우리 일상에서 신원확인 과정은 생활의 한 부분을 차지한다. 오프라인뿐만 아니라 온라인 환경에서 서비스를 이용하기 위해서 거쳐야 한다. 이메일을 확인하기 위해 웹사이트를 로그인하거나 대출을 받기하기 위해 은행지점을 방문도 포함된다. 최근 코로나19로 인하여 비대면 또는 비접촉하여 자신의 신원을 확인해야 하는 상황에 처했다. 기존의 실물 신분증이 가지는 한계점이 나타나고 있으며, 온라인 환경에서의 신분 확인 기술이 점차 적용되고 있다. 또한, 개인정보보호 및 데이터 주권이 주요 화두로 떠오르면서 최근 분산신원증명(DID, Decentralized Identity) 기술이 주목받기 시작했다. 이로 인해 우리 일상의 신원확인 과정의 주요 현황을 파악하고 향후 모바일 신분증의 필요성에 대해서 알아보고자 한다.

신분증의 개요

신분증은 개인의 신상 또는 신원정보를 증명하는 문서이며, 특정 집단(국가, 회사, 학교 등)에 속해 있음을 증명하는 문서를 말한다. 국가 에서 발행하는 국가신분증으로는 주민등록증, 운전면허증, 여권 등이 해당된다. 신분증에는 자신과 관련된 이름, 나이, 주소 등의 일부 한정된 정보만 표현한다. 신분증에서 필요한 속성만을 선택하여 제시할 수 없어 신분증에 명시된 정보를 그대로 노출된다. 또한, 국가와 같이 한정된 공간에서만 효력을 발휘(운전면허증, 해외학위 등)하여 여러 공증의 작업이 필요하다.

< 국가신분증 관련정보 >

출처 : 도로교통공단(좌), 두산백과사전 엔사이버(우)]

신분증과 호패를 비교해보면, 현재 신분증은 조선시대의 호패와 같은 구성요소를 사용하고 있다. 다만, 신분증 재질과 기록방식만 달라졌다. 신분증에 포함되는 속성의 인증값으로 식별자, 속성, 인증수단, 발행인 등이다. 현재 신분증 및 호패 모두 신원확인 시 개인정보를 노출을 막을 수 없으며, 이를 보호하는 방법과 분실할 경우, 대처방안이 부족하다.

오프라인과 온라인 신원확인

오프라인에서는 누구나 신분증은 주민센터에서 발급받는다. 자동차 대여 또는 대출 등 신원확인이 필요한 경우, 지갑에서 신분증을 제시함으로써 신분 확인 과정을 거친다. 오프라인에서의 나 자신을 밝히는 신분 확인 과정은 우리에게 익숙하다. 신원확인 이외의 정보를 증빙하기 위해서는 신분증 제출을 통해 별도의 증명서를 발급받아야 한다. 우리나라의 신분증을 해외에서 동일하게 사용하는 것은 불가능하다.

온라인상 신원확인 방법은 무엇인가? 온라인에서는 오프라인처럼 신분증을 개인이 소유하지 않는다. 사용자의 개인정보를 기업에 제공하고, 아이디와 비밀번호를 통해서 온라인 세상에서‘나’를 확인시켜 준다. 자신의 정보를 아이디와 패스워드를 통해 접근한다.

사용자는 이용하는 서비스가 증가함에 따라 같은 정보를 여러 사이트에 입력해야 하며, 기억해야 할 아이디와 비밀번호도 증가한다. 이를 개선하기 위해서 연합신원 모델이 등장했다. SNS 서비스 또는 포털사이트의 계정을 이용하여 다양한 웹사이트 이용이 가능한 소셜 로그인을 말한다. 사용자 입장에서는 기억해야할 아이디와 비밀번호가 줄어들었지만, 특정 기업에 다수의 사용자 정보를 보유하게 된다. 최근 페이스북, 트위터 등은 해커들의 표적이 되고 있으며, 개인정보 노출 사건이 발생하고 있다.

