DID는 최초로 완전성을 갖춘 디지털 식별자

DID(Decentralized Identifier)는 ‘탈중앙화 식별자’ 또는 ‘분산 식별자’이다. 블록체인 기술을 사용하여 개인의 본인 인증에 중앙 서버를 사용하지 않는다. 기존의 신원확인과 달리 개인이 자신의 신원 데이터를 스스로 통제할 수 있다.

디지털 세상에서 내가 나임을 증명하는 것은 아직까지는 물리적 세상에서 주민등록증을 제시하는 것만큼 간편하지도 않고 신뢰성이 높지도 않다. 디지털 ID를 구현하는 것은 인터넷에서 가장 오래된 이슈 중 하나다. 최근에 디지털 ID의 분산 ID 세상을 이끌고 있는 Sovrin 비영리단체의 Founding Trustee인 Drummond Reed는 디지털 식별자가 갖춰야할 4개의 핵심 요소로 영원성(permanent), 판독성(resolvable), 검증성(verifiable), 분산성(decentralized)을 제시한다. 

역사상 이 4가지 요소를 동시에 충족한 식별자는 분산 ID 체계의 기반이 되는 DID밖에 없다고 한다. DID는 식별자에 불과하지만 분산 ID 체계의 최하위단에 DID가 자리 잡고 근본 바탕이 되어 주고 있다. 따라서 DID는 인프라 수준에서 세상을 변화시키는 기술이라는 것을 인식할 필요가 있다. 

본문에서는 DID의 등장이 마이데이터 생태계에 미치는 영향을 개인데이터 사용 용이성 측면에서 제시하고, DID 기반 마이데이터 생태계 모습의 예시 및 DID 활성화를 위한 방안에 대해 언급한다. 

자가발행 및 자가관리에 따른 선별적 공개

W3C는 DID의 활용에 대해 크게 반검열성(Anti-censorship), 정당성(Anti-exploitation), 사용 용이성(Ease of use), 개인정보 보호(Privacy), 그리고 지속가능성(Sustainability)의 5가지 큰 항목으로 분류하고 있다. 

마이데이터와 긴밀한 연관이 있는 개인정보 보호 측면으로 W3C는 중개자 없이 사용이 가능하다는 점, 자가발행 및 자가관리가 가능하다는 점, 인터넷 활동 추적이 어렵다는 점 등 개인정보 보호가 보장된다는 것을 제시하고 있다. 또한 마이데이터와 긴밀한 연관이 있는 사용 용이성 측면으로는 쉬운 재사용성, 사용자가 직접 자격증명을 할 수 있다는 점, 개인데이터를 수집한 기관이 사라져도 지속적으로 활용이 가능하다는 점 등을 제시하고 있다. 

앞서 말한 W3C 문서에서 제시하는 DID 기반 아이덴티티가 제공하는 이점 중 개인정보 보호와 사용 용이성 측면 모두 해당하는 부분은 사용자가 스스로 발행하고 관리할 수 있다는 점(Self-issued, self-managed)이다. 이 점에 대해서 조금 더 상세히 들여다보자.

사용자가 스스로 발행하고 관리할 수 있다는 것은 결국 중개자 없이 내가 내 정보를 자율적으로 활용할 수 있다는 것이다. 현재 우리는 구글, 페이스북, 네이버 또는 카카오라는 중개자를 통해 내 정보를 타 서비스와 공유하는 경우가 대부분일 것이다. 

카카오 로그인을 사용해 본 적이 있다면, 처음 사용하고자 하는 앱에서 카카오로 전환하는 화면을 기억할 것이다. 이 때 카카오 측에서 나에게 묻는다. “이름, 이메일, 프로필 사진을 공유하겠습니까?” 이에 대해 내가 동의한다고 하면 그때서야 새로 사용하려는 앱 서비스를 제공하는 업체로 그 정보가 전송이 된다. 편리하다고 생각할지도 모르겠다. 하지만 내 이름, 이메일, 프로필 사진을 제공하려는데 카카오가 중간에서 알아야 할 이유가 없다. 

내 이름, 이메일, 프로필 사진 등 나에 대한 개인정보를 카카오라는 서비스를 통해서 카카오가 제공하는 범위 내에서 내가 공유할 수 있는 제한된 활용인 것이다. 반면에 DID 기반 아이덴티티 체계에서는 내 정보를 내가 직접 관리하게 된다. 다시 말해 카카오 같은 중개자가 정의한 제한된 환경이 아닌 내가 원하는 범위에서 내가 원하는 정보를 내가 원하는 조건에 따라 공유할 수 있게 되는 것이다. 

이쯤에서 내가 원하는 정보를 내가 원하는 범위에서 내가 원하는 조건에 따라 공유하는 것에 대해 생각해볼 필요가 있다. ETRI에서 발간한 연구조사서에 따르면 이를 선별적 공개(Selective disclosure)라고 부르고 있다. 개인데이터의 선별적 공개는 Sovrin의 백서에서 내세우는 핵심 구현 기술 중 하나로서 ZKP(Zero-Knowledge Proof)라는 기법을 활용해서 가능하다고 한다. 

