DID, 보안성·편의성 높은 신원인증 방법으로 제안
[데이터넷] 마스터카드는 지난 8일 신용카드 상의 이름을 본인이 자유롭게 적을 수 있도록 하겠다고 밝혔다. 트랜스젠더, 성 소수자가 자신이 선택한 성과 어울리지 않는 이름 때문에 겪는 어려움을 해결하기 위한 것이라고 설명했다.
우리나라에서는 신용카드 결제 시 본인 이름을 잘 확인하지 않지만, 해외에서는 카드 상의 이름과 서명, 실제 키패드의 서명을 통해 본인이 맞는지 확인하고 결제한다. 여성으로 전환한 ‘톰’이라는 사람이 신용카드를 제시했을 때, 상점 주인은 그 사람의 외모와 이름이 어울리지 않는다고 생각하고 추가 본인 확인을 요구할 수 있다. 성 소수자 입장에서 이러한 일을 겪었을 때 불쾌한 감정을 느낄 수 있다. 마스터카드는 이러한 일을 막기 위해 개인정보 주체가 스스로 자신의 이름을 결정할 수 있도록 한 것이다.
개인정보 주체가 정보 주권 갖지 못하는 신원인증
개인정보 주체가 자신의 정보를 스스로 결정한다는 것은 최근 본인인증 기술이 추구하는 방향과 일맥상통하는 것이다. 전자상거래, 키오스크를 통한 주문과 결제 등 온·오프라인 비대면 결제 환경이 확산되고 있다. 다양한 기기와 사람이 끊임없이 통신하는 IoT 환경에서 개인은 끊임없이 ‘내가 나 임을 증명’해야 한다. 편하고 안전하고 자유롭게 자신을 증명하기 위해 개인정보 주체가 개인정보에 대한 주권을 가져야 한다.
지금까지 본인 인증을 위해 서비스 기업이 지정하는 방법을 사용해야 했다. 예를 들어 온라인 사이트 회원가입을 할 때, 그 기업이 요구하는 개인정보를 제공해야 한다. 그 후 그 사이트에서 발급하는 증명 수단을 이용해 다음 로그인 시 사용한다. ID/PW가 대표적인 신원인증 수단이며, SMS·이메일 인증 등을 추가 인증 수단으로도 사용한다. ID/PW를 잊었거나 유출당했을 때 번거로운 확인 절차를 다시 거쳐서 자신의 신원인증 수단을 다시 얻어야 한다.
기업은 소비자로부터 수집한 정보를 중앙의 데이터베이스에서 관리하며, 동의 받은 범위 내에서 데이터를 활용하면서 마케팅 자료로 사용한다. 기업은 소비자의 개인정보를 이용해 자신의 비즈니스를 발전시키고 있지만, 개인정보 주체인 개인은 정보 제공을 통한 이익을 얻지 못한다. 기업의 잘못으로 자신의 정보가 유출되고 범죄에 사용된다 해도, 제대로 피해를 구제받지 못한다. 보상을 받는다 해도 기나긴 법정 소송을 벌여야 한다.
모바일 신분증으로 온·오프라인 신원 인증
데이터 경제가 활성화되면서 개인정보 활용 범위가 더욱 넓어지고 있다. 그래서 개인정보 주체가 자신의 정보를 스스로 관리하지 못하게 되면, 정보의 오·남용, 불법적인 활용이 증가하고, 범죄에 연루될 가능성도 높아지게 된다.
개인정보 주체가 스스로 정보에 대한 주권을 갖고 신원인증을 하는 ‘자기주권 신원인증(Self Sovereign Identity)’이 이 문제를 해결할 수 있는 방법으로 제안된다. 자기주권 신원인증은, 자신을 증명할 수단을 스스로 결정하고 관리하는 것을 말한다.
쉬운 예를 들어 설명하면, 스마트폰에 운전면허증을 발급받아 이를 온·오프라인에서 자신을 인증하는 수단으로 사용할 수 있다. 자신의 개인정보를 추가로 제공하지 않아도 스마트폰 운전면허증으로 본인인증을 할 수 있다.
이동통신 3사와 경찰청이 내년 시작할 모바일 운전면허증은 실물 면허증을 대체할 수 있다. 이통 3사의 공통 본인인증 브랜드 ‘패스(PASS)’를 이용해 신원인증을 한 후 본인 명의 스마트폰에 발급받을 수 있으며, 실물 면허증과 동일한 지위를 갖는다.
이 서비스가 단순히 모바일 기기에 운전면허증을 내려 받는 것으로 끝나는 것은 아니다. 차량 공유 서비스를 이용할 때 서비스 기업에게 자신의 개인정보를 제공하지 않고 모바일 운전면허증만 제공하면 된다.
분산ID로 자신의 정보 보호·활용
모바일 운전면허증과 같이 단 하나의 신원인증 수단으로, 모든 온·오프라인에서 자신을 인증하는 시대가 열렸다. 자기주권 신원인증은 자신이 선택한 신원인증 수단으로 모든 서비스를 이용할 수 있게 한다. 온라인 쇼핑, 계좌 개설, 호텔 예약과 체크인, 기차·항공 예약과 이용, 심지어 여권을 대신해 공항 입국 수속도 가능하다. 온·오프라인에서 사용하는 수많은 인증 수단이 사라지고 단 하나의 인증 수단으로만 자신을 인증할 수 있게 된다.
자기주권 신원인증은 분산ID(DID)를 통해 구체화 되고 있다. DID는 개인이 선택한 인증 수단을 블록체인에 올린 후, 여러 서비스 기관들이 블록체인의 신원정보와 개인이 제시한 신원정보를 확인해 인증하게 된다. 예를 들어 국내 A은행에서 발급받은 ID로 미국에서 회원가입 없이 미국의 온라인 쇼핑몰에서 쇼핑할 수 있다. A은행과 미국의 온라인 쇼핑몰이 동일한 블록체인 플랫폼을 이용한다고 전제했을 때 가능한 서비스다.
DID가 신원인증의 새로운 방식으로 부상하면서 시장 주도권을 잡기 위한 경쟁이 시작됐다. DID는 전 세계 대상 서비스에 적합한 방식이다. 자신이 선택한 인증 수단을 이용해 본인확인을 할 수 있기 때문에 모바일 기기, 이메일 계정 등을 통해 자유롭게 본인확인을 할 수 있다. 아마도 보편적인 인증 수단으로 가장 범용적인 모바일 기기가 사용될 것이며, 모바일 기기와 생체인식 기술을 이용해 간편하고 안전하게 본인확인을 할 수 있게 될 것이다
모바일 신분증을 예로 들어 설명하면, 공항에서 입·출국 심사 시 여권 대신 모바일 신분증을 제시하면 된다. 본인확인을 강화하기 위해 지문인식·얼굴인식 등 생체인식 기술을 접목할 수 있다. 모바일 기기에서 지문이나 얼굴로 자신을 인증한 후 모바일 신분증을 호출하고 이를 입출국 심사대에 태그해 심사를 진행할 수 있다.
