[2020 NetSec-KR] 김승주 교수 “DID, 오해와 진실...올바른 생태계 조성이 중요”
“국내, 통신사가 만든 프라이빗 블록체인으로 구현…DID 정신에 위배” “정부나 본인확인 기관들, 필요 이상 관여는 생태계 조성에 방해”
“블록체인의 뜨거운 이슈중 하나가 DID(분산형 아이디)다. DID는 퍼블릭 블록체인으로 만들어야 투명성과 불변성, 글로벌 사용성 등을 담보할 수 있다. 국내는 통신사 중심의 프라이빗 블록체인 기반 DID가 주를 이루고 있다. 이렇게 되면 글로벌 사용에 문제가 발생한다. 향후 국내 DID는 퍼블릭 블록체인으로 구현되어야 한다. 그리고 신속한 사업 추진을 위해 정부나 본인확인 기업들이 필요 이상으로 관여하는 것은 오히려 DID 생태계 조성에 방해가 될 수도 있다.”
7월 16일~17일 양일간 한국정보보호학회(정수환 회장. 숭실대 교수)가 주관한 2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스에서 김승주 고려대학교 교수는 ‘DID에 대한 오해와 진실’을 주제로 강연을 진행했다.
최근 이슈가 되고 있는 DID(Decentralized Identifiers) 즉 분산형 아이디는 모바일 신분증으로 잘 알려져 있으며 이동통신사에서 발급하고 있고 내년부터는 경찰청에서도 발급할 예정이다.
김승주 교수는 “DID는 핵심 기능 두 가지가 충족되어야 한다. 하나는 바로 신분증 소유자가 신분증 정보에 대한 완벽한 통제권을 갖고 있느냐는 것이다. 그런 의미에서 DID를 자기주권형 아이디라고 부른다. 또 하나 특정 회사에 종속되지 않고 구현이 독립적으로 이루어졌는지가 두 가지가 핵심 기능”이라고 설명했다.
예를 들어, 도로교통 위반시 경찰이 신분증 제시를 요구할 때, DID에 들어있는 모든 정보를 보여줄 필요 없이 운전면허증에 해당되는 정보만 보여줄 수 있어야 한다는 것이다. 술집에서 주인이 나이 확인을 위해 신분증을 요구할 때, 사진, 이름, 생년월일만 보여주면 된다. 즉 사용자가 DID의 모든 정보를 보여주는 것이 아니라 그 상황에 맞게 사용자가 선택해서 보여줄 수 있어야 한다는 것이다.
또 구현이 독립적이어야 한다. 특정 회사에 종속되지 않고 구현되어야 어떤 상황에서도 사용이 가능하기 때문이다. 예를들어, 인증서 국제표준인 ‘X.509’는 인증서 발급기관이 존재한다. 인증서 발급기관에 종속돼 있는 것이다. 소셜 로그인도 페이스북이나 구글 등 특정 기업에 종속된 시스템이다. 특정 기관에 종속된 것은 DID 정신에 맞지 않는다.
◇한국 DID, 퍼블릭 블록체인으로 구현해야
김 교수는 “블록체인을 이용한 탈중앙화 신분증을 만들자며 나온 것이 DID다. 휴대폰에서 개인정보 노출을 최소화하고 사용자의 통제하에 정보를 보여줄 수 있는 있다는 점은 다시 말해 신분증 위변조가 가능할 수 있다는 것이다. 이를 막기 위해 블록체인이 사용된다”며 “하지만 DID를 블록체인으로만 만들 수 있는 것은 아니다. 다른 분산네트워크로도 만들 수 있다”고 설명했다.
이어 DID를 만들 때 고려해야 할 중요한 세가지 사항을 제시했다. △작동 원리가 투명하게 공개되어야 하고 △아이디 정보가 위변조 되지 않아야 한다. 또 △글로벌하게 사용할 수 있어야 한다는 세가지 사항을 들었다.
특히 이 세가지 핵심 사항을 충족하기 위해서는 퍼블릭 블록체인으로 DID를 구현해야 한다고 강조했다. 국내는 아직 이동통신사가 만든 프라이빗 블록체인을 기반으로 하고 있다. 이렇게 되면 글로벌 사용에 문제가 발생한다. 국내 DID는 향후 퍼블릭 블록체인으로 구현되어야 한다.
또 그는 “현실 화폐는 위변조를 방지하기 위해 중앙에 통제기관을 둔다. 하지만 사토시 나카모토는 가상화폐 비트코인을 은행이나 관리감독기관의 통제를 완전히 벗어난 사이버공간의 화폐로 만들고자 했다. 이때 위조 비트코인이 만들어지면 가상화폐 시장은 붕괴되기 때문에 이를 통제하기 위해 나온 기술이 바로 블록체인이다. 즉 분산된 공개장부로 위폐를 통제하기 위해서였다”고 설명했다.
그래서 가짜인지 진짜인지를 투표할 수 있는 기능이 블록체인에 내장돼 있다. 모두가 장부를 공개 관리하면서 블록체인에 기록된 데이터는 위변조 되기 어려워 지는 것이다. 이런 블록체인을 이용한 DID는 투명성과 불변성을 확보하며 위변조 방지가 가능하다.
하지만 블록체인의 투명성으로 DID에 과도하게 개인정보가 노출될 수 있다는 프라이버시 문제도 대두된다.
김 교수는 “블록체인은 해킹이 불가능한 기술이 아니며 단지 탈중앙성, 투명성, 불변성, 가용성의 기술적 특성만을 제공한다. 그래서 블록체인 기반 DID의 경우, 신분증의 위조 방지에는 강점을 보이지만 신분증 상에 기록된 개인정보의 노출에는 취약하다”며 “DID의 프라이버시 문제는 블록체인으로만 풀 수 없고 ‘영지식증명(Zero Knowledge Proofs)’이라는 특수한 암호화 기술을 적용해야 한다”고 설명했다.
◇DID가 공인인증서를 대체할 수 있다?
또 하나, DID가 공인인증서를 대체할 수 있다는 말은 틀렸다.
전자정부가 확대되면서 공인인증서가 과도하게 사용됐고 결국 문재인 정부에서 폐지됐다. 공인인증서는 인감증명서와 같다. 인감증명서는 도장의 소유주를 입증해 주는 것이다. 공인인증서의 도장에 해당하는 것이 바로 NPKI이며 또 하나가 인증서다.
김 교수는 “공인인증서는 사이버상에서 본인확인과 결제기능 두 가지를 제공한다. 주로 로그인과 계좌이체시 전자서명을 위해 사용된다. 하지만 DID는 분산형 신분증이다. 공인인증서가 제공하는 본인확인만 가능하다”며 “결제 기술은 추가 기술이 적용돼야 한다”고 설명했다.
끝으로 김승주 교수는 “DID를 블록체인으로 만들면 좋지만 다른 방안도 존재한다. 블록체인을 사용한다면, 퍼블릭 블록체인으로 DID를 구현해야 DID가 제공할 수 있는 최선의 본인확인 서비스가 가능하다”고 밝히고, 이어 “데이터의 안전한 활용이 강조되는 4차 산업혁명 시대에 DID에 대한 정부나 기업의 관심은 환영할 만한 일이다. 하지만 이를 블록체인과 같은 특정 기반 기술과 과도하게 연결 짓거나 신속한 사업 추진을 이유로 정부나 기존 본인확인 기관들이 필요 이상으로 관여하는 것은 곤란하다. 그러면 오히려 바람직한 생태계 조성을 방해할 수도 있다”고 지적했다.
★정보보안 대표 미디어 데일리시큐!★
◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)