일반인들은 인터넷 서비스를 이해하는데 많은 어려움을 느낀다. 인터넷 관련 업계 종사자나 전문가들조차도 마찬가지다. 기술적 특성이 난해하고 운영구조 또한 복잡하기 때문이다. 그런데 이를 비교적 쉽게 이해하는 방법이 있다. 인터넷 서비스와 유사한 기존의 서비스를 꼼꼼히 살펴보는 것이다. 서비스의 유래에서부터 현재의 방식이 정착되게 된 배경이나 원인을 살펴보는 것이다. 특히 그러한 서비스가 왜 필요했는지를 분석해 보는 것이 필요하다. 아울러 현재 방식을 구현하기 위해 적용된 기술의 개념을 함께 파악해 보아야 한다. 끝으로 이를 인터넷 서비스의 기술이나 체계 등과 비교해 보는 것이다. 특히 아직 구현되지 않고 새롭게 등장하는 서비스의 경우에는 더 유용하게 활용될 수 있다.

분산ID의 기술도 이러한 방식에 따라 이해해 보고자 한다. 분산ID는 일종의 디지털화된 신분증이다. 물리적 형태가 없다. 눈에 보이지 않는 데이터 형태로 인터넷을 통해 필요한 곳에 전달된다. 때로는 우리에게 익숙한 형태의 모양으로 스마트폰이나 PC화면에 나타낼 수도 있다. 스마트카드에 담겨져 신용카드와 같은 방식으로 여러 곳에 사용될 수도 있다. 분산ID는 크게 2가지 형태를 갖는다. 하나는 디지털신원을 표시하는 것이다. 다른 하나는 디지털신분증이다. 주민등록증이나 여권과 유사한 기능을 하는 것이 디지털신원이다. 학생증, 회사원증, 운전면허증 등과 유사한 것은 디지털신분증이다. 이러한 것들은 인터넷을 통해 특정인이 누구인지를 정하거나 확인하기 위한 수단들이다. 또한 내가 나임을 증명하는 수단이기도 하다. 즉 그 특정인의 신원이나 신분을 표시하기 위한 방식인 것이다.

분산ID는 신원과 신분에 대한 개념을 포괄한다. 주민등록증, 여권, 학생증, 회사원증의 사용 방식을 보면 가까운 거리 이내에서 사용이 가능하다. 당사자 또한 가시거리 내에 있어야 한다. 물론 이러한 신분증을 복사하여 먼 곳에 보내어 확인하기도 하지만 그 복사된 사본 또한 가시거리에서 즉 누군가가 눈으로 확인을 해야 한다. 반면에 인터넷 서비스의 경우에는 두 당사자가 멀리 떨어져 있고 디지털화된 정보의 복제나 변조 등이 용이하다. 제3자가 내 신분이나 신원을 도용하여 사용할 경우 확인하는 데도 쉽지 않다. 그러다 보니 각종 인터넷 서비스의 경우 서비스 가입자인 이용자의 신원이나 신분을 파악하기 위해 많은 노력을 기울인다. 이름, 생년월일, 주소, 전화번호, 이메일 등 수많은 개인정보를 요구하게 되는 것이다. 또한 이용자는 인터넷 서비스를 이용하기 위해 이곳저곳에 이러한 정보를 제공해야 한다. 이로 인해서 생겨나는 부작용은 끊이질 않는다. 개인정보로 통칭되는 이런 정보들이 유출된다. 개인정보를 이용한 사기 등으로 금전적 피해도 발생한다. 이 같은 문제를 근본적으로 해결해 보고자 하는 시도가 분산ID이다. 개인정보의 제공을 최소화하고 주민등록증, 여권 등과 같은 환경을 인터넷에서도 구현해 보고자 하는 것이다. 분산ID 서비스 방식은 주민등록증, 여권 등과 유사하다. 이들은 가장 신뢰할 수 있는 주체, 즉 국가가 발급한다. 발급한 증서는 당사자가 소유한다. 누군가가 신원을 확인한다고 하면 주민등록증을 제시하면 된다.

