한경닷컴 더 라이피스트
ID(Identification)는 신분증이다.
'내'가 '나'라는걸 다른 사람들이 믿어주고 확인해 주는 증명(또는 증명서)을 ID라 한다. 온라인에서 개인과 개인, 개인과 기업, 개인과 플랫폼 등 모든 거래에 있어 가장 먼저 해야 할 것은 내가 누구인가를 밝히고 확인해야 거래가 가능하다. 플랫폼이던 쇼핑몰이던 거래하고자 하는 상대방이 누구인가를 특정하고 구별할 수 없다면 당연히 거래할 수 없을 것이다.
여기서 얘기하는 내가 누구인가는 ID(디지털신원증명)를 의미하는데 디지털 신원증명이란 온라인 상 개인이나 특정된 디바이스를 고유하게 식별할 수 있는 정보를 의미한다.
오프라인 실생활에서 우리가 살아가는데 필요한 ID는 주민등록증 하나만 있으면 대부분 해결 된다. 그러나 전국에 있는 동명이인이 다 모이면 보통 수백 명이 넘는다. 그나마 오프라인에서는 얼굴과 생김생김 그리고 나이 주소 등 서로 다른 요소로 구분이 가능하지만 온라인에서는 이름만으로는 확인과 구분이 어렵다.
이렇게 온라인에서 이름만 가지고 구별이 불가능 하다 보니 동일한 ID는 등록이 안 되고 각기 다른 형태의 ID를 요구하고 또 각 플랫폼마다 보안을 이유로 서로 다른 비밀번호 체계를 요구한다.
통상 인터넷 사용자의 18% 이상은 50개가 넘은 ID를 보유하고 있으며, 30개 이상의 ID 보유자는 36%, 40개 이상은 5%, 나머지 거의 대부분 인터넷 사용자는 최소 10개 이상의 ID를 보유하고 있다고 한다.
그런데 각 플랫폼마다 요구하는 ID 형태와 비번이 다르다 보니 이를 기억하기도 어렵고 일 년에 한두 번 가끔 방문하는 플랫폼일 경우 방문할 때마다 잊어버린 ID와 비번을 찾기 위해 다시 한 번 회원 가입 절차와 동일한 확인 작업을 거치기 일쑤다.
그 결과 SAML 인증을 이용한 간접 인증방법을 통한 ID 관리방식이 주를 이루게 되었는데 (새 사이트에 가입할 때 카카오나 네이버, 구글을 통한 신분확인 방법) SAML은 신뢰할 수 있는 대표 ID 공급자를 활용하여 광범위한 비 제휴 웹사이트에서 사용자를 중심으로 인증하는 신원 확인 방법이다.
이는 신뢰할 수 있는 단일 ID 공급자에게서 새로운 사이트에 인증 프로세스를 전달함으로써 새로 가입하는 사이트는 다양한 보안 및 관리, 비용 절감 이점을 달성할 수 있으며, 인증 서비스를 제공하는 플랫폼은 대가로 수수료를 받는다. 이러한 방법은 사용자에게 수십 개의 서로 다른 사용자 이름과 비밀번호의 관리 필요성을 줄여준다.
비영리 컨소시엄 OASIS가 만들어낸 SAML(Security Assertion Markup Language)은 오픈 소스 XML 표준(프로토콜)으로, SafeNet Trusted Access와 같은 ID 공급자와 신뢰 당사자 또는 서비스 공급자 간에 인증 및 권한 부여 정보를 교환하는 데 이용되는데, 서비스 공급자는 즉 Office 365, Salesforce, AWS, Zendesk, DropBox와 같은 클라우드 또는 웹 앱을 의미하며, 토큰 기반 인증, 보안 토큰 서비스, 연합 인증(federated authentication), ID 연합(identity federation)은 모두 SAML ID 공급자가 제공하는 기능을 설명하는 용어다.
우리나라 인터넷 디지털 ID의 발전 과정을 간단히 구분하면 다음과 같다고 할 수 있다.
먼저 개별 신원인증 방식으로 인터넷 초기에 여러 인터넷/서비스에 각각의 계정을 통해 인증하는 방식. 네이버, 구글 등 인터넷 포털 서비스 등에 회원별로 가입할 때 만든 계정으로 본인을 증명하는 방법으로 1세대로 구분 할 수 있다. 관련 프로토콜로는 TLS(Transport Layer Security)와 SSL(Secure Socket Layer) 등이 있다.
