[김정민 변호사] 최근 금융결제원은 블록체인 기반 분산 ID(DID, Decentralized Identity)을 활용한 모바일 신분증 서비스를 최초로 상용화하겠다고 밝혔다.

ID란 '내'가 '나'임을 증명하는 자기 신원증명인데, 그동안 공인인증서와 주민등록증이 가장 보편화된 ID였다. 이제 블록체인 기술을 발달로 이를 대신할 디지털 환경에서 '분산ID(DID, 모바일신분증)'가 가능해졌다. 모든 신원인증을 스마트폰 앱 내의 디지털 ID가 대체하는 시대가 눈앞으로 다가온 것이다.

사실 블록체인을 이용한 최초의 대중화 사례는 ID플랫폼이 될 것이라는 이야기가 많이 있었다. 마이크로소프트는 지난 5월 비트코인을 이용한 탈중앙화 신원 플랫폼 아이온(ION) 프로젝트를 공개한 바 있다.

블록체인기술, 디지털 ID 보급으로 대중화 가능성

대중들은 블록체인기술이 혁신적인 기술이라는 것은 인정하겠는데, 왜 쓸만한 서비스가 아직 나오지 않느냐고 반문을 한다. 이에 대해 블록체인업계는 암호화폐 이외에 블록체인의 대중화를 이끌 기술이 더 늦기 전에 튀어나와야 한다는 위기감을 느끼고 있다고 한다.

작년, 가장 큰 이슈가 된 페이스북 개인정보 유출 사고를 보자. 필자는 여기서 무언가가 튀어나올 것이라고 예상했었다. 페이스북 해킹으로 전세계 5천만명의 개인정보가 유출됐고, 한국인 피해 계정도 3만 개 이상이었다. 특히 우려되는 것은 페이스북 계정으로 로그인 할 수 있는 많은 다른 서비스까지 위험에 노출됐다는 것이다.
 
ID시스템이 중앙집중에서 블록체인으로 옮겨가는 것은 거스를 수 없는 흐름이 되고 있다. 블록체인 ID플랫폼은 고객의 개인정보를 분산하여 저장한다. 분산 저장된 개인 정보는 사용자 맞춤형으로 관리되고 타 서비스를 이용할 때는 필수적인 개인 정보만 서비스 제공자에게 안전하게 전달될 수 있다. 

서비스 기업 입장에서 블록체인 기반 ID플랫폼이 주는 이점은 로그인 서버를 직접 운영할 필요가 없고, 블록체인의 안정성이 개인정보의 해킹 위험을 거의 없앤다는 것이다. 사용자 입장에서는 안전하면서도 자신의 개인정보를 일일이 통제할 수 있다는 점이 강점이다.

내가 A회사에 개인정보를 입력하고, A회사가 B회사에 내 개인정보를 제공하는 것이 아니라, 나 자신이 어떤 회사에 어떤 정보를 얼마동안 제공할지를 개별적으로 통제할 수 있다는 것이다. (현재는 정보주체가 체크, 체크 후 동의만 하고 있고, 자신이 어떤 내용에 동의했는지 기억하는 사람도 없다.)

구글이나 페이스북, 네이버 등 대형 인터넷 서비스 업체들은 엄격해지고 더 촘촘해지는 정보보호 규제에 대응하고 사용자의 요구사항도 충족하기 위해서, ID플랫폼을 새롭게 디자인하면서 블록체인 도입을 고려할 수밖에 없을 것이다.

DID의 편리성, 개인정보 한데 모은후 필요한 만큼 제공하기 

블록체인 ID플랫폼의 실질적 이익은 편리성이다. 우리는 새로운 서비스를 이용하고자 할 때, 상당한 정보를 직접 기입해야하는 폼들을 마주한다. 도합 몇 분 정도의 시간이지만 상당히 귀찮은 일이라 느끼기도 한다. 은행에서 대출을 받을 때는 어떠한가, 수많은 요청서류를 여러 기관을 일일이 다니면서 발급받거나 인터넷 증명서 시스템을 이용해 종이로 출력해서 제출한다. 졸업증명서는 어떠한가, 변호사자격증명원은 또 어떠한가?

