자기주권 신원 (SSI Self-Sovereign Identity) 인증의 발전 그리고 정보 민주화

 

 

자기 주권 신원 (SSI Self-Sovereign Identity) 인증의 발전 그리고 정보 민주화 (Information Democratization)

최근의 마이데이터(My-Data), STO (Security Token), Password-less Authentication , FIDO, 긱 경제, 프로토콜 경제 등의 정보 민주화에 대한 생각이 나서 정리해 보았습니다.
앞으로 인공지능과 같은 서비스들이 활성화되기 위해서는 개인정보 없이도 정보 분석이 가능하고,  정보의 소유 주체 중심의 개인화가 필요하다고 생각합니다. 

넷프릭스 드라마 블랙미러에서 본 신원정보 노출 위험

이유는 많겠지만 예를 들어 독자 여러분의 사진을 딥페이킹을 해서 해외 금융 계좌를 개설하거나 ,  음성 정보를 이용해서 가상 인간을 만든다면 세상을 어떻게 될까요?

정보화의 미래를 주제로 하는 넷플릭스의 블랙미러라는 시리즈를 보셨는지요?

보신 분들도 계실 텐데 정보 기술로 인한 인간의 생활이 어떻게 변할 수 있는지 아주 극한의 상황들을 보여 주는 드라마 시리즈입니다.

  2023년 넷플릭스 "블랙미러 시리즈 중에  : 존은 끔찍해"를 보셨다면 인공 지능과 결합된 개인 정보의 위험이 어떻게 되는지 상상 이상의 충격을 엿볼 수 있습니다.

주인공이 다니는 인공지능 회사에서 양자 컴퓨팅으로 직원 중에 특정 인물의 일상을 실시간으로 드라마 영상을 제작해서 유튜브에 생중계를 하는데,  실제 인물의 생활을 자극적인 내용으로 왜곡해서 방송하여 그 사람의 인생을 완전히 망가 뜨리는 내용입니다.  주인공은 항의를 하지만 그것에 대한 통제가 불가능하다는 것이고... 등등...

드라마는  앞으로 컴퓨팅의 기술이 발전할수록 우리가 상상하는 그 이상의 정보 변조가 가능하다는 것이고 정보에 대한 자기 주체로서 역할을 할 수 없는 것에 대한 경고를 보여주는 영화였습니다.

이런 드라마의 사례가 아니더라도  현재 개인의 정보를 관리 주체인  플랫폼 사업자 중심의 개인 정보 관리 방식은  점진적으로  정보 민주화라는 방향으로  변화가 될 필요성이 있다고 강조해 봅니다.

1. 디지털신원 DID와 자기주권신원 SSI 그리고 정보 민주화

   - DID와 SSI는 분산화된 신원 관리 기술로 개인들이 디지털 신원과 데이터의 관리 통제의 주체이며,  소유자로서 개인의 자기 주권을 행사하는 역할을 제공합니다.

   - 최근  마이데이터, FIDO, Passwordless 인증 등의 분야에서 블록체인 분산 기술을 활용하여 개인을 정보의 소유와 관리 주체로서의 역할을 강조하고 있으며,  플랫폼의 정보 민주화를 향한 기술로 활용될 전망입니다.

  DID(Decenterized identification)는 블록체인의 분산 원장 기술을 이용하여  개인, 기관의  고유한 식별자를  관리하는 기술입니다. DID는 유일한 값으로 중앙 관리 기관 없이도 개인 정보 보호, 보안 및 상호 운용성을 보장합니다.

  SSI (Self-Sovereign Identity)는 개인 자신이 디지털 신원정보를 독립적으로 관리하고 공유가 가능한 기술 표준입니다.  DID와 같이 분산 기술을 활용하여 중앙 기관 없이도 개인의 신원과 데이터를 소유하고 통제할 수 있으며 데이터 유출과 신용도용의 위험을 줄일 수 있다고 합니다.

