우리는 인터넷서비스의 홍수 속에 살아가고 있다. 그런데 그 서비스들을 이용하고자 할 때 패스워드가 잘 생각나지 않는 경우가 흔하다. 심지어는 아이디마저 생각이 나지 않는다. 그럴 때마다 아이디를 찾고 패스워드를 다시 정해 주어야 한다. 이 과정에서 오는 귀찮음과 어려움은 누구에게나 큰 스트레스가 된다. 스마트폰을 교체하는 경우는 더 심하다. 대개의 경우는 스마트폰 앱들의 패스워드를 그냥 잊고 지낸다. 앱을 항상 연결해 놓은 상태로 이용하기 때문이다. 한동안 잊고 지내던 패스워드를 다시 기억해 내기가 쉽지 않다. 그때마다 패스워드를 다시 찾거나 정하는 지난한 과정을 겪어야 한다. 이름에서부터 이메일까지 다양한 개인정보를 다시 제공해야 한다. 그 정보에 대한 진위 여부를 확인하기 위한 또 다른 절차를 밟아야 한다. 단시간 내에 끝나지 않고 몇 시간 이상을 기다려야 하는 경우도 종종 있다. 인내심의 한계를 시험하는 느낌도 들게 한다. 그러다 보니 누구나 아이디와 패스워드로부터 벗어나고 싶은 생각을 하게 된다.

그러나 아이디와 패스워드는 좀처럼 줄어들지 않는다. 오히려 갈수록 더 늘어난다. 오죽하면 아이디와 패스워드를 관리해 주는 소프트웨어나 앱이 나와 있다. 여기저기 곳곳에 기록을 해두기도 한다. 동일한 아이디와 패스워드를 많은 곳에 사용하기도 한다. 그런데 이런 행위들 모두가 해킹이라는 위험에 노출된다. 만약에 하나의 열쇠로 자동차, 사무실, 집을 열 수가 있다고 가정해 보자. 누군가 열쇠를 훔쳐 가면 자동차도, 사무실도 집도 동시에 털릴 수가 있다. 인터넷도 마찬가지다. 동일한 아이디와 동일한 패스워드를 사용했을 때 한곳이 해킹을 당하면 연쇄적인 해킹을 쉽게 당할 수 있게 된다.

다양한 ID와 패스워드를 사용하는 것은 개인에게 관리의 어려움을 가중시키는 일이다. 반면에 동일한 것들을 사용하면 편리함을 준다. 그러나 늘 해킹이라는 위험을 안고 있어야 한다. 서비스 제공자 각각의 입장에서는 개인들의 이러한 고통은 실상 큰 관심거리가 아니다. 내가 제공하는 서비스의 이용자에게 편리함을 주면 그만이기 때문이다. 이용자가 아이디를 잊어버리면 쉽게 찾아주는 서비스를 제공하면 된다. 패스워드를 잊어버리면 안전하게 새로 정해주는 서비스를 제공하면 된다. 그런데 이런 서비스를 제공하기 위해서 기업은 이용자의 다양한 개인정보가 필요하다. 이름에서부터 전화번호, 이메일 등을 요구하게 된다. 그리고 기업에게는 이러한 개인정보를 안전하게 관리해야 하는 의무가 발생한다. 법적인 의무도 전 세계적으로 강화되는 추세이다. 개인정보 유출로 인한 법적인 처벌도 강화되고 있다. 외국에는 개인정보 유출로 수조원의 벌금을 부과받는 사례도 있다.