다음으로 등장한 방법이 연합 신원인증 방식으로 신뢰할 수 있는 한 기업이나 기관에서 발급받은 인증을 다른 곳에 연동해 사용하는 방식으로 각 사이트별 개별 계정에 일일이 접속하는 번거로움을 해결하고, 한 곳의 보안 사고가 다른 곳에 영향을 미치지 않도록 하기 위해 고안된 방식으로 2세대로 구분할 수 있다. 관련 프로토콜로는 위에 설명한 SAML(Security Assertion Markup Language), OAuth, OpenID 등이 있다.
이제 블록체인의 등장과 Web3.0 바람이 불면서 자기 주권 신원인증 방식 일명 SSI (Self Sovereign Identity)이 등장하는데 제3자의 개입 없이 개인이 주권을 가지고 신원을 관리/이용할 수 있는 새로운 패러다임의 신원 인증 방식이다.
이는 자신의 개인정보를 사용자가 직접 관리하는 방식인데 주로 모바일 단말기를 통해 자기증명의 제출과 서비스 사용이 가능한 방식으로 현재 자기주권 신원 모델 구현 및 확산을 위해 국제 웹 표준기구 월드와이드웹컨소시엄(W3C) 주도로 분산ID 모델 관련 표준화가 진행 중이다.
물론, DID (Decentralized Identification)를 수단으로 하는 SSI(자기주권 신원)의 핵심 가치는 검증되는 데이터의 종류가 아니라 데이터의 주권이 특정 기관이나 기업에서 개인으로 이동하는데 그 중점을 두고 있기에 한정된 개인 정보만을 가지고 특별한 차이점 없이 ‘로그인 방식 중 하나’인 식으로 접근하고 있는 현 방식은 오히려 불편함을 가중시키고 보안책임만을 떠넘기는 것과 다름이 없다.
현재까지 진행된 블록체인 기반의 DID를 위시한 SSI (Self Sovereign Identity 자기주권신원)가 확대되기 위해선 더 가볍고, 실생활에 가까운 개인 정보/신분 인증을 활용할 수 있는 방법에 대한 고민이 필요하다고 보인다.
그런데 필자가 지적하고 싶은 내용은 이러한 모든 ID의 용도가 자기 신분의 확인용도 외에 다른 용도로 활용되는 부분이 거의 없기에 그 활용도가 많이 떨어진다는 점이다.
그것은 실생활에서의 ID나 인터넷 ID나 동일한데 실제로 실생활에서의 ID 활용도는 일 년에 한두 번 신원 확인을 위해 제시될까 말까 할 정도로 그 사용빈도가 매우 낮다.
아마 대부분의 사용자는 일 년에 한 번도 신분증을 제시해본 적이 없는 사람이 대부분일 것이다. 물론 인터넷에서도 플랫폼에 접근할 때 역시 최초 한번 제시 인증하고 나면 그만이다.
이 부분에 대한 고찰은 신원(Identity)이 하나의 고정된 개념이 아니라는 점이다.
세계경제포럼(WEF)에서는 신원정보의 속성을 3가지로 구분한다.
첫째 나이, 생일, 지문을 비롯한 태생적 속성(Inherent Attributes)과 둘째 건강기록, 신용정보 등의 축적된 속성(Accumulated Attributes), 그리고 세 번째 주민/여권번호 등 국가나 기관에서 부여된 속성(Assigned Attributes)이 그것이다.
하지만 국내에서 개발 진행 중인 대부분의 DID를 포함한 현재의 신원인증 개념은 태생적 속성과 부여된 속성에만 집중하고 있다.
그러다보니 우리나라에서 진행되고 있는 모든 ID 관련 사업이 ‘공인인증서 대체’가 DID의 가장 큰 목표가 되어버렸고, 그러다보니 공인인증서를 기준으로 하는 금융실명법 등의 현행법과 계속 충돌하고 있다.
반면, 훨씬 다양한 영역(그리고 실생활에 가까운 영역)에 쓰일 수 있는 신원 정보가 포함된 ‘축적된 속성’은 큰 의미를 부여받지 못하고 있다.
필자는 이와 같이 사용빈도가 낮은 ID가 아닌 사용빈도가 높은 '살아있는 ID'라는 개념을 갖춘, 또 내 권리와 내 주권을 수시로 확인하고 각종 기능을 포함하고 있어 온 오프라인 생활에서 유용한 ID를 개발하고 론칭하는 것이 어떨까 하는 생각을 하고 있다.
죽어있는 ID, 필요할 때만 꺼내드는 ID가 아니라 "늘 내 생황에 함께 살아있는 ID"를 추구하는 ID로 그 개념을 확장할 필요가 있다는 점이다.