    -  DID (Decenterized identification) is a method of creating and managing unique identifiers for entities, such as individuals, organizations, or devices, in a decentralized manner using blockchain or distributed ledger technology.

   - SSI ( Self-Sovereign Identity)  is a philosophy and framework for managing digital identities in a way that puts individuals in full control of their identity information.

2. 신원 인증의 발전

신원인증은 시간이 지남에 따라 발전하여 다양한 세대로 구분될 수 있습니다.

1. 제1 세대 (1st Generation):
   제1 세대 신원인증은 기본적으로 사용자의 이름과 비밀번호를 사용하는 기초적인 ID/PW 인증 방식입니다.
  이는 초기에 널리 사용되었지만 보안성이 낮고 사용자가 비밀번호를 기억하기 어렵다는 문제점이 있습니다.

2. 제2 세대 (2nd Generation):
    제2 세대 신원인증은 추가적인 인증 요소를 도입하여 보안성을 향상한 방식입니다.
    이메일이나 SMS로 보내지는 인증 코드나   OTP(One-Time Password), 지문 인식  등의  2단계 인증(2FA)이 해당됩니다.

3. 제3 세대 (3rd Generation):
    제3 세대 신원인증은 생체 인증과 바이오메트릭 기술을 도입하여 보안성을 강화합니다.
    얼굴 인식, 홍채 인식, 음성 인식 등의 생체 인증 기술을 활용합니다.

4. 제4 세대 (4th Generation):
     제4 세대 신원인증은 분산 원장 기술인 블록체인과 Self-Sovereign Identity(SSO)를 활용하여 개인이 자신의 신원을 주권적으로 관리합니다.
      특히 DID(Decentralized Identifiers)와 SSI(Self-Sovereign Identity)가 제4 세대 신원인증의 핵심 요소로 간주됩니다.

3. 신원 정보의  3가지 속성

신원정보 속성은 개인의 신원을 고유하게 식별하고 확인하는 데에 사용되며,  세계경제포럼(World Economic Forum, WEF)에서는 신원정보의 속성을 다음과 같이 3가지로 구분하고 있습니다.

1. 태생적 속성 (Inherent Attributes):
    태생적 속성은 개인이 태어날 때부터 갖고 있는 변경되지 않는 고유한 속성으로, 개인의 생리적 특징이나 기본적인 정보를 포함합니다.
    ( 예 : 나이, 생일, 성별, 혈액형, 지문 등)

2. 축적된 속성 (Accumulated Attributes):
    축적된 속성은 개인이 시간과 경험에 따라 축적해 온 정보로 개인의 생활이나 활동으로부터 생성되고, 시간이 지남에 따라 변화하는 정보입니다.
    ( 예 : 건강기록, 신용정보, 학력, 경력, 거주지 정보 등)

3. 부여된 속성 (Assigned Attributes):
    부여된 속성은 외부 기관이나 단체에 의해 개인에게 부여된 고유한 정보로 주로 정부나 기타 기관에서 개인을 식별하기 위해 사용됩니다.
    (예 :  주민번호, 여권번호, 운전면허증 번호 등)

4. DID와 SSI의 기술 구성요소

DID의 구성 요소
   1) 분산원장 기술
   2) 디지털 지갑 : 사용자의  DID와 연결된 신원정보를 관리하고 DID 문서를 생성
   3) DID 문서 (신원정보 공개키, 서비스 엔드포인트(URI) 등 )
   4) 공개키/비밀키 : 디지털지갑, DID 연결을 위한 신원 검증하고 , 개인키를 보호
   6) 신원 검증 : DID의 분산원장에서 공개키를 통해 검증 수행

SSI의 구성 요소
   1) DID 기술
   2) 디지털 지갑 : 사용자의 DID와 연결된 신원 정보를 관리, 증명서와 자격증명 보관과 공유
   3) 검증 증명서(Verifiable Credentials)
   4) DID 문서
   5) 영지식 증명(Zero-Knowledge Proofs) : 개인정보를 노출하지 않고 정보 검증이 가능
   6) 합의 메커니즘 : 분산원장의 합의 기술로 신뢰성과 안정성을 보장