온라인 환경에서 사용자는 기업에 자신의 개인정보를 맡겨두고 서비스를 이용하는 모델에서 직접 자신이 주권을 가지고 신원확인하는 자기 주권 신원 모델이 등장하고 있다. 개인정보를 웹사이트가 아닌 모바일 기기에 직접 내려 받아 웹서비스를 이용할 때에만 신원확인을 하는 모델이다. 자기주권 신원 모델을 구현하는 기술로 DID가 주목받고 있다.

온라인 신원확인 서비스의 오프라인 활용사례

코로나19로 인하여 정부는 한시적으로 생년월일에 따라 특정 요일에만 마스크를 구매하도록 정책을 시행했다. 시민은 약국에 신분증을 제시하고, 약국에서는 해당 요일에 구매 가능한지를 확인했다. 대리 구매를 할 경우에는 가족관계를 위한 주민등록등본을 발급받아 제시해야했다. 구매가능여부를 파악하기 위해서 신분증 또는 등본을 제시할 때, 마스크 구매 목적 이외의 이름, 주민등록번호, 주소 등의 민감한 정보가 노출됐다. 오프라인에서 누군가를 확인하기 위해서는 기존의 신분증으로는 다수의 정보를 노출한다는 문제점을 가지고 있다.

최근 비접촉 모바일 전자명부를 작성하기 위해서 오프라인 매장에서 QR로그인과 같은 디지털 기술을 활용하는 사례가 최근 증가하고 있다. 이름과 전화번호, 거주지역 등의 정보를 제공하게 된다. 이는 출입 시설에 출입명부 목적으로만 활용할 수 있다. 코로나19는 비대면 사회로 강제로 전환시켰다. 비접촉 또는 비대면 환경에서도 신원확인을 해야 하는 상황이 증가함에 따라 모바일 신분증의 필요성이 나타나고 있다.

QR로그인 화면

[출처 : 네이버 앱 갈무리]

모바일 신분증의 개요

모바일 신분증은 주민등록증, 운전면허증, 여권 등의 국가 신분증을 하나의 디지털화 된 상태로 모바일 기기에 저장하여 이용 가능한 신분증을 말한다. 모바일 신분증은 디지털화 정도에 따라 활용범위가 달라질 수 있다. 기존 카드 형식의 신분증에 명시된 수록정보를 디지털화하여 모바일에 저장하고 제시할 수 있으며, 상황에 따라 수록정보를 직접 선택하거나 조합하여 제출할 수 있다. 수록정보를 그대로 디지털화한 경우에는 기존 신분증처럼 신원확인이 필요한 경우에 제출목적으로만 활용이 가능하며, 연계 서비스 또는 신분증을 다른 형태로 변경 또는 활용할 수 없다.

모바일 신분증의 필요성

모바일 신분증이 필요한 이유는 크게 네 가지 때문이다. 첫째, 비대면 사회. 비대면 서비스 수요 증가에 따라 물리적 신분증을 대체할 디지털상에서의 새로운 인증수단 필요성 점차 대두되고 있다. 온라인 금융 서비스의 경우 실명확인이 필요하며 신원확인을 위해 별도의 인증을 거처야 하는 등 사용성의 한계를 가진다. 둘째, 개인정보보호. 기존 신분증은 중요 개인정보를 포함하고 있어 확인과정에서 민감 정보가 노출되고, 분실 시 정보유출 및 도용 가능성이 있다. 셋째, 데이터 주권. 각국에서 개인정보 공개 및 자기주권 보장 필요성이 대두되어 국가, 신뢰기관 등의 중개자 없이 스스로가 자신을 인증하고 데이터를 관리할 수 있는 체계 구축이 필요하다. 넷째. 범세계화. 디지털 사회로의 전환은 국경을 초월한 다양한 서비스를 제공할 수 있으며, 이에 전 세계에서 통용될 수 있는 모바일 신분증 필요하다.

해외 전자신분증 정책 추진현황

해외 주요국에서는 국가 차원의 모바일 신분증 전략을 발표했다. 국가에 관계없이 공공서비스 제공, 디지털 전환, 전자상거래, 온라인 서비스 활성화 등의 목적을 가진다. 각 국은 모바일 신분증 기반의 서비스를 확보하여 글로벌 시장을 선도하기 위한 목표의 일환으로 보인다.