은행, 정부기관, 서비스 제공자가 필요로 하는 모든 정보가 분산되어 저장되어 있고, 나는 휴대폰에서 어떤 어떤 정보를 누구에게 줄지 클릭 몇 번으로 설정하여 전송할 수 있는 세상이 성큼 다가왔다. 대출처인 은행에서 블록체인 ID플랫폼을 통해 나에게 필요서류를 요청하고, 나는 휴대폰 앱으로 같은 플랫폼에서 접속하여 서류목록을 확인하고 승인버튼만 누르면 된다. 그러면 승인한 증명서 등 서류와 정보가 은행에 전송된다. 

이런 편리한 서비스가 지금까지 이루어질 수 없었던 이유는 개인정보보호법과 같은 규제가 있기 때문이다. 정보가 한 곳에 모이기 위해서는 제3자 제공 동의가 필수적인데 이를 새롭게 받기가 여간 까다로운 것이 아니다. 그리고 정보가 한곳에 모여 있으면, 해킹을 통한 정보유출의 파장이 너무 크다. 그래서 정보는 분산해 관리해야 한다.
   
우리나라 개인정보보호법, 유럽연합(EU) GDPR(General Data Protection Regulation:일반개인정보보호법)의 핵심은 개인정보의 개별적인 통제권한이 사용자에게 있도록 하는 것이다. 구체적으로 EU GDPR에서는 ①열람권(제15조), ②정정권(제16조), ③삭제권(제17조), ④ 처리 제한권(제18조), ⑤개인정보 이동권(제20조), ⑥반대권(제21조), ⑦프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리(제22조) 등 권리를 부여해 기존 정보주체의 권리를 확대 강화했다. 또한 정보주체의 ‘동의’를 ‘개별적’이고 ‘특정’되어야 하고, 그 의사표시는 명확해야 한다고 한다. 이에 따르면 정보주체는 특정 목적에 관해서, 특정 정보만을 개별적으로 동의할 수 있어야 한다. 동의의 철회도 동일한 방식으로 할 수 있어야 한다.
 
이러한 세세하고 개개인 맞춤형, 목적 맞춤형 동의는 기존의 방식으로는 이루어지기 힘들다. 동의 문구를 포함하는 이용 약관을 화면에 노출해 연속적으로 내리게 하는 것은 동의의 명확성 요건을 충족하지 못하는 것으로 이해된다. 정보주체가 앱을 통해 구체적 개별적으로 체크를 하고 동의를 하는 방식이 필요하다.

공인인증서, 편리하지도 안전하지도 않아...DID로 대체될 것

지금까지 멸종하지 않고 있는 공인인증서라는 '공룡'은 편리하지도 안전하지도 않다. 대신 비용까지 발생한다.

블록체인 ID플랫폼이 규제에 맞게 제대로 만들어진다면, 더 이상 공인인증서를 이용해 자신의 신원을 인증할 필요가 없다. 나아가 정보주체가 자신의 개인정보를 일일이 제어할 수 있고, 제어 과정을 자세하게 로그를 남겨 차후에도 관리가 가능하다. 이를 기초로 하여 무궁무진한 서비스가 개발될 것으로 보인다. 정보주체 스스로 자신의 정보를 익명화하여 빅데이터 회사에 팔 수도 있고, 그 데이터를 이용한 서비스를 거꾸로 받을 수도 있다. 이 과정이 클릭 몇 번으로 가능하게 되는 것이다.

이미 멸종되었어야 할 공인인증서라는 공룡이 멸종하는 과정, 블록체인 ID플랫폼 위에서 우리 스타트업들이 창의적인 서비스를 개발하는 과정을 옆에서 지켜볼 생각을 하니 뿌듯하고 행복하다.

김정민 변호사 다른기사 보기