질문을 받았다고 생각해보자. “당신의 자산은 얼마나 됩니까?”. 먼저 지갑을 열어본다. 만원짜리 지폐 두장이 들어있다. 카카오 뱅크를 열어본다. 부모님께 생활비를 받는 계좌에 얼마전에 받은 50만원이 들어있다. 다른 은행의 인터넷 뱅킹 어플리케이션을 확인해 본다. 노트북이 사고 싶어서 차곡차곡 모아놓고 있는 아르바이트 수입 100만원이 찍혀있다. 내가 부동산이 있는가? 지금 살고 있는 집은 월세 방이다. 내 것이 아니다. 주식을 사두었나? 관심은 있지만 혹시나 하는 무서운 마음에 선뜻 매수한 적도 없다. 자산은 경제적 가치를 가진 재화라고 했나? 그렇다면 내 가방 안의 핸드폰, 노트북, 또는 옷장의 옷들 정도도 포함될수 있지 않을까 생각해본다. 내가 아직 신용카드를 쓰고 있는 것도 아니기 때문에 채무나 부채도 없다. 혹시 부모님께서 몰래 물려주실 건물이 있을지도 모르지만, 그건 아직 내것이 아니다. 자산은 무형의 가치도 포함한다고 했던 것 같다. 내가 가진 지식? 딱히 가치가 있는지는 사실 잘 모르겠다.
과연 이게 다일까? 아니다. 당신은 생각보다 훨씬 많은 자산을 가지고 있다. 하지만 당신은 당신의 자산을 매일같이 무료로 다른 이에게 넘기고 있고, 혹은 있는지도 모른채 살아가고 있다. 바로 당신의 ‘개인정보’이다. 매일같이 쌓이고 있는 어플리케이션 사용 기록, 병원 통원 내역, 쇼핑 거래내역 등의 당신의 ‘개인정보’, 즉 ‘개인 데이터’가 당신의 새로운 ‘디지털 자산’이 될 수 있다.
우선, 많은 사람들이 흔히 떠올리는 ‘개인정보’라는 막연한 개념은 법적으로 ‘개인정보’와 ‘익명정보’로 구분될 수 있다. ‘개인정보’는 개인을 특정할 수 있는 정보이다. 우리는 여러 서비스를 이용할 때 ‘개인정보제공’에 직접 동의하고 있다. 우리의 동의를 획득한 각 서비스들은, 법률이 정한 한도 내에서 자신들이 보유하고 있는 사용자 개인정보를 활용할 수 있다.
‘익명정보’란, 개인을 특정할 수 없는 정보이다. 가령, “25세 남성의 쇼핑 거래 내역”과 같은 정보는 개인을 특정할 수 없는 익명정보이다. 이 익명정보는 익명의 사람들로부터 수집한 것이기 때문에, 어떤 기업이든 법적인 제약 없이 자유롭게 활용할 수 있다. 하지만, 기업의 입장에서 볼 때, “25세 남성의 쇼핑 거래 내역”이라는 익명 정보 보다는, “서울시 종로구에 살고있고 월 소득 180만원인 남성의 쇼핑 거래내역”이 더욱 활용 가치가 높은 정보이다. 즉, ‘개인정보’에 가까울수록 데이터의 활용 가치는 더욱 높아진다. 따라서, 많은 기업들은 개개인에 대한 더 자세한 데이터, ‘개인을 특정할 수 있는’ 더 구체적인 데이터를 원한다.
하지만, 기업의 입장과는 반대로, ‘개인정보’에 가까울수록 개인의 프라이버시에 대한 침해 가능성은 더욱 커질 수 있다. 게다가, 기업은 동의받은 ‘개인정보’ 데이터를 활용하여 이윤을 창출할 수 있지만, 정작 데이터의 소유자에게 돌아가는 이익은 상대적으로 매우 적다. 바로 이러한 문제의식 속에서, ‘데이터 주권’의 중심을 기업에서 개인으로 돌리려는 사업인 ‘마이 데이터’ 사업이 급부상하고있다.
