카페에서 커피를 살 때 주문하는 사람이 ‘나’라는 걸 증명할 필요는 없다. 점원은 주문자가 누구인지 바로 식별할 수 있다. 그러나 온라인에서 커피를 구매할 땐 이야기가 다르다. 이때는 구매자가 ‘나’라는 걸 식별할 수단이 필요하다. 오프라인과 온라인의 차이다.

온라인 서비스를 이용하기 위해 사용자는 해당 사이트에 ID를 생성한다. ID와 비밀번호를 입력해 ID의 주인이 나라는 점을 증명한다. 서비스 제공업체는 ID 정보를 기반으로 사용자를 식별한다. ID나 비밀번호를 잊어버려도 손쉽게 찾을 수 있다. 회원가입시 등록한 정보를 바탕으로, 몇 번의 절차만 거치면 된다. 기업이 중앙에서 사용자 정보를 관리하고 있기에 가능한 일이다. 최근에는 카카오 계정으로 로그인하기나 페이스북으로 로그인하기 등 보다 간편한 서비스도 등장했다. 개별 사이트마다 ID를 만들 필요 없이 카카오 계정만으로 서비스를 사용할 수 있다. 카카오가 이 ID를 소유한 사람이 ‘나’라는 걸 대신 증명해주는 셈이다.

온라인 서비스 분야가 광범위해지면서 기업이 수집하는 개인정보 영역도 넓어졌다. 생활 깊숙이 들어온 온라인 서비스를 이용하기 위해 사용자는 다양한 개인정보를 기업과 공유한다. 물건 구매 이력에서부터 자주 방문하는 장소, 음악적 취향 등 여러 정보를 기업에 넘긴다. 기업은 축적한 데이터를 바탕으로, 사용자에게 적합한 서비스를 제공한다. 또 데이터를 활용해 가장 상품을 구매할 가능성이 높은 사람을 대상으로 타깃 광고를 하기도 한다.



문제는 이때 사용자 개개인이 내 정보가 어디에 이용되고 있는지 정확히 알기 어렵다는 점이다. 개인정보 가운데 구체적으로 어떤 정보가 활용되고 있는지도 파악하기 어렵다. 내 정보를 내가 관리할 수 없다는 점에서 개인정보 주권이 침해될 여지가 있다. 이뿐 아니다. 개인정보 보안의 문제도 있다. 기업이 사용자 동의 없이 축적한 정보를 다른 데 넘길 가능성이 있기 때문이다. 최근 미국 연방거래위원회(FTC)가 페이스북에게 개인정보 유출 등 사용자 프라이버시 침해를 이유로 50억 달러(6조 970억 원) 규모의 벌금을 부과한 것도 이 때문이다. 해킹의 우려도 있다. 수많은 개인 정보를 보유하고 있는 기업은 해커의 표적이 되기 쉽다.

DID(Decentralized Identifier)는 이러한 기존 문제점(Pain point)을 해결할 수 있는 방안으로 주목받고 있다. 기업 홈페이지에 ID를 생성하면 그 ID는 홈페이지에 종속돼 있다. 해당 사이트와 연계된 곳이 아니라면 ID를 다른 데서 쓸 수 없다. 반면 DID는 중앙화된 기관에 속해 있지 않다. 탈중앙화의 성격을 띠고 있다. 어디서든 동일한 방식으로 내가 나라는 걸 증명하는 게 DID다.

하재현 메타디움 사업개발이사는 “DID는 말 그대로 하나의 식별자”란 뜻이라고 전했다. 그는 “처음에 로그인을 할 때 어떤 난수 조합이 형성된다”며 “다시 로그인을 시도할 때 난수 조합이 공개키 기반구조(Public Key Infrastructure)를 통해 저번에 왔던 그 사람이 맞는다는 걸 어디에서든 증명받을 수 있는 시스템이 DID”라고 설명했다. 즉, 특정 기업에 소속된 ID 시스템을 사용하지 않고도 이용자가 누구인지 식별할 수 있는 기술이 DID인 것이다. 이를 활용하면 사용자는 기업에 개인정보를 제공하지 않고도 로그인을 할 수 있게 된다.