< 주요국 모바일 신분증 정책 현황 >

모바일 신분증 추진 방향

첫째, 국민 편의성 제고. 국민이 실질적으로 이용 편의성을 체감할 수 있도록 운전면허증, 주민등록증 등 다양한 종류의 모바일 신분증 개발이 필요하다. 향후 활용성 증대를 위해 공공·민간 연동을 고려한 기준 마련 및 세계 각국에서 통용될 수 있도록 글로벌 표준을 수용해야 한다. 또한, 다양한 공공, 민간의 모바일 신분증 플랫폼의 상호연동 방안 마련 필요하다.

둘째, 안전성 확보. 모바일 신분증에는 개인에 대한 민감한 정보를 다수 보유하게 된다. 특성상 핸드폰 분실 시 유출될 경우 악용될 소지가 있으므로 개인정보 및 데이터에 대한 관리방안 마련이 필요하다. 모바일 단말기 보안성 강화 및 개인정보 보호를 위한 영지식증명, 비밀키공유 등 암호기술이 필요하다.

셋째. 데이터 주권 확보. 개인정보에 대한 자기 주권을 보장하고 개인정보보호를 위한 기술이 적용되어야 한다. 모바일 신분증은 온라인을 비롯해 오프라인에서도 활용사례가 나타나고 있다. 이용목적 이외의 개인정보 노출을 최소화하고, 데이터의 주권을 사용자에게 보장하고, 필요한 상황에서 사용자의 의지대로 데이터를 제출 및 활용할 수 있는 생태계를 구축해야 한다.

넷째, 신뢰성 확보. 사용자의 모바일 신분증을 신뢰할 수 있는 기관(Trust Anchor)이 발행하고 검증함으로써 신분증 신뢰성을 보장해야한다. 신뢰된 기관을 통해 모바일 신분증의 신뢰성 확보 및 향후 다양한 민간 신분증·자격증 발급기관의 신뢰성 보장(인증) 역할을 수행해야한다.

모바일 신분증을 개발하기 위해서 언급되는 기술 중 선택적 정보제공 및 데이터 주권 보장 등의 이유로 DID 기술이 주목받고 있다. DID 기술이 가지는 높은 활용 가능성을 토대로 공공을 비롯한 민간분야에서 DID 서비스들이 점차 나타나고 있다.

DID의 개요

DID는 개인정보를 사용자가 직접 모바일 기기에 저장하여 상황에 따라 필요한 정보를 선택하여 제출할 수 있는 신원 서비스이다. DID는 크게 DPKI(Decentralized PKI)와 블록체인 두 가지 기술을 활용한 서비스이다. DPKI는 탈중앙화 환경에서 전자서명하고 검증할 수 있는 기술이다. 블록체인은 분산원장기술(DLT, Distributed Ledger Technology)로써 신뢰할 수 있는 제3자 없이도 데이터를 분산 저장 및 공유하고, 동일한 데이터를 유지하여 무결성을 보장하는 기술이다.

DID 서비스의 참여자는 크게 이용자(Holder), 발행자(Issuer), 검증자(Verifier)로 구분된다. 이용자는 모바일 기기의 전자지갑 앱을 통해 개인정보를 직접 관리한다. 발행자는 이용자가 신분증, 증명서를 발행을 요청할 경우, 이용자를 검증한 후 요청자료를 발행한다. 검증자는 서비스 제공을 하는 기업이나 기관이며, 이용자가 제출한 신분증 또는 증명서를 검증한 후 서비스를 제공한다.

DID 구성도

[출처 : Verifiable Creadentials Data Model v1(W3C)]

발행자가 사용자에게, 사용자가 검증자에게 제출하는 과정에서 신분증이나 증명서에는 전자서명을 한 주체의 DID 값이 포함된다. 검증자는 DID 값을 블록체인에 질의하여 전자 서명한 주체의 검증정보를 받아올 수 있다. 검증정보에 따라 전자서명을 검증함으로써 발행자의 발행사실, 사용자의 제출사실에 대해 부인방지가 가능하다. 참여자 간 전송되는 신분증이나 증명서의 수록된 정보(Claims)를 선택하여 제출할 수 있다. 수록된 정보 간의 관계 및 속성 등을 나타낼 수 있어 목적에 맞는 정보를 생성하여 제출할 수 있다는 장점을 가진다.