5. 정보 민주화(Information Democratization)와 DID와 SSI의 발전 방향

- 정보 민주화 관점의 활용

정보 민주화(Information Democratization)는 개인이 자신의 정보를 소유하고 통제할 수 있도록 하는 개념입니다.
기존의 중앙 집중식 신원 관리 시스템에서는 사용자의 개인 정보가 기업이나 기관에서 관리 되고 있습니다.
정보 민주화는  사용자가 자신의 정보에 대한 주권을 갖도록 함으로써 개인 정보 보호와 자기 주권성을 강화하는데 목적이 있습니다.
DID와 SSI는 개인정보의 소유와 관리에 대한 민주화를 실현하기 위하여 제안된 기술로서 사용자가 자신의 신원 정보를 디지털 지갑에 저장하고, 필요한 경우 선택적으로 제3자와 공유할 수 있도록 합니다. 이를 통해 사용자는 중앙 집중식 신원 관리 시스템에 의존하지 않고도 자신의 신원을 효과적으로 관리하고, 필요에 따라 신원 정보를 안전하게 검증할 수 있습니다.

- DID와 SSI의 활용 분야

1. 디지털 신원 확인
   개인의 신원 정보를 관리하고 검증할 때 필요한 정보만 제공하여  은행, 금융 기관 등  고객의 신원 확인과 계좌 개설을 위한 개인의 정보를 안전하게 관리할 수 있습니다.

2. 건강정보 공유
   개인의 건강정보를 효과적으로 공유하고 활용이 가능합니다.
   개인의 휴대폰에 저장된 운동 활동 정보나, 의료 기관의 건강 기록을  검증하고 공유하는데 용이합니다.

3. 교육 및 학위 증명
    학교 학원 등의 증명서와 학위를 관리하고 인증할 수 있으며, 위조 방지와 학력을 검증하는데 효과적입니다.

4. 디지털 서명 :
    계약서나 문서 등의 디지털적인 서명으로 위조 방지와 정보를 보호하고 검증하는데 이용이 가능합니다.

5. 온라인 서비스 접근 제어:
    사용자 자신의 신원 정보를 제3자에게 안전하게 공유하고 필요한 정보만 제공하여 온라인 서비스에 접근할 수 있어 개인정보 보호와 보안성을 강화할 수 있습니다.

- DID와 SSI의 기술적 한계와 발전 방안

DID와 SSI는 아직 다음과 같은 기술적인 한계가 있으며  이를 해결하기 위한 시간과 노력이 필요합니다.

1. 기술적인 복잡성:
      DID와 SSI는 혁신적인 개념이지만   복잡한 암호화 기술과 블록체인 등의 복잡한 기술로 네트워크의 확장성과 성능의 한계가 있습니다.
      또한 중앙 집중식 신원 시스템을 대체하기 위한 기술적인 도전과 생태계가 필요합니다.


2. 표준화 부재:
     아직 DID와 SSI 분야는 충분한 표준화가 마련되지 못하였습니다. 표준화를 통해서 서로 다른 플랫폼이나 시스템 간의 상호 운용성이 마련되어야 합니다.


3. 개인정보 보호 인식과 보안 위협 :
    디지털 신원의 정보보호를 위한 개인의 정보보호 인식과 교육이 필요하고,  기존 중앙집중식의 신원시스템과의 차이를 인식하고 수용하는데 시간과 노력이 필요합니다.
    개인정보 노출과 해킹으로부터 위협의 방지할 수 있는 보안 체계가 필요합니다.


4. 법적인 문제 :
   신원정보와 디지털 신원 관리의 채택을 위해서는  정부와 타 기관등에서 다양한 법과 규정에 대한 해결해야 할 쟁점들이 있습니다.