김승주 고려대학교 정보보호대학원 교수
블록체인은 수년째 세간의 관심을 받았지만 아직 대중적 기술로 자리 잡진 못했다. 그런데 최근 기업과 공공기관들이 DID(Decentralized ID, 분산형 디지털 ID) 보급에 나서면서 올해가 블록체인 대중화의 원년이 될 것이라는 기대감이 높아지고 있다. 개인정보 보호의 중요성이 날로 커지는 4차 산업혁명 시대에 DID는 분명 인터넷 및 e비즈니스의 산업의 중심축으로 자리매김할 것이다. 그러나 그렇다고 해서 DID를 과도하게 블록체인과 결부시키는 것은 곤란하다.
기존의 신원증명 체계는 개인의 신원정보가 특정 기관(정부, 본인확인ㆍ인증기관, 구글, 페이스북 등 플랫폼사업자)에 집중 저장되어 있어서 해킹 사고시 대규모 개인정보 유출 문제가 발생할 수 있으며, 특히 신원정보를 보관하고 있는 특정 기관이 빅브라더가 될 위험성이 항상 존재한다. DID는 바로 이러한 문제점들을 해결하기 위해 등장한 기술로서, "본인의 신원 정보(일명, 'Identifier') 및 나이, 국적, 운전, 학력, 직장 등의 각종 이력 증명 정보들(일명 'Claims')을 본인이 소유하고, 관리?폐기할 수 있게 함으로써, 개인정보에 대한 자기통제권을 확보"할 수 있도록 하겠다는 것이다. 이러한 DID가 가져야 할 조건으로, 2016년에 Christopher Allen 등은 ▲Existence ▲Control ▲Access ▲Transparency ▲Persistence ▲Portability ▲Interoperability ▲Consent ▲Minimalization ▲Protection ▲Provable 등 11개의 요구사항을 제시한바 있으며, 이는 현재 좋은 DID 서비스를 판별하는 주요 기준으로 널리 활용되고 있다. 그렇다면 DID와 블록체인은 무슨 관련이 있는가?
DID와 관련한 가장 큰 오해중 하나는 "DID는 블록체인으로만 구현할 수 있다"는 것이다. DID는 uPort와 같이 블록체인을 이용해서 만들 수도 있고, PDS(Private Data System)와 같이 블록체인을 이용하지 않을 수도 있다. 다만 퍼블릭 블록체인을 이용할 경우, 블록체인이 갖는 고유의 특징으로 인해 앞서 언급한 11개의 조건 중 'Transparency'와 'Persistence', 'Interoperability' 성질을 달성하기가 쉬워진다.
두 번째는 "DID는 블록체인을 기반으로 하기 때문에 해킹에 안전하다"는 오해다. 블록체인은 해킹이 불가능한 기술이 아니며, 단지 ▲탈중앙성 ▲투명성 ▲불변성 ▲가용성의 기술적 특성만을 제공한다. 그렇기에 블록체인 기반 DID의 경우, 신분증의 위조 방지에는 강점을 보이는 반면, 신분증 상에 기록된 개인정보의 노출에는 취약하다. 이러한 문제를 해결하고 더불어 'Minimalization(필요 최소한의 개인정보만을 노출)' 조건을 충족시키기 위해, DID에서는 블록체인 이외에도 '영지식 증명(Zero-Knowledge Proofs) 기술'이 필수적이다.
끝으로 DID를 이용한 각종 이력 증명은 법적 효력을 가질 때 활용도가 더욱 증폭된다 (일명 'Provable' 특성). 그러므로 공인인증서 등을 활용한 법적 효력을 지닌 전자서명 기술과 DID는 서로 대척점에 있는 것이 아니라 상호 보완적인 관계에 있다.
데이터의 안전한 활용이 강조되는 4차 산업혁명 시대에 DID에 대한 정부나 기업의 관심은 환영할 만한 일이다. 그러나 그렇다고 해서 이를 특정 기반 기술과 과도하게 연결짓거나, 신속한 사업 추진을 이유로 정부나 기존 본인확인기관들이 필요 이상으로 관여하는 것은 곤란하며, 이는 오히려 바람직한 생태계 조성을 방해할 수도 있다. DID의 근본 철학과 기반 기술에 대한 보다 더 냉철한 분석과 다양한 접근법이 필요할 때다.
김승주 고려대학교 정보보호대학원 교수
꼭 봐야할 주요뉴스
"尹, 헌재 출석 때 '출장 스타일링' 요구, 법무부... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>