이는 선별적 동의와는 다른 개념이라는 것을 주시할 필요가 있다. 선별적 공개는 필요 이상의 정보를 공개하지 않고 오로지 요구되는 정보만 공개한다는 개념이다. 생각해보면 물리적 세상에서 우리가 신분증을 사용하는 것보다도 더 개인정보가 보호되도록 해주는 한 차원 높은 방식의 개인정보 공유이다. 

예를 들어 15세미만 관람불가 영화의 표를 사려고 할 때 고등학생의 경우 생년월일 등의 정보를 보여줘야 표를 살 수 있다. 선별적 공개로 인해 같은 고등학생은 생년월일 등을 전혀 알리지 않고 오로지 15세 이상이라는 것만 증명할 수 있게 된다. 다른 예로 동작구 주민센터에 가서 자신이 동작구 주민이라는 것을 증명하기 위해 현재는 자신의 실제 주소를 보여줘야 한다. 선별적 공개가 가능한 세상에서는 주민센터에 가서 주소를 공개하지 않고 오로지 동작구 주민이라는 것만 공개하면서 서비스 받을 자격을 증명할 수 있다. 선별적 공개가 가능해짐에 따라 우리가 얻게 되는 개인정보 보호는 지금과는 현저히 차이남을 실감할 수 있는 예시이다. 

 

DID 기반 마이데이터 세상의 변화

DID 기반 아이덴티티가 적용된 모습을 이해관계자들의 입장에서 상상해 보면 이해하기 쉽다. 의료 및 약 처방 산업이 분산 아이덴티티 기반으로 돌아가는 세상에서 A군이 몸이 아파 의료 진단 및 약을 처방 받고자 한다고 생각해 보자. 

A군은 온라인 의료진단 서비스를 받기 위해 가입을 할 때 생체 인증 기능을 제공하는 스마트폰을 통해 DID를 생성하여 자신에 대해 기입해야하는 정보는 자동으로 제공하고 비밀번호 설정없이 가입한다. 대한의료협회의 허가증을 보유한 B라는 의사는 원격으로 A군의 증상을 진단하고 약 처방을 전자형식으로 A군이라는 사람에게 처방한다. A군은 자신을 진단한 의사가 허가증을 보유하고 있다는 것을 확인할 수 있어 안심하고 처방전을 자신의 스마트폰에 등록하고 약국을 찾아간다. 약국에서 C라는 약사는 A군이 제시하는 처방전을 보고 제시된 처방전이 다른 사람이 아닌 A군에게 처방되었다는 것과 대한의료협회의 허가증을 보유한 의사가 약을 처방하였다는 것을 확인하고 A군을 위해 약을 제조한다. 

여기서 DID가 생성되는 시점을 생각해 보면 1) A군이 의료 서비스 가입할 때, 2) A군과 B의사 간이 진단이 이루어질 때, 3) B의사가 A군에게 약을 처방할 때, 4) C약사가 A군을 위해 약을 제조하고 판매할 때의 4가지 경우가 있다. 이 과정에서 A군은 자신의 주민등록번호를 B의사 및 C약사에게 공개하지 않았다. 아울러 C라는 약사는 A군이 B라는 의사로부터 진단을 받았다는 것은 모르지만 대한의료협회의 허가증을 보유한 의사가 처방하였다는 것만 확인하였다. 아울러 카카오 같은 중개자 없이 오로지 A군의 의료 행위와 관련 있는 주체들만 연관되었다는 것도 현재의 모습과 차이 나는 점이다. 

 

DID 현황 및 전망

디지털 세상에 큰 변화가 일어나고 있다. 블록체인 기반 ID 관리 시장이 2018년에 1000억원 정도에서 2023년에 2.4조원까지 연간 84.5%의 성장률(CAGR)을 보일 것이라는 조사 결과도 있다. 분산ID 기술은 이미 성숙단계에 접어들고 있다.

새로운 기술이 받아들여지고 활성화 되기까지는 당연히 많은 참여자들이 필요할 것이다. 분산 ID의 경우 Holder(주인 또는 개인), Issuer(발급기관), 그리고 Verifier(검증기관)의 3가지 역할이 있다. 많은 신기술 신사업 모델의 경우, 최종 사용자(개인)가 많아지면 활성화되는 경우가 대부분이다. 하지만 분산 ID 체계의 경우는 조금 다르다. 최우선적으로 도입해야하는 역할자는 Issuer(발급기관)들이다. DID 기반으로 학위를 발급하는 학교들, 행정서류를 발급하는 행정기관들, 직원증을 발급하는 회사들, 멤버십을 발급하는 판매업체, 그리고 금융기능을 실어주는 금융회사들의 참여가 필수적이다. 

국내에도 DID 컨소시엄들이 시범 사업을 마치고 본격적인 사업 개시를 앞두고 있다.  현재 발급기관 역할을 담당할 기업과 기관들을 중심으로 참여자가 구성되어 있다. 특히 금융회사들이 적극적으로 참여하고 있어서, 2020년에는 DID기반의 금융서비스가 시작될 것으로 전망된다. 공공부문의 대국민서비스에도 DID는 성과를 발휘할 것이다.