검색
LAW&스마트

분산ID 기술표준

166824.jpg

이용하는 웹 사이트가 늘어나면서 어느 순간부터는 ID와 비밀번호 리스트를 따로 정리해 두지 않고는 사이트 이용이 어려워졌다. 누구나 핸드폰 메모장에는 자신이 가입한 사이트와 그 사이트의 ID 및 비밀번호를 정리한 리스트 정도는 하나씩 있지 않나? 하지만 이런 번거로움에서 조만간 벗어날 수도 있을 것 같다.

 

금융보안원이 개발한 '분산ID(Decentralized IDentity)를 활용한 신원관리 프레임워크'가 한국정보통신기술협회(TTA) 표준총회에서 정보통신 단체표준으로 채택되었다. 분산ID는 온라인상에서 정보 주체가 자신의 신원정보를 관리·통제함으로써 개인정보보호를 강화한 신원증명 체계로서 전통적인 중앙화 방식의 서버-클라이언트 모델과 달리 정보 주체가 자신의 신원정보에 대한 주권 행사로서 신원정보의 증명 관리, 사용방법과 목적을 결정하는 것이 가능하다. 현재 시장에서는 컨소시엄 형태의 다수의 분산ID 민간사업자가 정부의 온라인 신원증명 활성화 정책에 맞는 서비스를 개발·도입하고 있는 상황이다. 전 세계적으로 프라이버시를 보호하는 움직임과 더불어 각 서비스제공 기관마다 사용자 인증정보 및 개인정보를 관리함에 따른 위험성 및 불편함에 대한 개선 필요성이 부각되었다. 특히, 사용자의 신원정보가 글로벌 서비스 제공자에게로 집중됨으로써 발생하는 프라이버시 침해 가능성 우려, 정보주체 입장에서는 개별 서비스마다 인증정보를 다르게 설정, 관리하는 것에 어려움을 느껴 여러 서비스에 동일한 인증정보를 설정하기도 하는데 해커가 이를 이용하여 '크리덴셜 스터핑(Credential Stuffing)' 공격이라고 하여 하나의 서비스에서 탈취한 인증정보를 기반으로 사용자가 사용할 만한 다른 사이트를 찾아 무작위로 인증을 시도하는 공격을 수행하고 있는 만큼 정보주체가 그 공격에 노출될 위험 등 전통적인 신원관리의 문제점이 지적되어 왔고, 그에 따라 블록체인을 기반으로 신원권리권을 사용자에게 두는 분산형 신원관리에 대한 연구 및 사업이 해외뿐 아니라 국내에서도 몇 년간 활발하게 진행되었다. 2020년 전자서명법 개정으로 공인인증서에 부여했던 우월적 지위도 사라졌다. 이러한 상황에서 분산ID 표준이 선정된 것이다.

 

아직 갈 길은 멀지만 공인인증서를 대체하는 여러 방식과 관련해서 정보주체나 사업자들에게 좋은 선택권이 부여될 것만큼은 명확하다. 인간을 널리 이롭게 하는 기술이라면 언제든 환영이다.

 

 

이근우 변호사 (법무법인 화우)

리걸에듀

관련 법조인