요즘 대기업이나 커다란 빌딩을 출입하려면 출입 카드를 접촉해야 한다. 하다못해 엘리베이터에도 특정된 출입 카드를 접촉해야 가고자하는 층수를 누를 수 있다.
결국 해당 건물이나 단체를 드나들기 위해서 대부분의 사람들은 출입 카드를 목에 걸고 다니며 출입 카드는 나름 해당 건물이나 기업의 로고나 예쁜 디자인이 되어있는 카드를 제작한다.
결국 특정지역을 다닐 때 내가 이곳을 드나들 자격이 있다는 의미로 출입카드를 목에 걸고 다니듯 온라인상에서도 ID를 앞세우고 다닐 수 있게 할 수 있지 않을까 하는 생각을 해본 것이다.
메타버스는 대세다. 페이스북이 사명을 메타로 바꿀 정도로 앞으로 세상을 바꿀 가장 강력한 변화는 메타버스가 이끌 것 같다는 점에 아무도 이견이 없다.
그래서 메타버스 세상에서의 ID의 존재와 가치에 대하여 수많은 기업이 주도권을 쥐고자 노력하고 있다. 세계적인 디지털솔루션 기업 세일즈포스닷컴의 CEO 브랫테일러는 3월30일자 매일경제신문과의 인터뷰에서 메타버스 시대의 ID의 가치에 주목하고 이 분야에 적극 진입하고 있음을 강조하고 있다.
날이 갈수록 세계는 하나로 이어지고 인공지능과 메타버스관련 기술의 발전은 전 세계 어디서나 인정받는 ID에 대한 필요성이 대두되고 있으며 ID의 가치와 그 사용방법에 큰 변화가 오고 있는 느낌이다.
필자는 이제 ID가 그냥 신원증명을 넘어 또 다른 생태계를 만들 수 있는 하나의 키워드가 되지 않을까 하는 생각에 어떤 ID가 '살아있는 ID'가 될 것인가에 대한 관심이 많고 우리 역시 우리가 주도하는 새로운 ID체계를 준비해야 할 것이다.
<한경닷컴 칼럼니스트> 신근영
ID(Identification)는 신분증이다.
'내'가 '나'라는걸 다른 사람들이 믿어주고 확인해 주는 증명(또는 증명서)을 ID라 한다. 온라인에서 개인과 개인, 개인과 기업, 개인과 플랫폼 등 모든 거래에 있어 가장 먼저 해야 할 것은 내가 누구인가를 밝히고 확인해야 거래가 가능하다. 플랫폼이던 쇼핑몰이던 거래하고자 하는 상대방이 누구인가를 특정하고 구별할 수 없다면 당연히 거래할 수 없을 것이다.
여기서 얘기하는 내가 누구인가는 ID(디지털신원증명)를 의미하는데 디지털 신원증명이란 온라인 상 개인이나 특정된 디바이스를 고유하게 식별할 수 있는 정보를 의미한다.
오프라인 실생활에서 우리가 살아가는데 필요한 ID는 주민등록증 하나만 있으면 대부분 해결 된다. 그러나 전국에 있는 동명이인이 다 모이면 보통 수백 명이 넘는다. 그나마 오프라인에서는 얼굴과 생김생김 그리고 나이 주소 등 서로 다른 요소로 구분이 가능하지만 온라인에서는 이름만으로는 확인과 구분이 어렵다.
이렇게 온라인에서 이름만 가지고 구별이 불가능 하다 보니 동일한 ID는 등록이 안 되고 각기 다른 형태의 ID를 요구하고 또 각 플랫폼마다 보안을 이유로 서로 다른 비밀번호 체계를 요구한다.
통상 인터넷 사용자의 18% 이상은 50개가 넘은 ID를 보유하고 있으며, 30개 이상의 ID 보유자는 36%, 40개 이상은 5%, 나머지 거의 대부분 인터넷 사용자는 최소 10개 이상의 ID를 보유하고 있다고 한다.
그런데 각 플랫폼마다 요구하는 ID 형태와 비번이 다르다 보니 이를 기억하기도 어렵고 일 년에 한두 번 가끔 방문하는 플랫폼일 경우 방문할 때마다 잊어버린 ID와 비번을 찾기 위해 다시 한 번 회원 가입 절차와 동일한 확인 작업을 거치기 일쑤다.