DID를 활용한 입사지원 시나리오

DID를 이해를 돕기 위해 이용한 입사지원 시나리오를 살펴본다. 입사지원자(사용자)는 졸업증명서를 발행받기 위해서 대학교(Issuer)에 본인의 학번, 이름, 학과, 전공 등의 학생정보를 전달한다. 대학교는 제출정보를 확인한 후 입사지원자에게 졸업증명서(Credential)를 발행한다. 이때, 졸업증명서에는 대학교의 DID 정보도 함께 저장된다. 입사지원자는 졸업인증서를 모바일 전자지갑에 보관한다. 입사지원 시 기업에서 요구하는 졸업증명서를 사용자가 전자서명 후 지원기업(Verifier)에 제출한다. 기업은 입사지원자와 대학교의 DID를 블록체인에 전달하여 전자서명 검증정보를 받아 증명서의 전자서명을 검증한다.

졸업증명서는 대학교가 사용자에게 발행할 때 한 번, 사용자가 기업에 제출할 때 한 번. 총 두 번 전자서명 되었다. 기업은 대학교와 사용자의 DID를 통해 블록체인에 저장되어 있는 DID 문서를 확인하여 대학교와 사용자의 전자서명을 검증한다.

DID 기반 모바일 사원증 도입사례

최근 DID 기반의 모바일 사원증을 도입하는 기업 또는 기관 사례가 나타나고 있다. 사원증을 지참하지 않고, 모바일 기기만으로 사내출입 및 도서대출 등의 회사업무가 가능하다. 모바일 사원증은 오프라인과 온라인으로 이원화된 신원증명 체계를 단일화 할 수 있다. 또한, 사원증 발급 및 사용이력 등 데이터 위변조가 불가능하며, 접근통제에도 장점을 가진다. 모바일 사원증은 출입관리를 시작으로 전자결재시스템, 교육 사이트 로그인, 기업 내 증명서 발급 등 온라인 인증수단에도 확대할 수 있다. 한국인터넷진흥원(KISA)은 공공기관 최초로 도입하였으며, 민간에서는 금융결제원 및 NH농협은행 등에서 모바일 사원증을 도입했다.

지자체에서는 지역주민을 대상으로 비대면 공공서비스를 제공하기 위해서 경상남도는 모바일 도민카드, 부산광역시는 부산시민카드를 추진 중이다. 실물 신분증 없이도 지역주민 여부만 확인함으로써 간편하고 과도한 개인정보 노출 없이도 간편하게 지역 내 서비스 이용이 가능하다.

마치며

코로나19 장기화로 오프라인의 신원확인 체계는 불편함과 과다한 개인정보 노출의 한계를 드러냈다. 디지털 기술을 활용하여 오프라인 환경에서 사용자의 신원확인이 가능해지면서, 온라인 및 오프라인의 이원화된 신원확인 체계는 점차 단일화되고 있다. 사용자는 최소한의 정보만을 제출하고도 신원확인이 되기를 희망한다.

현재 기술 수준으로 요구되는 조건을 충족할 수 있는 기술은 DID가 유력한 상황이며, 이를 반영하기라도 하듯이 DID를 도입한 사원증, 신분증 등의 시범사업이나 실제 도입 사례로 점차 나타나고 있다. 모바일 신분증은 다가올 디지털 세대에 적합한 신분증이다.

도입 시 활용 가능성이 높은 DID 기술을 모바일 신분증에 적극 도입하여 차세대 신분증의 청사진을 그려야한다. 모바일 신분증은 오프라인 및 온라인 환경에서 신원을 확인하기 위한 수단이므로 편의성 및 보안성에 있어서는 국민 공감대 형성이 필요하다. 나아가 모바일 신분증은 국내뿐만 아니라 글로벌 연계가 가능하도록 기술 표준 및 국가 간 협력 등을 함께 고려하여 추진되어야 한다.