[데이터넷] 다양한 사설인증서가 사용돼 사용 편의성이 높아졌지만, 소비자와 기업은 더 편리한 인증 서비스를 요구하고 있다. 너무 많은 사설인증서로 인해 소비자들이 어떤 인증서를 사용해야 할지 혼란스러워하고, 기업은 여러 인증서를 연동해야 하는 부담이 있다. 편리한 인증 서비스를 더 편리하게 하는 기술과 방법을 소개한다.<편집자>

분산ID 등 새로운 인증 기술 ‘주목’

민간인증 시장이 성장하면서 인증 플랫폼 공급 기업들이 일제히 여러 전자서명 기술과 서비스를 중계하는 시스템을 출시하고 각각의 차별성을 강조하고 있다. 민간인증 기술이 세계 인증서 표준규격(x.509)을 따르고 있지만, 서비스를 연계하기 위한 별도의 개발이 필요한 경우도 많다. 또 소비자가 원하는 민간인증서를 대부분 지원해야 하기 때문에 새로운 인증서나 인증 방식을 쉽게 연계할 수 있어야 한다는 점도 경쟁력을 가르는 길이 된다.

블록체인 기반 사용자 ID를 관리하는 분산ID, FIDO·FIDO2 표준, 생체인증 등 새로운 기술을 적극 도입하는 한편, 메타버스·클라우드 시대에 요구되는 기술 특수성을 받아들일 수 있는 기술 진화 방안도 고민해야 하는 상황이다.

김태진 라온시큐어 전무는 “전자서명법 개정으로 다양한 인증사업자와 새로운 기술이 연구되고 있으며, 사용자 선택권을 확대하는 긍정적인 면이 있다. 그러나 이용기관은 수많은 인증 사업자와 서비스를 연결해야 해 복잡성이 높아지고 있다. 또 분산ID, FIDO 등의 기술 발전에 비해 프로토콜 규격 정비가 완전히 이뤄지 지 않고 있으며, 일부 시장 지배적 사업자가 인증 사업까지 주도하게 될 것이라는 우려도 나오고 있다”고 지적했다.

다양한 분산ID 실사용 사례 확보

라온시큐어는 분산ID 플랫폼 ‘옴니원’이 인증기술과 서비스를 잇는 탁월한 기술을 제공한다고 소개한다. 옴니원은 FIDO 표준을 준수하는 생체인식 기술과 블록체인을 결합해 공공기관·기업 주도의 신원증명 서비스에 최적화된 솔루션을 제공한다. 비밀번호 없이 이용자의 생체정보로 분산ID를 생성하고, 이를 기반으로 검증 가능한 자격증명(VC)을 발급한 후 개인의 스마트폰에 저장해 필요할 때 사용한다.

옴니원은 다양한 사설 인증서를 통한 간편 인증뿐 아니라 정부, 금융, 의료, 교육 기관에서 발급하는 다양한 제증명서(사원증, 학생증, 자격증)를 활용한 신원 인증 및 자격 검증 서비스까지 한 곳에서 제공한다.

자기주권신원(SSI)을 실현하는 옴니원은 행안부 모바일 공무원증, 병무청 블록체인 간편인증 서비스, 경상남도 모바일 도민카드, 모바일 운전면허증 등의 기반기술로 선택됐으며, 금융분야 최다 레퍼런스를 보유하고 있다.

라온시큐어 자회사 라온화이트햇에서는 옴니원 통합인증 서비스를 제공한다. 모바일 신분증, 디지털 증명서, 사설 인증서, 블록체인 기반 VC를 한 곳에서 이용, 검증할 수 있는 서비스다. 다양한 인증사업자와 자격 증명사업자간의 프로토콜을 호환, 한 번의 통합인증 서비스 이용 계약으로 모든 모바일 신분증, 디지털 증명서, 민간인증서 이용이 가능하다. SaaS로 제공돼 모듈 설치가 필요 없으며, 다른 서비스와 쉽게 연동돼 개발비용이 들지 않는다.

별도 모듈 설치 없이 Cloud SaaS 제공으로 간편하고 손쉽게 연동 가능해 별도의 개발 비용이 발생하지 않 아 비용 절감 효과가 발생하고, 다양한 인증 서비스 제 공을 통해 도입기업은 물론 이용자의 편의성도 높일 수 있다. 인증 서비스 선택의 폭이 넓어지는 것 또한 큰 장점이다.

개인정보 보호하며 신원인증 가능

분산ID는 블록체인 네트워크에 사용자의 신원정보를 등록하면, 개인정보를 추가 제공하지 않고 다양한 서비스를 이용할 수 있게 한다. 사용자의 개인정보를 여러 서비스 사업자에게 제공하지 않아 개인정보 유출 위협을 줄일 수 있으며, 사용자가 직접 자신의 정보가 어디에 어떻게 사용되는지 확인할 수 있어 개인정보 주권을 확보할 수 있다.

분산ID 기반 신분증은 사용자가 불필요하게 많은 개인정보를 제공하는 일을 막을 수 있다. 만일 소매점에서 주류를 구입하기 위해 신분증을 제출한다면 신분증에 쓰여있는 사용자 이름, 주민등록번호, 주소 등 개인 정보를 타인이 볼 수 있다. 분산ID의 디지털 신분증은 신분증의 사진과 출생년도만 보여줄 수 있다. 휴대폰으로 설문조사를 한다면 연령대, 거주지만 공개할 수 있고, 경찰관에게 면허증을 제시한다면 주민등록번 호와 면허번호만 알릴 수 있다.