그 결과 SAML 인증을 이용한 간접 인증방법을 통한 ID 관리방식이 주를 이루게 되었는데 (새 사이트에 가입할 때 카카오나 네이버, 구글을 통한 신분확인 방법) SAML은 신뢰할 수 있는 대표 ID 공급자를 활용하여 광범위한 비 제휴 웹사이트에서 사용자를 중심으로 인증하는 신원 확인 방법이다.
이는 신뢰할 수 있는 단일 ID 공급자에게서 새로운 사이트에 인증 프로세스를 전달함으로써 새로 가입하는 사이트는 다양한 보안 및 관리, 비용 절감 이점을 달성할 수 있으며, 인증 서비스를 제공하는 플랫폼은 대가로 수수료를 받는다. 이러한 방법은 사용자에게 수십 개의 서로 다른 사용자 이름과 비밀번호의 관리 필요성을 줄여준다.
비영리 컨소시엄 OASIS가 만들어낸 SAML(Security Assertion Markup Language)은 오픈 소스 XML 표준(프로토콜)으로, SafeNet Trusted Access와 같은 ID 공급자와 신뢰 당사자 또는 서비스 공급자 간에 인증 및 권한 부여 정보를 교환하는 데 이용되는데, 서비스 공급자는 즉 Office 365, Salesforce, AWS, Zendesk, DropBox와 같은 클라우드 또는 웹 앱을 의미하며, 토큰 기반 인증, 보안 토큰 서비스, 연합 인증(federated authentication), ID 연합(identity federation)은 모두 SAML ID 공급자가 제공하는 기능을 설명하는 용어다.
우리나라 인터넷 디지털 ID의 발전 과정을 간단히 구분하면 다음과 같다고 할 수 있다.
먼저 개별 신원인증 방식으로 인터넷 초기에 여러 인터넷/서비스에 각각의 계정을 통해 인증하는 방식. 네이버, 구글 등 인터넷 포털 서비스 등에 회원별로 가입할 때 만든 계정으로 본인을 증명하는 방법으로 1세대로 구분 할 수 있다. 관련 프로토콜로는 TLS(Transport Layer Security)와 SSL(Secure Socket Layer) 등이 있다.
다음으로 등장한 방법이 연합 신원인증 방식으로 신뢰할 수 있는 한 기업이나 기관에서 발급받은 인증을 다른 곳에 연동해 사용하는 방식으로 각 사이트별 개별 계정에 일일이 접속하는 번거로움을 해결하고, 한 곳의 보안 사고가 다른 곳에 영향을 미치지 않도록 하기 위해 고안된 방식으로 2세대로 구분할 수 있다. 관련 프로토콜로는 위에 설명한 SAML(Security Assertion Markup Language), OAuth, OpenID 등이 있다.
이제 블록체인의 등장과 Web3.0 바람이 불면서 자기 주권 신원인증 방식 일명 SSI (Self Sovereign Identity)이 등장하는데 제3자의 개입 없이 개인이 주권을 가지고 신원을 관리/이용할 수 있는 새로운 패러다임의 신원 인증 방식이다.
이는 자신의 개인정보를 사용자가 직접 관리하는 방식인데 주로 모바일 단말기를 통해 자기증명의 제출과 서비스 사용이 가능한 방식으로 현재 자기주권 신원 모델 구현 및 확산을 위해 국제 웹 표준기구 월드와이드웹컨소시엄(W3C) 주도로 분산ID 모델 관련 표준화가 진행 중이다.
물론, DID (Decentralized Identification)를 수단으로 하는 SSI(자기주권 신원)의 핵심 가치는 검증되는 데이터의 종류가 아니라 데이터의 주권이 특정 기관이나 기업에서 개인으로 이동하는데 그 중점을 두고 있기에 한정된 개인 정보만을 가지고 특별한 차이점 없이 ‘로그인 방식 중 하나’인 식으로 접근하고 있는 현 방식은 오히려 불편함을 가중시키고 보안책임만을 떠넘기는 것과 다름이 없다.
현재까지 진행된 블록체인 기반의 DID를 위시한 SSI (Self Sovereign Identity 자기주권신원)가 확대되기 위해선 더 가볍고, 실생활에 가까운 개인 정보/신분 인증을 활용할 수 있는 방법에 대한 고민이 필요하다고 보인다.
그런데 필자가 지적하고 싶은 내용은 이러한 모든 ID의 용도가 자기 신분의 확인용도 외에 다른 용도로 활용되는 부분이 거의 없기에 그 활용도가 많이 떨어진다는 점이다.
그것은 실생활에서의 ID나 인터넷 ID나 동일한데 실제로 실생활에서의 ID 활용도는 일 년에 한두 번 신원 확인을 위해 제시될까 말까 할 정도로 그 사용빈도가 매우 낮다.