ID와 패스워드, 해킹 위험에 노출

국내도 최근에 개인정보보호법을 개정하여 기업의 개인정보보호 의무와 처벌을 강화했다. 개인정보 유출은 기업에게 경제적인 혹은 영업적인 손실도 가져오게 된다. 기업이 보유하고 있는 개인정보가 유출될 경우 이용자로부터 신뢰를 상실하게 된다. 기업들에게는 개인정보 관리에 대한 부담이 더욱 커진 상황이다. 결국 늘어나는 아이디와 패스워드의 문제는 개인정보보호와 연계되어 개인이나 기업에게 새로운 해법을 강구하게 하는 양상으로 전개되는 중이다. 궁극적으로는 이 같은 복잡한 문제는 기업들이 반드시 해결해야 하는 숙제이다. 또한 해결할 수 있다면 기업의 경쟁력을 크게 개선할 수 있는 수단이 되기도 한다. 이러한 측점에서 새로운 해결책이 등장하고 있다. 바로 분산아이디(Decentralized Identity) 일명 DID이다. 분산ID 이전에도 다양한 해법들이 있어 왔다. 안전하면서도 동일한 패스워드를 사용한다는 관점에서 생체 특성을 이용하는 방법이 나왔다. 사람마다 구별된다는 특성을 갖고 있는 지문이나 홍채 등을 이용하는 것이다. 그런데 이 방법은 위험성이 높아 일반적인 인터넷 서비스에는 이용하기가 어렵다. 여러 이유로 지문이나 홍채 등의 정보가 알려지게 되면 하나의 열쇠를 갖고 있다가 분실하는 형국이 되기 때문이다. 생체의 특성을 이용한 패스워드의 활용은 매우 제한적이다.

스마트폰, 신용카드 등과 같이 항시 개인이 갖고 다니는 장치를 여는데 주로 사용하게 되는 것이다. 다른 방법으로는 특정한 기업에서 제공하는 아이디와 패스워드를 공유하는 방식이다. 몇 개의 기업이나 시스템이 단일한 아이디와 패스워드 체계를 사용하는 방식이다. 예를 들어 구글, 네이버나 페이스북 등의 아이디와 패스워드를 다른 서비스에서 이용자들이 그대로 사용하게 하는 것이다. 이용자 입장에선 하나의 아이디와 패스워드로 여러 인터넷 서비스를 이용할 수 있어 편리함을 준다. 정부가 제공한 서비스에서도 이런 형태의 서비스가 제공되기도 한다. 이 사례는 각국의 전자정부 시스템에서 그 활용이 두드러지게 나타난다. 우리나라를 비롯해 미국, 일본, 노르웨이, 싱가포르 등 많은 국가에서 찾아 볼 수 있다. 더 나아가 기술적인 관점에서만 바라본다면 가장 특이한 방식은 공인인증서를 활용하는 체계이다. 우리나라와 일부 외국에서 사용되고 있다. 공인인증서를 한번 발급 받아 이를 여러 기업이나 정부의 다양한 시스템에서 사용하는 방식이다. 지금까지 등장한 여러 방법들은 아이디와 패스워드 체계가 갖고 있는 일부의 문제는 해결해 줄 수 있으나 기업들의 복잡한 이해관계로 근본적인 해법을 제공해 주지는 못한다.

분산ID는 개인정보의 이동을 최소화하고 아이디와 패스워드의 숫자도 크게 줄이자는 데서 해법을 찾는다. 아울러 기업이나 개인 모두에게 부담을 최소화하고자 하는 방향성을 갖고 있다. 그리고 중요한 관점의 변화는 아이디와 패스워드를 관리하는 주체를 기업으로부터 개인에게 준다는 점이다. 이러한 시도가 성공을 거둘지는 아직 미지수이다. 그러나 전 세계 많은 기업들이 해법을 내놓기 위해 노력하고 있는 중이다. 일단 정보통신 기업들이 먼저 나서고 있다. 여기에 서비스가 이미 인터넷 중심으로 바뀐 금융기업들이 가세를 하고 있는 형국이다. 전통적인 제조업체들의 참여도 생겨나고 있다. 마이크로소프트, 구글, 아마존, 애플 등의 기업들이 나서고 있다. 국내에서도 SK텔레콤, KT, LG유플러스 등 통신 기업들이 나서고 있는 상황이다. 네이버, 카카오 등도 나서고 있다. 은행, 증권, 보험들도 참여하고 있다. 블록체인 기업들도 마찬가지다. 특히 블록체인을 활용하는 분산ID 해법을 제시하려는 분위기 대세이다. 국내외적으로 여러 기업이나 기관들이 연합체 형태로 나서고 있다. 국내의 경우에는 이니셜DID, 마이아이디얼라이언스, 디아이디얼라이언스 등이 결성되어 해법을 만들어 내고 있다. 한마디로 블록체인 기반 분산ID 체계의 춘추 글로벌 시대를 예고하고 있는 것이다. 블록체인 기술 자체는 미래의 중요한 기술로 떠오르고 있지만 아직 진행형인 기술이다. 이 기술을 활용하여 문제를 해결하겠다는 것이 분산ID이다. 아직 구체적인 방법이나 체계가 만들어지지는 않았다. 다양한 시도를 통해 적용해 보고 그 가능성과 방향성을 찾아가고 있다. 분명한 것은 블록체인 기술이 분산ID를 구현하는데 일정 부분에서 큰 역할을 할 것이라는 것이다.

