전체메뉴

[애플경제 김향자 기자] 국가나 금융기관에 의한 것이 아니라, 내가 나 스스로를 ‘인증’하고 신원을 공표하는 방법은 없을까. 이런 필요성 때문에 이른바 자기주권 신원(SSI, Self-Sovereign Identity) 개념이 날로 시선을 끌고 있다. 쉽게 말해 이는 어떠한 제3자나 중앙집중화된 권력 기구가 아닌, 나 자신이 나를 인증하는 방식으로 디지털시대의 새로운 ‘신원’(Identity) 방식으로 부상하고 있다.

“디지털 시대의 아이덴티티로 주목”

이미 하나금융지주연구소나 KDB미래전략연구소, KB증권 리서치 등 금융기관 부설 연구기관들은 신중하지만 그 가능성을 조금씩 내비친 바 있다. 이른바 ‘디지털 아이덴티티’의 개념으로 부상하고 있는 SSI에 비해, 기존에 인증방식을 제공하는 국가나 금융기관, 혹은 인증사업자 등은 인증제공자( Identity Provider, IdP)로 불린다.

SSI는 이같은 IdP에 의존하지 않고, 개인이 직접 자신의 디지털 아이덴티티 정보를 발행하고, 관리한다는 개념이다. SSI에서는 자신이 생성한 식별자나, 인증을 위한 키를 사용하여 ID를 설정하고, 그와 관련된 속성 정보를 개인이 관리한다.

이에 대해 행정안전부는 ‘자신 스스로가 독립적인 권한을 가진 신원’으로 정의하고, “기존 서비스는 서비스 제공자나 제 3의 인증 기관이 개인정보를 관리했다면, 이제는 ‘나’ 스스로이를 직접 관리하는 형태”라고 규정하고 있다.

SSI, ‘식별자’와 ‘데이터 아이덴티티’로 구성

SSI를 구성하는 요소는 전문가나 사용자들의 시각에 다소 다르긴 하다. 그럼에도 행정안전부가 밝혔듯이, 우선 식별자(Identifier)와 그 내용 혹은 프로필에 해당하는 데이터 아이덴티티(Data Identity)가 있다.

시장분석기관인 IRS글로벌은 비교적 일목요연하게 이를 잘 설명하고 있다. 이에 따르면 식별자는 ‘나’ 임을 증명하기 위한 것으로 이를 위한 ‘분산 ID’인 ‘DIDs’(Decentralized identifiers)가 그 실현 수단이 된다.

이에 비해 ‘아이덴티티 데이터’(Identity data)는 ‘나’라는 하나의 개체가 어떠한 정보와 속성을 가지고 있는지를 제시하고 증명하는 정보다. 즉, 개인정보와, 증명 가능한 자격증명(VC : Verifiable Credentials), 증명 가능한 제공 개인정보 집합(VP : Verifiable Presentation) 등이다.

W3C 토대, 실현수단으로 ‘DIDs’ 사양 활용

IRS글로벌은 또 국제웹표준화 단체인 ‘W3C(월드와이드 컨소시엄)’ 등의 정보를 토대로 실현수단인 ‘DIDs’에 대해 원리와 개념을 자세히 소개하고 있다.

이에 따르면 우선 DID는 블록체인 기술 등으로 ID를 관리함으로써 특정 IdP에 대한 의존도를 낮추는 것이다. SSI와 DID를 구현하는 수단으로서 W3C는 DIDs(Decentralized Identifiers) 사양을 활용하고 있다.

즉 IRS글로벌은 “DIDs는 블록체인 등으로 인해 구축된 분산형 시스템을 통해 실현되는 식별자를 말한다”면서 “DIDs는 비밀키ㆍ공개키의 짝과 연결하여 관리되며, 비밀키로 서명한 데이터를 공개키로 검증함으로써 개인을 인증한다. 이러한 사양에서 사용자는 자신의 권한으로 그 디지털 아이덴티티를 생성하거나 갱신할 수 있다.”고 했다.

“개인정보, 프라이버시 완벽한 보호” 기대

이는 무엇보다 자신의 ID 정보 활용을 위해 IdP에 의존하지 않는다는 점이 가장 큰 특징이자 장점이다. 예를 들어 IdP가 도산 등 문제가 생겼을 경우라도, 해당 ID를 다시는 사용할 수 없게 된다. 그러나 자신이 직접 DIDs를 통해 DID와 SIS를 구현할 경우는 그런 위험이 없다.

다시 말해 이는 자신의 ID 정보를 자신이 관리한다는 뜻이다. 그러면 지금의 디지털 사회가 겪고있는 ID와 비밀번호 누출 등의 문제가 해소될 것이란 기대다. SSI 체제에선 IDㆍ속성 정보의 이용과 제삼자에 대한 공개를 개인이 자유롭게 제어할 수 있게 된다. 그야말로 “완벽한 개인 정보와 프라이버시 보호가 이뤄질 것”이란 기대를 낳고 있다.