아마 대부분의 사용자는 일 년에 한 번도 신분증을 제시해본 적이 없는 사람이 대부분일 것이다. 물론 인터넷에서도 플랫폼에 접근할 때 역시 최초 한번 제시 인증하고 나면 그만이다.
이 부분에 대한 고찰은 신원(Identity)이 하나의 고정된 개념이 아니라는 점이다.
세계경제포럼(WEF)에서는 신원정보의 속성을 3가지로 구분한다.
첫째 나이, 생일, 지문을 비롯한 태생적 속성(Inherent Attributes)과 둘째 건강기록, 신용정보 등의 축적된 속성(Accumulated Attributes), 그리고 세 번째 주민/여권번호 등 국가나 기관에서 부여된 속성(Assigned Attributes)이 그것이다.
하지만 국내에서 개발 진행 중인 대부분의 DID를 포함한 현재의 신원인증 개념은 태생적 속성과 부여된 속성에만 집중하고 있다.
그러다보니 우리나라에서 진행되고 있는 모든 ID 관련 사업이 ‘공인인증서 대체’가 DID의 가장 큰 목표가 되어버렸고, 그러다보니 공인인증서를 기준으로 하는 금융실명법 등의 현행법과 계속 충돌하고 있다.
반면, 훨씬 다양한 영역(그리고 실생활에 가까운 영역)에 쓰일 수 있는 신원 정보가 포함된 ‘축적된 속성’은 큰 의미를 부여받지 못하고 있다.
필자는 이와 같이 사용빈도가 낮은 ID가 아닌 사용빈도가 높은 '살아있는 ID'라는 개념을 갖춘, 또 내 권리와 내 주권을 수시로 확인하고 각종 기능을 포함하고 있어 온 오프라인 생활에서 유용한 ID를 개발하고 론칭하는 것이 어떨까 하는 생각을 하고 있다.
죽어있는 ID, 필요할 때만 꺼내드는 ID가 아니라 "늘 내 생황에 함께 살아있는 ID"를 추구하는 ID로 그 개념을 확장할 필요가 있다는 점이다.
요즘 대기업이나 커다란 빌딩을 출입하려면 출입 카드를 접촉해야 한다. 하다못해 엘리베이터에도 특정된 출입 카드를 접촉해야 가고자하는 층수를 누를 수 있다.
결국 해당 건물이나 단체를 드나들기 위해서 대부분의 사람들은 출입 카드를 목에 걸고 다니며 출입 카드는 나름 해당 건물이나 기업의 로고나 예쁜 디자인이 되어있는 카드를 제작한다.
결국 특정지역을 다닐 때 내가 이곳을 드나들 자격이 있다는 의미로 출입카드를 목에 걸고 다니듯 온라인상에서도 ID를 앞세우고 다닐 수 있게 할 수 있지 않을까 하는 생각을 해본 것이다.
메타버스는 대세다. 페이스북이 사명을 메타로 바꿀 정도로 앞으로 세상을 바꿀 가장 강력한 변화는 메타버스가 이끌 것 같다는 점에 아무도 이견이 없다.
그래서 메타버스 세상에서의 ID의 존재와 가치에 대하여 수많은 기업이 주도권을 쥐고자 노력하고 있다. 세계적인 디지털솔루션 기업 세일즈포스닷컴의 CEO 브랫테일러는 3월30일자 매일경제신문과의 인터뷰에서 메타버스 시대의 ID의 가치에 주목하고 이 분야에 적극 진입하고 있음을 강조하고 있다.
날이 갈수록 세계는 하나로 이어지고 인공지능과 메타버스관련 기술의 발전은 전 세계 어디서나 인정받는 ID에 대한 필요성이 대두되고 있으며 ID의 가치와 그 사용방법에 큰 변화가 오고 있는 느낌이다.
필자는 이제 ID가 그냥 신원증명을 넘어 또 다른 생태계를 만들 수 있는 하나의 키워드가 되지 않을까 하는 생각에 어떤 ID가 '살아있는 ID'가 될 것인가에 대한 관심이 많고 우리 역시 우리가 주도하는 새로운 ID체계를 준비해야 할 것이다.
<한경닷컴 칼럼니스트> 신근영
블루밍비트 뉴스룸
news@bloomingbit.io뉴스 제보는 news@bloomingbit.io뉴스에 대한 의견과 질문을 자유롭게 남겨보세요!
방금 읽은 기사 어떠셨나요?