마이 데이터 사업은, 간단하게 생각하자면 “나의 데이터는 내가 관리한다” 는 것이다. 즉, 데이터의 주체인 개인이 개인 데이터에 대한 결정권을 갖고, 원하는 곳에 원하는 방식으로 활용하며 그 혜택을 직접 누리는 것이다. 이미 미국, 영국, 프랑스, 핀란드 등의 선진국에서는 마이 데이터 사업이 의료, 금융, 통신 등의 분야에서 주목할 만한 성과를 이루고 있다. 우리나라에서는 2018년 이후 마이데이터 정책이 추진되었는데, 개인정보 보호법으로 인해 그동안 진척이 더딘 상태였다. 하지만 지난 2020년 1월 ‘데이터 3법’의 통과로 다시한번 마이데이터 사업이 추진력을 얻게 된 상황이다.
마이 데이터 사업은 ‘자기정보 결정권’과 ‘자기정보 이동권’을 골자로 한다. 지금까지는 기업에서 개인에게 특정 정보를 요구하면, 개인은 요구받은 항목을 기입하고, 개인정보 활용에 대해 동의하였다. 다른 서비스에 가입하고 싶으면, 또 다른 서비스가 요구하는 개인정보 항목을 작성하고, 마찬가지로 개인정보 활용에 동의 해야했다. 즉, 현재 데이터 체계는 ‘나 자신’이 아닌 데이터를 ‘직접 저장하고 있는 보유 기관’ 에 종속적이다. 따라서, 본인 조차도 개인 데이터를 적극적으로 활용하기가 쉽지 않은 상황이다. 하지만, 마이 데이터 체계에서는 개인이 자신의 데이터에 접근하여 직접적으로, 적극적으로 소유하고 통제할 수 있으며, 제 3자에게 개인정보 관리 권한을 위임할 수도 있다. 이것이 바로 자기정보 결정권과 자기정보 이동권이다.
마이 데이터 사업의 가장 기본적인 구조를 살펴보자. 마이 데이터 체계에는 다음과 같은 구성원이 존재한다. 개인이 존재하고, 각각의 개인 데이터를 보유하고 있는 ‘보유자’가 존재하며, 본인이 이용하려는 특정 서비스인 ‘마이 데이터 서비스 제공자’가 존재한다. ‘마이 데이터 서비스 제공자’는 본인이 이용하려는 서비스 이외에도 여타의 여러 마이데이터 서비스가 있을 수 있다. 이들은 ‘제3자’로 특정된다. 개인은 언제든 데이터 보유자로부터 개인 데이터를 열람할 수 있으며, 이를 마이데이터 서비스 제공자에게 제공할 수 있다. 혹은, 마이데이터 서비스 제공자에게 특정 개인정보에 대한 관리 권한을 위임할 수 있다. 그렇게 된다면, 마이데이터 서비스 제공자는 ‘개인 데이터 보유자’에게, 권한을 위임받은 개인에 대한 데이터를 요구할 수 있다. 또한 여타의 다른 기관들에게 위임받은 데이터를 제공할 수 있고, 그 결과로 데이터 영수증을 개인에게 송신한다. 개인 역시, 본인이 직접 다른 기관에 개인 데이터를 전송할 수 있다.
현재 여러 나라에서 마이 데이터 사업이 가장 활발하게 도입되고 있는 분야는 금융업이다.지금은 우리가 여러 은행의 서로 다른 금융상품에 가입하기 위해서는, 각각의 은행에 일일이 방문해야 한다. 하지만, 마이데이터 서비스로 일종의 ‘데이터 거래소’가 있다고 생각해보자. 우리는 이 서비스에 우리가 넘기고 싶은 개인정보를 특정할 수 있고, 특정한 정보에 대한 관리 권한을 위임할 수 있다. 개인 정보 관리 권한을 위임 받은 해당 서비스는 여러 은행에 개인의 정보를 전송함으로써, 개인에게 가장 맞춤화된 은행 상품이 제공되도록 할 수 있다. 기존처럼 각각의 은행을 방문하고, 각각의 은행의 어플리케이션을 설치해서 관리하는 것이 아닌, 나의 금융정보를 하나의 체계 안에서 한눈에 확인하고 관리할 수 있는 것이다. 즉, 아예 새로운 패러다임으로의 전환이 일어난 것이다.