분산ID를 어떻게 신뢰할 것인가

분산ID의 핵심에도 발급자가 있다. 이용자는 발급된 분산ID를 소유한다. 인터넷 서비스 제공자는 이용자의 분산ID를 확인하기만 하면 된다. 그런데 여기서 문제가 발생한다. 발급자가 발급한 분산ID를 어떻게 신뢰할 것인가의 문제이다. 또한 발급한 분산ID가 복제나 변조 때로는 위조가 되었을 가능성을 어떻게 걸러 낼 것인가 이다. 즉 분산ID 체계에서의 신뢰의 문제와 분산ID의 위변조 등의 문제 해결이다. 여기서 기술적인 해결이 가능한 부분은 위조나 변조의 확인이다. 신뢰는 이러한 기술적 바탕위에서 인위적인 방식으로 이뤄진다. 주민등록증, 여권 등은 정부라는 강력한 신뢰 체계에서 형성된다. 학생증이나 회사원증은 이보다 약한 신뢰 속에서 특정 영역에서만 이용된다. 분산ID는 신뢰 체계를 형성하기 위해 발급자, 이용자, 서비스 제공자의 3각 체계를 인위적으로 구성한다. 국내외적으로 분산ID를 위한 연합체 등이 만들어지는 이유이기도 하다. 은행이나 대기업 등이 다수 참여하는 것도 연합체의 신뢰를 제고하기 위한 방안인 것이다. 어쩌면 이용자 보다는 발급자와 서비스 제공자의 규모가 분산ID 성공의 지표가 될 수도 있다. 보다 다양한 영역에서 분산ID가 사용되면 될수록 이를 이용하는 이용자에게 더 큰 신뢰를 제공할 수 있기 때문이다.

이러한 체계가 만들어지더라도 기술적 신뢰가 뒷받침되어야 한다. 주민등록증이나 여권이 강력한 신뢰 체계를 갖고 있다 하더라도 쉽게 변조되거나 위조할 수 있다면 활용이 되지 않게 된다. 각종 범죄에 이용될 수도 있다. 따라서 이러한 신원증은 변조나 위조하기 어려운 다양한 인쇄 기술을 사용한다. 인쇄된 면 곳곳에 해독해서 그려내기 어려운 그림을 넣어 둔다. 복사를 하면 이러한 그림이 나타나게 되기도 한다. 눈으로 확인이 가능하나 복사를 하면 나타나지 않게 하기도 한다. 즉 위변조가 어려운 기술을 사용하는 것이다. 분산ID에서도 위^변조를 어렵게 하거나 위^변조 확인을 쉽게 발견하기 위한 기술을 사용한다. 이러한 기술의 핵심에 전자서명 기술이 있다. 전자서명 기술은 우리가 늘 일상에서 사용하는 기술이다. 흔히들 공인인증서를 사용한다고 하는데 여기에 사용되는 핵심 기술이 전자서명 기술이다.

전자서명 기술은 2개의 핵심 기술로 구성된다. 하나는 데이터를 암호화하여 쉽게 해독할 수 없게 하는 기술이다. 다른 하나는 데이터를 축약하는 기술이다. 이 2가지 기술을 접목하여 만든 기술이 전자서명이다. 데이터를 암호화하는 기술에는 이를 다시 원래의 데이터로 복원시키는 복호 기술이 필요하다. 일반적으로 데이터를 암호화하는데 암호화하기 위한 별도의 데이터가 필요한데 이를 암호키라고 한다. 보통은 암호키 1개로 암호화에도 사용하고 복호화에도 사용한다. 그런데 인터넷 서비스에서 이러한 암호키를 사용할 경우에 몇 가지 문제가 발생한다. 한쪽에서 데이터를 암호화하여 상대방에게 보낸다. 이때 상대방은 이 암호화된 데이터를 읽어야 하는데 해독을 위한 즉 복호를 하기 위한 암호키가 필요하다. 따라서 암호키를 상대방에게 다시 보내 주어야 한다. 그 보내는 과정에서 암호키가 제3자에게 노출될 경우가 생긴다. 데이터를 암호화해서 보내주는 목적을 상실하게 된다. 또한 상대방이 암호키를 다른 이에게 노출시킬 수도 있다. 두 당사자 간의 비밀이 노출되기도 한다. 이렇듯 하나의 암호키 사용하여 인터넷 서비스에 활용할 경우 암호키의 노출 우려가 서비스의 제약요소가 된다.