분산ID, 운영 구조^구현 방식 복잡

분산ID는 운영 구조나 구현 방식이 매우 복잡하다. 그러나 여권이나 주민등록증의 사례로 쉽게 그 운영 구조나 방식을 이해할 수 있다. 여권의 경우를 살펴보자. 여권에는 여권을 발급한 나라와 발급지 등이 표시된다. 여기에 여권을 소지하게 되는 소지자의 정보가 표기된다. 이름, 생년월일, 성별 등이다. 또한 사진을 실어 소지자와 비교할 수 있도록 한다. 이 여권으로 다른 나라에 입국을 하는 경우를 보자. 입국자는 여권을 출입국 담당 공무원에게 제시한다. 담당 공무원을 여권 그 자체가 진본인지를 확인한다. 그 이후에 소지자와 비교를 한다. 여권의 정보 즉 사진과 소지자의 얼굴을 비교하여 동일인인지를 확인한다. 동일인이고 입국에 문제가 없으면 입국을 허락한다. 이 과정에서 보면 개인은 미리 입국하려는 국가에 개인정보를 미리 제공할 필요가 없다. 입국 시점에 여권을 보여주기만 하면 된다. 입국을 담당하는 국가 또한 개인정보를 미리 확보할 필요가 없다. 제시된 여권의 진위와 소지자를 확인하면 된다.

주민등록증의 경우도 마찬가지이다. 한번 발급받은 주민등록증을 필요할 때만 소지자가 제시하고 확인자가 확인을 한 후 업무 처리를 하게 된다. 이러한 방식을 인터넷 서비스에 그대로 적용하겠다는 것이 분산ID이다. 특정기업이나 기관이 개인에게 분산ID를 발급을 한다. 이용자는 이 발급된 분산ID를 서비스기업에게 제공한다. 기업은 제공 받은 분산ID의 진위 여부를 확인하고 제공자에게 서비스를 이용하게 하면 된다. 기업의 입장에서 별도의 개인정보를 수집할 필요성이 줄게 된다. 개인정보를 수집하고 관리하는 부담으로부터도 해방되게 된다. 개인도 여러 기업으로부터 아이디와 패스워드를 받지 않고도 다양한 서비스를 이용할 수 있는 길이 열리게 되는 것이다. 이러한 형태의 서비스를 제공하는데 가장 큰 문제는 분산ID를 발급하고 그 진위를 확인하는 과정과 수단의 신뢰를 확보하는 일이다. 여권이나 주민등록증처럼 신뢰할 만한 발급기관이 있고 그 진위 여부를 쉽게 확인할 수 있어야 한다. 또한 분산ID를 제시하는 개인이 분산ID의 소지자인지를 파악할 수 있어야 한다. 분산ID의 발급자, 소지자, 확인자의 3자 관계에서 신뢰를 형성하고 신뢰를 제공하기 위한 실체가 필요한 것이다. 분산ID는 이러한 실체를 특정 기업이나 기관에게 맡기는 것보다는 공동의 연합체를 중심으로 제공하되 그 제공하는 연합체가 특정한 권한을 갖지 않게 하겠다는 것이다. 그 방법으로 신뢰 확인에 필요한 정보를 블록체인에 저장하여 이해 관계자가 모두 접근하여 활용할 수 있게 만들겠다는 것이다. 보다 자세한 기술적인 부분과 이해관계자의 역할 등은 다음 호에서 자세하게 다룰 예정이다. 분산ID는 인터넷 서비스 더 나아가 디지털 세상의 이용 방식을 크게 바꿀 수 있는 징검다리 역할을 할 것이다. 개인에게는 복잡한 아이디와 패스워드의 굴레에서 벗어나게 하는 단초를 제공해 줄 것이다. 기업은 개인정보의 수집 관리라는 전통적인 구조에서 벗어나 보다 본질적인 기업의 서비스에 집중할 수 있는 계기를 만들 것으로 보여진다.

● 한호현 (테크칼럼니스트·공학박사)

- 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.



주간한국