대부분의 사람들은 물리적 공간에서 일상적인 삶을 사는 한편으로 디지털 세상과 공존하고 있다. 인간의 기본 욕구를 충족하기 위해 활동하는 물리적 세상만큼이나 여러 유형의 네트워크로 연결된 디지털 세상에서 실제 세계에 버금가는 많은 일을 할 만큼 밀접하게 연결된 것이다. 오히려 물리적인 이동이나 행동 없이 디지털 세계의 활동만으로 일을 끝낼 때도 있다.

 

그런데 5G 같은 더 빠른 네트워크와 수많은 데이터를 처리할 강력한 컴퓨팅 환경을 갖춰 나갈수록 물리적 공간과 디지털 세계의 경계가 희미해질 것으로 예상함에 따라 이용자를 증명하는 본인 확인에 대한 패러다임의 변화가 필요한 시점이다. 기존 서비스 사업자마다 이용자 본인 확인에 필요한 ID를 위한 수많은 개인정보를 받으면서 발생한 수많은 폐해에서 벗어나 민감한 개인정보의 유출 없이 온라인에서 쓸 수 있는 새로운 ID 프레임워크는 단순한 선언이나 법률적인 체계만으로 완성되는 것이 아닌 공동체가 함께 고민해야 할 과제다.

 

ID로 확인하던 이용 자격

소수의 전문가와 연구소, 대학교 등 일부 영역을 제외하고 일반 이용자들이 지금처럼 온라인에서 ID/비밀번호라는 단순 계정 체계가 대중화된 시점은 아마도 PC 통신이 시작된 이후일 것이다. PC에 설치한 모뎀에 전화선을 꽂고 다이얼 업 기반 PC 통신이나 전자 게시판(BBS) 등 접속해 자료실이나 동호회, 채팅 같은 데이터 기반 통신 서비스를 이용할 때 ID와 비밀번호를 입력하는 절차를 거치면서 그 방식에 익숙해지기 시작했으니 말이다.

 

하지만 PC 통신 시절의 ID와 비밀번호 체계는 자격을 확인하는 데 편한 방식이었을 뿐이다. 엄밀히 따지면 ID 이용자와 소유자가 같다고 말할 수 없고, 본인을 확인하는 수단이라고 보기도 어려웠다. 서비스에 접속하거나 이용하기 위한 가입 여부 및 필요한 자격을 확인하는 용도로는 충분했을지 몰라도 처음부터 이용자 본인을 확인하기 위한 목적을 충족하기 위한 개념과 체계는 잡혀 있지 않았기 때문이다.

 

ID에 대한 느슨한 개념으로 인해 서비스를 쓸 수 있는 자격을 가진 ID를 다른 사람과 공유하거나 빌려주는 장면을 보는 것은 어렵지 않았다. 또한 온라인의 개인정보 보호라는 개념이 강하지 않던 때라 생일이나 전화번호 같은 개인정보를 기반으로 ID를 만들기도 했고, 허위 정보를 기반으로 ID를 생성할 수 있었을 뿐만 아니라 다른 사람의 ID를 악용하거나 그럴 수 있는 위험성이 매우 높았다.

 

물론 당시 서비스의 한계로 ID를 본인 인증 목적으로 활용할 가치가 컸다고 보긴 어렵다. 다만 PC 통신을 벗어나 인터넷 시대로 변화를 겪으면서 ID의 쓰임새가 늘어나면서 ID가 가진 함의가 드러나게 된다.

 

ID와 소유자의 동일성 확인

초고속 네트워크가 집집마다 깔리면서 접어든 인터넷 시대에도 기존 ID 체계는 유지된다. 인터넷 서비스를 쓰기 위한 자격을 확인하기 위한 목적으로 ID와 비밀번호 체계는 그대로 이어진 것이다. 하지만 다양한 인터넷 서비스 증가는 단지 서비스를 이용할 수 있는 자격만 부여하는 것이 아니라 ID의 실제 이용자를 확인해야 할 필요성이 더욱 커졌다. 금융, 쇼핑, 게임, 메일, 카페 등 ID를 기반으로 접속한 사용자와 본인이 아닐 경우 타인의 명의도용이나 부정 사용 등 여러 문제를 야기할 가능성이 컸기 때문이다.