마이 데이터 사업은 다가오는 데이터 시대의 거부할 수 없는 흐름으로 여겨지고 있다. 최근 핵심 기술로 부상중인 인공지능, 클라우드, IoT 기술이 발전하기 위해서는 결국 데이터의 확보가 필수적이다. 따라서 양질의 데이터에 대한 수요는 늘어날 수 밖에 없고, 개인들 입장에서도 그러한 기술의 발달로 얻는 편익을 무시할 수 없기 때문이다. 하지만, 마이 데이터 사업이 대중적으로 받아들여지기 위해서는 선결되어야 할 과제들이 아직 남아있다.
지금까지 우리는 여러 서비스를 이용하면서, 개인정보를 의식적이든, 무의식적이든 넘겨왔다. 만약 무의식적으로 넘겨왔다면 그 이유는 해당 서비스에 대한 믿음이 있기 때문일 것이다. 여기서 믿음이란 “해당 서비스가 안정적인 보안 체계를 확립해 놓았을 것이며, 법률에 따라 나의 개인정보를 잘 보관할 것”이라는 믿음일 것이다. 실제로 기존의 서비스들은 오랜 기간동안 강력한 보안 솔루션을 마련하였다. 하지만, 지금까지 알아본 마이 데이터 사업은 기존의 서비스와는 전혀 다른 새로운 체계이다. 아무리 마이 데이터 사업이 좋은 취지를 갖고 있고, 개인과 기업간의 데이터 흐름을 선순환으로 바꿀 수 있다고 하더라도, 결국 그에 알맞은 “새로운” 보안 솔루션을 갖추지 못한다면 아무런 의미가 없다. 그렇다면 무엇으로 마이 데이터를 구현할 수 있을까? 데이터 주권을 본인한테 돌려준다는 취지에 알맞으면서, 강력한 보안성까지 갖춘 새로운 시스템이 존재할까? 이 부분이, ‘블록체인’과 만나는 지점이다. 블록체인을 활용한 DID 시스템(분산형 신원인증)은 ‘탈 중앙적’으로, 공인인증서가 필요 없이, 본인이 본인임을 인증할 수 있는 시스템으로 주목받고 있다.
DID란 Decentralized ID의 줄임말이다. DID를 연구중인 W3C는 DID를 다음과 같이 정의한다.
"분산 원장 기술 혹은 다른 형태의 분권형 네트워크에 등록되어 있기 때문에 중앙화된 등록 기관에 등록이 필요하지 않은 세계적으로 유일한 식별자"
즉 DID는 블록체인을 이용해서 사용자가 자신을 중심으로 개인정보를 생성하고, 사용하고, 삭제하는 등, 개인정보를 본인이 관리할 수 있게 도와준다. 개인정보를 검증하기위해서 W3C에서는 Verifiable Credential Model(검증가능 한 자격증명 모델)을 제시한다. 검증모델은 발급기관인 Issuer, 사용할 사람인 Holder, 검증기관인 Verifier로 구성되어 있다.
DID 검증 과정은 다음과 같다. 우선 Holder가 인증이 필요한 상황이 발생하면, Credential(자격증명)을 발행할 수 있는 Issuer에 Verifiable Credential(검증가능한 자격증명)을 요청한다. Issuer는 Holder가 권한을 가지고 있는지 확인 후 Credential을 발행한다. Holder는 Credential을 바탕으로 Verifier가 요구하는 정보를 전달한다. Verifier는 그 정보를 보고 이상이 없으면 검증을 완료한다.
