전체메뉴

최근 코로나19로 인해 비대면 또는 비접촉으로 자신의 신원을 확인해야 하는 상황이 늘어나고 있다.

기존의 오프라인 신분증의 한계로 인해 온라인 환경에서의 신분 확인 기술이 점차 적용되고 있다. 또 개인정보보호 및 데이터 주권이 주요 화두로 떠오르면서 최근 분산신원증명(DID, Decentralized Identity) 기술이 주목받기 시작했다.

현재 기술 수준으로 요구되는 조건을 충족할 수 있는 기술은 DID가 유력한 상황이며 DID를 도입한 사원증, 신분증 등이 등장하면서 디지털 시대를 대표하는 신분증으로 부상하고 있다.

한국인터넷진흥원 이강효 선임연구원은 최근 연구발제 보고서를 통해 “특히 온라인 환경에서 사용자는 기업에 자신의 개인정보를 맡겨두고 서비스를 이용하는 모델에서 직접 자신이 주권을 가지고 신원 확인하는 ‘자기 주권 신원 모델’이 등장하고 있다”면서 “개인정보를 웹사이트가 아닌 모바일기기에 직접 내려 받아 웹서비스를 이용할 때에만 신원확인을 하는 모델이다. 자기주권 신원 모델을 구현하는 기술로 DID가 주목받고 있다”고 밝혔다.

그에 따르면 모바일 신분증 기술 중엔 특히 선택적 정보제공 및 데이터 주권 보장 등의 이유로 DID 기술이 가장 주목받고 있다. DID 기술이 가지는 높은 활용 가능성을 토대로 공공을 비롯한 민간분야에서 DID 서비스들이 점차 나타나고 있다.

DID는 개인정보를 사용자가 직접 모바일 기기에 저장하여 상황에 따라 필요한 정보를 선택하여 제출할 수 있는 신원 서비스다. DID는 크게 DPKI(Decentralized PKI)와 블록체인 두 가지 기술을 활용하는 경우도 나뉜다.

DPKI는 탈중앙화 환경에서 전자서명하고 검증할 수 있는 기술이다. 블록체인은 분산원장기술(DLT,Distributed Ledger Technology)로써 신뢰할 수 있는 제3자 없이도 데이터를 분산 저장 및 공유하고 동일한 데이터를 유지하여 무결성을 보장하는 기술이다.

DID 서비스의 참여자는 크게 이용자(Holder), 발행자(Issuer), 검증자(Verifier)로 구분된다.

이용자는 모바일 기기의 전자지갑 앱을 통해 개인정보를 직접 관리한다. 발행자는 이용자가 신분증, 증명서를 발행을 요청할 경우, 이용자를 검증한 후 요청자료를 발행한다. 검증자는 서비스 제공을 하는 기업이나 기관이며 이용자가 제출한 신분증 또는 증명서를 검증한 후 서비스를 제공한다.

발행자가 사용자에게, 사용자가 검증자에게 제출하는 과정에서 신분증이나 증명서에는 전자서명을 한 주체의 DID 값이 포함된다. 검증자는 DID 값을 블록체인에 질의하여 전자 서명한 주체의 검증정보를 받아올 수 있다.

검증정보에 따라 전자서명을 검증함으로써 발행자의 발행사실, 사용자의 제출사실에 대해 부인방지가 가능하다. 참여자 간 전송되는 신분증이나 증명서의 수록된 정보(Claims)를 선택하여 제출할 수 있다. 수록된 정보 간의 관계 및 속성 등을 나타낼 수 있어 목적에 맞는 정보를 생성하여 제출할 수 있다는 장점을 가진다.

DID를 활용한 모바일 신분증은 주민등록증, 운전면허증, 여권 등의 국가 신분증을 하나의 디지털화 된 상태로 모바일기기에 저장하여 이용할 수 있다. 이는 디지털화 정도에 따라 활용범위가 달라질 수 있다.

기존 카드 형식의 신분증에 명시된 수록정보를 디지털화하여 모바일에 저장하고 제시할 수 있으며 상황에 따라 수록정보를 직접 선택하거나 조합하여 제출할 수 있다. 수록정보를 그대로 디지털화한 경우에는 기존 신분증처럼 신원확인이 필요한 경우에 제출목적으로만 활용이 가능하며, 연계 서비스 또는 신분증을 다른 형태로 변경 또는 활용할 수 없다.

해외 주요국에서는 국가 차원의 모바일 신분증 전략을 발표했다. 국가에 관계없이 공공서비스 제공, 디지털 전환, 전자상거래, 온라인 서비스 활성화 등의 목적을 가진다.

각국은 모바일 신분증 기반의 서비스를 확보하여 글로벌 시장을 선도하기 위한 목표의 일환으로 보인다. 유럽연합은 유럽 국가내 안전한 온라인 서비스를 위한 전자신분증(eID)을 활용한다. 이는 사용자가 중앙 집중식 당국에 의존하지 않고도 국경을 넘어 자신의 신원을 생성하고 제어할 수 있는 기능을 구현한다.

IT기술이 발달한 에스토니아의 경우 IC 카드 기반의 전자신분증을 전 국민을 대상으로 보급한 가운데 2014년부터 표준화된 SIM(Subscriber Identification Module)을 기반으로 모바일 신원확인 및 전자서명 솔루션을 제공한다. 네덜란드는 자기주권적 신분증(Self Sovereign ID), 즉 최소한의 개인정보로 신원확인이 가능하도록 블록체인 기반 디지털 ID를 개발했다. QR코드를 통해 필요한 정보만 확인할 수 있도록 하는 기술을 도입하여 프라이버시를 강화했다.

우리나라도 운전면허증, 주민등록증 등 다양한 종류의 모바일 신분증을 개발, 실용화하고 있다. 향후 활용성 증대를 위해 공공·민간 연동을 고려한 기준 마련 및 세계 각국에서 통용될 수 있도록 글로벌 표준을 수용해야 한다는 주문이다.

또 다양한 공공, 민간의 모바일 신분증 플랫폼의 상호연동 방안도 필요하다. 안전성 확보. 모바일 신분증에는 개인에 대한 민감한 정보를 다수 보유하게 된다. 특성상 핸드폰 분실 시 유출될 경우 악용될 소지가 있으므로 개인정보 및 데이터에 대한 관리방안 마련이 필요하다. 또 모바일 단말기 보안성 강화 및 개인정보 보호를 위한 영지식증명, 비밀키공유 등 암호기술이 필요하다.

국내에서도 DID 기반 모바일 신분증을 도입하는 기업 또는 기관 사례가 점차 늘어나고 있다. 모바일 기기만으로 사내출입 및 도서대출 등이 가능한 것이다. 이는 데이터 위변조가 불가능하며, 접근통제에도 장점을 가진다. 출입관리를 비롯해 전자결재시스템, 교육 사이트 로그인, 기업 내 증명서 발급 등 온라인 인증수단에도 확대할 수 있다.

한국인터넷진흥원(KISA)은 공공기관 최초로 이를 도입하였으며, 민간에서는 금융결제원 및 NH농협은행 등에서 모바일 사원증을 도입했다. 지자체 중에서 경상남도는 비대면 공공서비스를 제공하기 위해서 모바일 도민카드, 부산광역시는 부산시민카드를 추진 중이다. 실물 신분증 없이도 지역주민 여부만 확인함으로써 간편하고 과도한 개인정보 노출 없이도 간편하게 지역 내 서비스를 이용할 수 있다.