으로 모아 관리하는 것과 구별된다. 데이터를 이용할 때마다 데이터가 저장된 컴퓨터들을 통해 내역을 확인할 수 있다. 블록체인에 참여한 이들이 정보를 공유하므로 위·변조가 어렵다.
이런 장점을 공개키에 적용할 수도 있다. 따라서 특정 공증기관이 아닌 블록체인에 저장된 공개키를 가져와 신원을 인증할 수 있다.
‘영지식증명알고리즘’ 기술, DID 시장에 탄력
DID는 ‘영지식증명알고리즘(ZKP·Zero Knowledge Proof)’ 기술을 통해 개인정보를 더욱 철저히 지킬 수 있다. ZKP는 별도의 데이터 제공 없이 본인 여부를 확률적으로 증명하는 방식이다.확률을 개인정보 보호에 활용하는 대표적 예가 인터넷 서비스 계정에 쓰이는 비밀번호다. 개인이 계정에 가입·접속하기 위해 입력한 비밀번호가 인터넷에 그대로 저장될까. 그렇지 않다. 개인정보보호 관리 규정 때문이다. 비밀번호가 그대로 저장된다면 시스템 관리자가 비밀번호를 그대로 유출해 가져갈 우려가 있다.
대신 시스템 관리자는 비밀번호를 ‘해시함수(hash function)’라는 암호화 계산식으로 바꿔 임의의 값(해시값)으로 저장한다. 같은 비밀번호를 입력하면 마찬가지로 동일한 해시값이 나온다. 이 함수는 거꾸로 치환은 불가능하다. 즉 해시값을 통해서는 비밀번호를 알아낼 수 없다.
결국 계정관리시스템은 비밀번호를 직접 저장하지 않는다. 해시값으로 저장하는데, 계정에 비밀번호를 입력한 후 변환된 해시값을 서로 대조하고 확인해 신원을 인증한다. 비밀번호가 다르면 해시값도 다르다. 계정관리시스템은 이를 통해 허가받지 않은 사람이 접근하는 것을 감시할 수 있다.
이런 해시값이 중복으로 만들어질 확률이 있다. 내가 기존에 입력한 것과 다른 값을 입력했는데 우연히 같은 해시값이 나올 수도 있다. 다만 이럴 확률은 극히 낮다. 해시값으로 표현되는 숫자가 매우 크기 때문이다.
각 계정 시스템에 따라 해시값 숫자에 차이가 있으나 대체로 2의 256제곱에서 2의 1024제곱의 수 정도다. 2의 256제곱을 십진법으로 바꾸면 10의 77제곱이다. 우주를 구성하는 모든 원자의 수가 10의 90제곱 개인 것으로 알려졌다. 그야말로 천문학적 숫자다. 블록체인을 통해 만들어진 해시값이 중복될 가능성은 사실상 없는 셈이다. DID는 이런 ZKP 기술을 활용해 개인정보 제공 없이 본인 여부를 인증할 수 있다.
국내 기업들 DID 표준 선점 위해 ‘헤쳐 모여’
공인인증서 폐지로 4세대 신원인증 방법이 주목받자 관련 업체는 발 빠르게 움직인다. 정보통신기술 업체가 주축이 된 컨소시엄도 출범했다.SK텔레콤·KT·LG유플러스 등 통신 3사는 ‘이니셜DID 어소시에이션’을 결성했다. 블록체인 기술로 모바일 전자증명 서비스 ‘이니셜’을 개발하겠다는 포부를 밝혔다. 컴퓨터 프로그래밍 벤처기업 ‘아이콘루프’는 ‘마이아이디 얼라이언스’를 이끌고 있다. 실명 확인 플랫폼 ‘마이아이디’로 비대면 실명 확인 시스템 시장을 선점하겠다고 나섰다. 또 다른 프로그래밍 벤처기업 ‘라온시큐어’는 아예 국내 금융업체들을 규합해 ‘DID얼라이언스 코리아’를 결성했다. 신한은행·농협·한국투자증권 등 금융사와 금융결제원, 병무청이 파트너로 참여했다.
DID 기술 개발을 위한 국내 컨소시엄 간의 경쟁은 점점 치열해질 것으로 예상된다. 다수의 소비자가 이용하는 업계 표준이 될 수 없다면 자연스레 시장에서 도태되기 때문이다. 이런 업계의 활발한 움직임을 통해 국내 DID 기술이 세계시장을 선도할 수 있기를 기대한다.