모바일 운전면허증이 대중을 위한 분산ID 신분증의 첫 번째 사례로, 기존 신분증과 동일하게 사용 가능하며, 대면·비대면 금융거래도 사용할 수 있다.

한편 최근 분산ID에 대한 관심이 높아지면서 시장이 급성장을 시작했다는 보고서가 나와 주목된다. 시장조사기관 마켓앤마켓에 따르면 전 세계 분산ID 시장이 올해 2억8500만달러 규모를 형성할 것이며, 2027년까지 복합연간성장률 CAGR 88.7%을 기록, 682만2000달러로 성장할 것으로 예상된다. 마켓앤마켓은 기존 ID 관리 취약점과 해킹 문제를 해결하는 방법으로 분산ID가 주목되고 있으며, 코로나19 이후 온라인 거래가 급증하면서 ID 문제가 첨예한 관심사로 부상, 분산ID 투자가 크게 늘어날 것으로 예상했다.

가트너 보고서에서도 분산ID의 성장 가능성을 높게 평가했는데, 아이덴티티를 보호하면서 더 편리하게 증명할 수 있다는 점을 장점으로 꼽았다. 그러면서 분산ID는 가장 안전한 암호화 기술로 보호되는 디지털 지갑에 개인의 신원정보를 저장할 수 있어야 하며, 모든 트랜잭션은 신뢰할 수 있는 패브릭 기반의 네트워크를 통해 이뤄져야 한다고 설명했다.

마켓앤마켓은 분산ID가 금융권 자금세탁 방지를 위한 고객확인제도(KYC)를 구현하는데 적합하며, 의료산업, 사이버 보안, 제로 트러스트 네트워크 액세스(ZTNA), IoT 등 다양한 산업에서 분산 ID를 사용할 수 있다고 설명했다. 최소권한원칙에 따라 각 서비스마다 꼭 필요한 개인정보에만 접근할 수 있어 개인정보의 오남용도 막을 수 있다.

그러나 분산ID는 공통된 표준이 없고 규제가 불확실해 확장성이 떨어진다는 한계가 있다. 분산ID는 매우 초기시장으로, 글로벌 수준의 응용프로그램이나 보안 규격이 없다. 또한 사용자가 여러 기관으로부터 ID를 발급받았을 때 ID가 중복돼 혼란을 겪을 수 있으며, 사용자의 디지털 지갑 분실이나 해킹 등에 어떻게 대응하는지 등에 대한 문제도 있다.

마켓앤마켓은 이러한 한계에도 불구하고 분산ID가 성장하는 시장이라는 것은 분명하다고 설명한다. 디지털화가 진전될수록 ID는 늘어나며, 사람뿐 아니라 각종 IoT, 애플리케이션 등에도 ID가 발급되고 관리되어야 한다. 기존 레거시 시스템에서의 IAM으로 기하급수적으로 증가하는 ID를 관리할 수 없으며, 새로운 ID 관리 방법이 시급히 요구되는데, 분산ID가 그 대안이 될 수 있을 것이라는 관측이 나온다.

지속적인 인증 ‘필수’

디지털 시대로 접어들면서 사용자 인증은 매우 중요한 요소가 되고 있다. 사용자 인증은 제로 트러스트의 시작이라고 할 수 있는데, 모든 서비스에 접속할 때 마다 정상 계정을 가진 정당한 사람이나 기기가 접근을 시도하는 것인지 확인하는데 인증이 필요하기 때문이다.

이기혁 한국디지털인증협회장은 10월 열린 ‘시큐업 세미나 2022’에서 “아이덴티티는 인간의 기본권”라고 소개하며 “아이덴티티는 동등한 인간 기본권 추구를 위한 사회 문제 해결의 시발점”이라고 설명했다.

아이덴티티의 중요도가 높아지면서 쉽고 안전한 신원증명과 관리 기술이 필수로 자리 잡았다. 가장 많이 사용되는 것이 신분증, 생체인식, 휴대폰을 이용한 본인인증이다. 분산ID처럼 블록체인 상에서 관리되는 신원인증도 사용할 수 있다.

이기혁 회장은 “ID/PW 중심 인증이 취약하기 때문에 다양한 MFA 수단이 등장했으며, 최근에는 FIDO와 생체인증이 화두에 올랐다. 그리고 소비자의 개인정보 주권을 강화하는 SSI가 강조되면서 분산ID와 같은 디지털 인증의 새로운 장이 열리게 됐다”며 “소비자를 보호하면서 편리하게 이용할 수 있는 아이덴티티 관리 기 술이 필수”라고 강조했다.

분산ID를 기반으로 디지털 ID를 안전하게 관리할 수 있는 프레임워크로 ADI협회가 제안한 ‘ADIA’가 있다. ADI협회는 디지털 ID를 생성, 관리, 사용하고 개인정보를 안전하게 공유할 수 있는 개방형 프레임워크 ADIA를 연구, 발전시키는 비영리 기관으로, 라온시큐어, CVS, 디지털 트러스트, 디지털애셋, 히타치 등 국내외 여러 기업이 참여하고 있다.

ADIA는 소비자가 하나의 신원발급기관으로부터 신 원증명을 발급받으면 생태계에 있는 모든 기업·기관에서 해당 신원증명을 사용할 수 있는 통합 프레임워크를 제안한다. 신원증명 발급을 위한 개인정보는 발급기관 에서만 보유하며, 다른 기관과 공유하지 않고, 소비자가 원할 때 수정, 삭제 가능하다. 서비스 사업자는 소비자 정보를 보유할 필요가 없어 개인정보 보호 의무에서 자유로울 수 있다.