이러한 문제의 해결책으로 나온 방식이 2개의 키를 사용하는 기술이다. 비대칭키 기술로 불린다. 2개의 키 중에서 어느 하나의 키로 암호화를 하면 반드시 다른 키에 의해서만 복호를 할 수 있다. 2개의 키가 반드시 하나의 쌍으로 움직인다. 잠그는 열쇠와 여는 열쇠가 다른 경우라고 보면 된다. 예를 들어 상자 하나가 있다. 잠그는 열쇠와 여는 열쇠가 다르다. 상자의 주인은 여는 열쇠를 하나를 갖고 있다. 잠그는 열쇠는 여러 개다. 열쇠를 갖고 있는 이들은 누구나 상자에 상품을 넣고 상자를 잠글 수 있다. 상자를 열 수 있는 주인은 오로지 여는 열쇠를 갖고 있는 한 사람뿐이다. 이 경우 상자 속에 담겨 있는 상품을 꺼내 갈 수 있는 이는 오로지 주인 한사람이 된다. 반대의 경우를 보자. 상자를 잠글 수 있는 열쇠가 하나이다. 여는 열쇠가 여럿이다. 상자가 잠겨 있으면 잠그는 열쇠를 갖고 있는 한 사람의 행동으로 볼 수 있을 것이다. 이런 방식으로 비대칭키 방식을 활용하는 것이 공개키 방식이다. 2개의 키 중에서 하나는 누구도 알지 못하게 한다. 반면에 다른 하나는 많은 이에게 알려 준다. 여기서 누구도 알지 못하게 하는 키를 개인키라고 한다. 다른 하나는 공개키라고 한다. 개인키로 데이터를 암호화해서 놓아두면 공개키로 복호를 해야 한다. 복호화가 되면 개인키를 갖고 있는 특정인이 암호화했음을 추정할 수 있다. 반대로 공개키를 갖고 있는 누군가가 데이터를 암호화해서 보내면 이는 반드시 개인키를 갖고 있는 특정인만이 볼 수 있다.

다수가 신뢰를 꾸려 나가는 기술

여기에 데이터를 축약하는 기술이 부가된다. 보통 해시(Hash)라고 한다. 이는 데이터를 일정한 크기로 줄이는 기술이다. 예를 들어 1만자의 글자를 100자로 줄이는 기술이다. 1만자의 글자를 100자로 줄이는데 2가지 기술적 요건이 요구된다. 그 하나는 100자를 갖고 다시 1만자를 만들어 낼 수 없어야 한다. 또 다른 하나는 1만자를 갖는 데이터의 일부를 바꾸면 100자 축약한 것도 다르게 되어야 한다는 것이다. 이 경우에 있어서는 1만자를 갖는 데이터가 많을 경우 동일한 100자가 나올 수 있다. 그런데 100자를 1만자, 또는 그 이상의 숫자로 크게 하면 동일한 축약이 나올 수 있는 확률이 작아지게 된다. 이러한 축약 기술과 공개키 기술을 이용하는 것이 전자서명이다.

개인이 보유한 정보를 축약을 한다. 축약된 정보를 개인키를 이용하여 암호화한다. 이렇게 나온 결과가 전자서명이다. 그리고 이 전자서명을 원래 정보와 함께 공개를 해둔다. 그리고 공개키를 배포한다. 이 공개키로 전자서명을 복호화하면 다시 복원된 축약된 값이 나온다. 원래 정보를 축약을 해서 복원된 축약 값과 비교를 해 본다. 이 비교된 값이 같다면 2가지를 추론해 볼 수 있다. 개인키를 갖고 있는 누군가가 암호화를 했다는 점과 원래의 정보가 위조나 변조가 되지 않았음을 유추할 수 있다. 분산ID는 이러한 기술을 근간으로 분산ID에 대한 전자서명과 공개키를 블록체인에 저장한다. 발급자, 이용자, 서비스 제공자 모두가 블록체인이라는 기술을 통해 공동의 기술적 신뢰 기반을 확보한다. 블록체인은 정보의 변조가 어렵도록 만든 시스템이다. 분산ID는 결국 신뢰의 기술들을 조합하여 만든 체계를 이용하여 다수가 신뢰를 꾸려나가는 기술이자 체계이다. 끊임없이 진화해 나가는 체계인 것이다. 어느 순간 모든 것을 바꾸는 기술이 아니다. 하나하나 신뢰를 구축하기 위한 과정인 것이다.

● 한호현 (테크칼럼니스트·공학박사) - 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.