 

이러한 상황에서 서비스 사업자들은 인터넷을 통해 이용자들을 직접 확인할 수 없는 비대면 가입을 받을때 어떻게 이용자의 자격을 확인할 수 있는지 방법을 찾아야 했다. 지금처럼 본인 확인 시스템이 개발되지 않은 상태에서 이용자를 확인할 공인된 정보가 필요했던 서비스 업체들은 이용자의 주민등록번호를 활용했다. 주민등록번호는 이용자의 생년월일과 성별, 출생지 등 개인정보가 들어 있는 민감 정보였으나, 객관적으로 이용자를 확인할 방법이 없다는 이유로 이 정보를 입력받아 저장한다. 이 외에도 ID의 소유자와 관련된 갖가지 개인정보를 원활한 서비스에 필요하다는 이유로 수집하는 곳도 적지 않았다.

 

하지만 ID 생성을 위해 서비스마다 입력받은 주민등록번호 같은 개인정보들은 형편없이 취급되고 관리된 결과 큰 후유증을 낳는다. 이용자 본인 확인이나 성인 인증, 중복 가입 방지 같은 목적으로 제공된 주민등록번호와 개인정보들이 대량으로 판매되거나 오픈 마켓, 정유사, 통신사에 보관 중인 개인정보들이 해킹 등으로 유출되는 사고가 끊이지 않았다. 암호화되지 않은 개인정보들이 유출되고 오프라인에서 명의도용에 악용되는 등 수많은 피해 사례가 등장하면서 이에 대한 대책을 요구하는 목소리가 커졌고 정부는 개인정보보호에 관한 법률 제정을 통해 이를 관리하기 시작했다.

 

늘어난 본인 인증 수단과 남은 문제

2004년 입법논의가 시작된 개인정보보호법이 2011년 3월 29일 공포되고 6개월 뒤인 2011년 9월 30일부터 시행된다. 그리고 2012년 2월 18일 이후 온라인상 주민등록번호 수집이 금지된다. 개인정보보호법에 따라 개인정보를 수집 이용하는 경우 정보주체의 동의나 법령에 근거 규정이 경우만 가능하고 회원 탈퇴 때 지체 없이 파기토록 장치가 마련된 것이다. 개인정보보호 관리체계 인증 등 기업들의 개인정보 보호 인식 제고를 위한 교육과 제도를 만들어 나가는 등 개인정보보호에 대한 인식을 바꾸는 노력도 병행된다.

 

이처럼 개인정보보호법은 표면적으로 더 이상 주민등록번호 같은 민감한 개인정보를 서비스 사업자가 저장하지 못하도록 제약을 두는 데 의의가 있지만, 그렇다고 완전히 차단된 것은 아니다. 개인정보보호법 이후 서비스를 이용할 때 주민등록번호 같은 개인정보의 수집을 차단했어도 서비스 이용에 필요한 ID를 생성하려는 사람이 이용자 본인인지 아닌지를 확인하는 본인 확인 서비스는 예외로 뒀기 때문이다. 비록 가입하려는 인터넷 서비스는 이용자의 본인 여부만 한번 확인하면 그만이라 해도 이용자 본인을 확인할 수 있는 개인정보는 다른 인증 서비스에서 관리되는 것이다.

 

지금 공식적인 본인 인증 수단으로 쓸 수 있도록 허용된 것은 공인인증서나 아이핀, 휴대전화에 이어 최근 신용카드 등이다. 이러한 본인 인증 기관들은 이용자의 개인정보를 기반으로 인증 요청을 받으면 별도로 발급한 인증서에 비밀번호를 입력하거나 신용카드 정보, 휴대 전화로 받은 문자나 앱 인증을 통해 서비스에 본인 여부를 통보한다.

 

이처럼 본인 인증 수단은 늘어났지만 몇 가지 문제도 여전히 남아 있다. 인터넷 서비스마다 본인 인증 수단을 취사선택할 수 있는 터라 이용자는 특정한 서비스를 쓰기 위해 허용된 본인 인증기관에 개인정보를 넣어둬야 한다. 또한 중앙화 된 기관을 통한 본인 인증만 통과하면 서비스 이용에 문제가 없고 인터넷 서비스 사업자의 보안 사고가 발생할 때도 절차적 문제가 없고 사용자 피해를 입증하지 못한 경우 책임을 면하는 근거가 되기도 했다.

 

모바일이 바꾼 ID 패러다임

인터넷 서비스를 쓰기 위해 본인 인증을 거쳐 생성된 ID가 한 명의 이용자 또는 그 이용자가 관리하는 하더라도, ID는 온라인에서 이용자의 대신하는 용도 이상은 아니었다. 앱을 중심으로 다양한 서비스를 이용하는 초기 모바일 시대도 이러한 의미는 변하지 않았다.

