[시론] 개인정보, 이젠 안전하게 지킬 수 있다

개인정보는 안전하게 보호될 수 있을까. ITRC 리서치보고서에 따르면 2017년 미국에서만 이름, 운전면허번호, 의무기록 등이 포함된 개인정보 유출사고 1339건이 있었다. 전 세계적으로는 1억7000만건이 넘었다. 또 사이버공격으로 인해 매년 480조원의 비용이 발생되고 있으며, 은행은 고객의 신원정보를 안전하게 보호하기 위해 해마다 12조원 정도를 쓴다.

우리 개인정보가 중앙화된 시스템에 저장돼 관리되고 있어 해커나 내부직원에 의해 언제나 정보가 유출될 수 있는 가능성이 있는 것이다. 중앙화된 시스템에 저장된 데이터를 각 개인의 스마트폰으로 저장하고 개인 정보검증이 필요한 은행이나 기관은 분산돼있는 블록체인시스템으로부터 개인 정보확인에 필요한 키를 추출해서 확인한다면 안전하게 보호할 수 있을 것이다. 디지털 신뢰사회 구현을 위해 안전하게 개인정보를 관리 및 활용할 수 있는 자기주권신원(SSIㆍSelf-Sovereign Identity) 모델로 블록체인기술을 통해 발전하고 있다.

미성년자처럼 보이는 손님이 호프집에 방문하면 주인은 손님이 미성년자인지 아닌지 확인해야 할 것이다. 호프집 주인은 이를 확인하기 위해 주민등록증을 요구하고 주민등록증에 있는 주민등록번호, 집주소 등 중요한 개인정보가 노출될 수 있다. 블록체인 기반의 SSI솔루션이 실현된다면 손님은 주민등록증 대신 스마트폰에서 본인이 미성년자인지 아닌지에 대한 필요한 정보만 주인의 스마트폰으로 전송하면 된다. 개인정보를 노출하지 않으면서 개인의 신원확인을 SSI를 통해서 안전하게 진행할 수 있다.

블록체인기술 기반의 SSI솔루션에는 중요한 3가지 기술요소가 필요하다. 첫 번째는 분산식별자(DIDㆍDecentralized Identifier)로 DNS(Domain Name System)개념과 유사하다. 예를 들면 인터넷 웹브라우저에서 'www.ibm.com'이라는 주소를 입력하면 인터넷 프로토콜을 사용해 분산돼있는 시스템의 컴퓨터, 서비스 또는 기타 연결된 장치를 찾고 식별하는 데 필요한 IP 주소에 도메인 이름을 매핑하는 역할을 한다. 이와 마찬가지로 DID는 고유식별자 정보를 통해서 개인, 조직, 컴퓨터 및 연결된 장치로 연결한다. 하지만 DID나 개인정보는 블록체인시스템에 저장하지 않는다. 개인정보가 블록체인 분산원장에 저장되지 않아 안전하게 보호할 수 있는 원리다.

두 번째는 검증 가능한 신원증명서로 은행거래를 위해 발급받는 공인인증서와 같은 인증서를 뜻한다. 인증서 발행기관, 소유자, 확인기관들 간에 암호화돼 필요한 정보를 디지털로 통신하는, 디지털 정보인증서다. 마지막은 전자지갑으로 발행기관으로부터 발행된 인증서인 신원증명서 및 암호화키를 저장하는 애플리케이션이다. 이 전자지갑은 개인 스마트폰에 저장된다. 분실ㆍ파손으로 인한 복구를 위한 백업은 클라우드나 USB 같은 디바이스에 저장한다.

SSI솔루션을 이용해 개인 또는 기관 간에 신원증명을 하는 절차는 A라는 신원증명서 소유자가 개인의 DID 정보, 암호화된 개인데이터 및 A의 개인키를 이용해 전자서명해 전송하고 A의 신원을 확인하고자 하는 개인 또는 기관은 그의 DID 정보로 분산된 블록체인시스템으로부터 공용키를 추출해 A임을 안전하게 확인 가능하다. 머지않아 우리는 스마트폰만 가지고 전 세계를 여행할 수 있을 것이다. DID 기반의 디지털 여권으로 신원을 안전하고 투명하게 확인할 수 있을 것이다. 국가 간 연결된 SSI 생태계를 구성하는 데는 적지 않은 시간이 필요할 것이다. 이를 위해 표준화 기관인 소버린, DIF, W3C, 오아시스 등 오픈소스 커뮤니티를 통해 빠르게 변화해나갈 것이다.

박세열 IBM코리아 상무