기업 입장에선 DID를 사용하면 기업이 사용자 개인정보를 수집하지 않아도 된다는 점에서 위험 부담을 줄일 수 있다. 지난해부터 유럽에선 개인정보보호법(General Data Protection Regulation)이 시행됐다. 개인정보보호에 대한 국제적 관심이 증가하고 있다는 걸 보여준다. 그렇기에 기업이 직접 개인정보를 모았다가 유출이라도 될 경우 감수해야 할 위험은 점점 더 커진다. 이런 측면에서 하 이사는 “기업의 (DID에 대한) 실제적 수요가 생길 수도 있다”고 내다봤다.

그러나 하재현 메타디움 개발이사가 표현한 것처럼 DID는 이 사람이 과거에 로그인했던 사람과 동일한 사람이라는 걸 증명할 수 있을 뿐이다. 그 위에 어떤 정보가 추가되느냐에 따라 DID의 종류는 달라질 수 있다.

메타디움은 DID로 증명할 수 있는 정체성(Identity)을 운동이나 패션 취향 등 개인의 특성으로 정의한다. 하 이사는 “내가 나를 정의할 수 있는 요소는 다양하다”며 사용자가 본인이 원하는 개인정보를 남에게 드러낼 수 있도록 하는 방식을 고안 중이라고 전했다. 예를 들어 헬스를 좋아하는 사람이라면 이 정보를 블록체인 상에 표현할 수 있도록 하겠다는 것이다. 페이스북 등 특정 기업에 종속돼 있던 정보를 사용자가 스스로 선택해서 타인에게 공개할 수 있도록 하겠다는 취지다.

아이콘루프의 DID인 마이아이디(my-ID)는 ‘디지털 신원증명 플랫폼’이다. 김근재 아이콘루프 ID 사업총괄이사는 마이아이디는 “신분증 역할에 해당한다”고 강조했다. 신분증을 스마트폰에 담겠다는 것이다. 김 이사는 “예전에는 카드를 많이 썼지만, 지금은 모바일 페이를 쓴다”며 “이처럼 대부분 서비스가 모바일로 들어갔는데 신분증만 아직이다”라고 전했다.

그는 그 이유가 디지털로 된 정보는 위변조될 수 있다는 위험 때문에 정부가 그간 인정해주지 않았다는 데 있다고 설명했다. 그러면서 “블록체인 기술로 이 정보가 위변조되지 않았다는 사실을 증명할 수 있다면 신분증이 디지털에 담길 수 있다고 판단했다”며 마이아이디를 구상한 배경을 설명했다.

아이콘루프의 마이아이디는 금융위원회가 발표한 금융혁신지원특별법에 따른 혁신금융서비스 금융규제 샌드박스에 지정됐다. 처음에 DID를 발급할 때 금융기관에서 관련 개인정보를 ‘인증’해주고, 이후에 개인은 한번 발급된 DID를 지속해서 사용할 수 있다. 비대면 계좌를 개설할 때 매번 신분증을 제출해야 하는 불편함을 해소할 수 있게 된다.

하재현 메타디움 이사는 DID가 확산되면 각 서비스 제공업체가 데이터베이스에 개인정보를 쌓을 이유가 사라질 것이라고 내다봤다. 그러면서 현재 정부 주도로 진행 중인 마이데이터 사업은 “각 은행 혹은 금융권에 쌓여 있는 금융데이터의 이동권을 보장해준다”며 “이후 이동권이 보장되는 개인정보의 범위가 확장될 수도 있다”고 전망했다./도예리기자 yeri.do@decenter.kr

도예리 기자

yeri.do@decenter.kr