 

하지만 모바일 시대는 ID의 새로운 면이 부각된다. 기존 인터넷 서비스는 이용자가 ID로 로그인한 뒤 서비스를 닫으면 로그아웃 되면서 서비스를 종료한 반면, 모바일은 서비스를 쓰지 않는 상태에서도 이용자가 계속 서비스를 쓰고 있는 것처럼 작동했다. 즉, 기존의 ID는 오프라인 이용자가 필요한 때만 활용했던 반면, 모바일에서 ID는 자동 로그인 등 훨씬 적극적인 방식으로 작동하면서 능동적으로 사용자 데이터를 수집해 클라우드나 서버로 전송한 것이다.

 

스마트폰이나 웨어러블 장치처럼 다양한 센서를 갖춘 장치들을 통해 수집한 데이터는 이용자의 위치를 포함해 센서로 감지된 운동 데이터와 심박수 같은 신체 데이터 등 민감한 데이터를 포함하고 있었다. 이용자의 동의 없이 민감한 개인정보들이 서비스 개선 및 마케팅에 활용되는 용도로 쓰였고, 이러한 정보를 서버에 저장하고 관리와 취급에 대한 안내도 빈약했다.

 

이용자 동의 없는 개인정보 수집과 활용이 늘어나자 더욱 강력한 개인정보 보호에 대한 요구가 높아졌다. EU를 비롯한 각국 정부는 모든 개인정보에 대해서 보호받을 권리를 주목하고 적법한 근거에 따라 규정된 목적에 맞게 이용자 동의에 따라 활용되고 이용자의 데이터에 접근하고 정정할 권리를 갖도록 하기 위한 원칙을 잡고 규제도 강화한 것도 이 때문이다. 결국 모바일로 불거진 개인정보에 대한 통제와 관리에 대한 문제가 부각되면서 온라인에서 이용자를 대신하던 ID에 대한 관점도 바뀌게 된다.

 

새로운 ID 프레임워크 필요성

인터넷과 모바일 시대를 거쳐 디지털 중심 네트워크 사회로 진화를 가속하는 상황에서 ID는 단순히 서비스를 쓸 수 있는 자격을 넘어 소유자를 가리키는 수단이 됐다. 이 때문에 과거의 신원 확인 시스템을 기반으로 개선해 온 오늘날의 ID는 5G로 가속화되는 디지털 사회에서 쓰임새와 기능을 재점검할 필요가 있다.

 

먼저 지금처럼 서비스마다 중앙화된 본인 인증 방식을 통한 ID 생성을 계속해야 하는가에 대한 문제다. 앞서 지적한 대로 서비스별로 ID를 만들면서 이용자를 인증하는 방식은 본인 인증에 필요한 중요한 개인정보를 통제하고 관리하는 권한을 이용자가 아니라 외부에 맡기는 것이어서 대안이 필요하다.

 

개인정보의 관리와 책임을 이용자가 갖는 자기주권신원지갑(Self Sovereign IDentity)에 대한 관점에서 나온 것이 분산 ID다. 지금처럼 특정 서비스의 서버 안에 자격 증명을 담아 두는 것이 아니라 이용자의 신원을 확인하거나 자격을 증명하는 증명서를 네트워크로 연결된 다양한 장치에 저장하고 이용자의 지문이나 홍채 등 고유 정보를 동원해 이를 확인하는 신원 관리 체계다. 분산 ID를 구현하고 운영하는 방법에 대해선 블록체인을 비롯한 여러 기술을 응용하지만, 적어도 지금처럼 중앙화된 기관을 통하지 않고도 이용자의 신원을 인증할 수 있는 특징이 있어 국내외 IT 기업이 이에 대한 실증 작업을 진행 중이다.

 

그렇다고 분산 ID가 무조건적인 해결책이라고 할 수 없다. 단지 이용자의 본인 확인에 중점을 두던 기존 오프라인 신원 증명에 기반을 둔 ID 체계에서 하기 어려웠던 개인정보 통제와 관리의 권한을 이용자에게 돌려주고 ID에 대한 복잡성을 줄이는 장점은 분명히 있다. 그러나 이용자에게 개인정보의 통제와 관리 권한을 돌려주는 일이라도 공동체가 이를 받아들일 수 있는 논의와 준비가 없으면 새로운 ID 체계에 대한 혼란만 키울 가능성도 있다. 하지만 이 논의는 피할 수 없다. 디지털 세계에서 이용자를 안전하게 증명하는 새로운 ID 프레임워크는 데이터 기반 사회로 가는 가장 중요한 열쇠이기 때문이다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/report_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.