검증과정을 보면 알 수 있듯이 DID는 마이데이터 산업을 위해 만들어졌다해도 무방할만 큼 서로 접목되었을 때 시너지효과를 기대할 수 있다. 마이데이터 사업의 개요는 위의 그림과 비슷하 게 데이터소유기업, 개인, 마이데이터 사업자로 구성되어 있다. 구조가 유사한 만큼 마이데이터 사업에 적용하기에 용이하다. 또한 DID는 마이데이터 산업에 필수적인 '자기정보 결정권'과 '자기정보 이동권'을 보장한다. SK텔레콤 이미연 팀장은 마이데이터 사업의 실현이 지금까지 이뤄지지 않았던 배경에 대해 많은 기관들의 엄격한 규제와 개인이 자신의 정보에 접근, 보관, 처리할 수 있는 방법이 없었던 점을 꼽았다. DID는 정보가 DB에 기록 되는 것이 아니기 때문에 중앙 시스템에 의해 통제되지 않아 개인이 정보주권을 가질 수 있다. 기대할 수 있는 긍정적인 효과는 크게 4가지이다. 첫째는 보안성 강화, 둘째는 편의성 증대, 셋째는 확장성 및 연계 가능성 증대, 넷째는 프라이버시 강화이다.
DID는 블록체인으로 구성이 되어있기 때문에 기존의 중앙화 시스템보다 높은 보안성을 가 진다. 하나의 중앙화 된 데이터베이스에서 모든 정보를 가지고 있는 것이 아니라 여러 개의 노드가 모두 동일한 데이터를 가지고 있기 때문에 해킹이 어렵다. 하나의 데이터베이스만 해킹하면 되던 이전과는 달리 동일한 데이터를 가지고 있는 여러 개의 노드를 해킹해야 하기 때문이다.
DID를 사용하면 인증방식의 변화로 이전보다 편리한 생활을 할 수 있다. 기존의 인터넷 서비스들의 인증방식은 회원가입을 한 뒤 로그인 절차를 거쳐야했다. 이름, 나이, 성별, 주소 등 인적사항을 기입하고 ID와 Password를 사용해서 이 ID와 Password를 사용하는 사람이 나라는 것을 증명했다. 하지만 DID는 이름, 나이, 성별과 같은 인적사항들을 미리 정의를 하고 암호키를 통해서 본인임을 증명하는 방식이다. 이 방식은 구글이나 페이스북 계정을 통해 자동가입하는 공개인증방식(OAuth)과 유사하다. 하지만 DID는 어느 서비스에 종속되어있지 않기 때문에 해당 서비스가 종료되면 사용하지 못하는 공개인증방식보다도 더 편리하다.
DID는 기존의 인증과 다르게 확장성과 연계 가능성이 높다. 이전에는 용도에 따라서 인증서를 새로 발급받아야만 했다. 예를 들어 주민등록증을 가지고 있는 사람이더라도 운전면허는 새로 발급받아야 하기 때문에 개인당 2개 이상의 인증서가 생긴다. 때문에 인증서를 여러 개 가지고 다녀야만 하는 상황에는 부피도 차지하고 번거로운 경우가 많았다. DID를 사용한다면 하나의 인증서에 목록을 추가만 시키기 때문에 분실의 우려도, 번거로움도 전혀 없다.
DID를 사용하면 불필요한 개인정보의 노출을 막아 프라이버시를 강화할 수 있다. 만약 사용자가 성인임을 인증해야 한다면 필요한 정보는 사진, 이름, 생년월일 정도일 것이다. 그러나 현재 주민등록증이나 운전면허증을 통한 성인인증은 필요한 정보 이외에도 주민등록번호 뒷 자리, 거주지 등을 같이 공개하게 된다. 인증에 필요한 정보 이외에 불필요한 모든 개인정보를 함께 공개해야하기 때문에 프라이버시 침해 문제가 발생한다. 하지만 DID는 본인이 인증에 필요한 정보를 골라서 제공할 수 있다. 성인인증의 예시에서는 사진, 이름, 생년월일만 보여줄 수 있는 셈이다.
많은 장점을 가지고 있는 DID지만 여전히 해결해야 할 과제들이 남아있다. 앞서 DID는 분산형 ID의 줄임말로 탈중앙화 된 ID라고 했다. 하지만, 아직 DID는 완전한 탈중앙화를 이루지 못했다. Issuer가 제 3의 신뢰기관(Trust Anchor)이기 때문이다. 완전한 자기정보 결정권은 앞서 설명한 Verifiable Credential Model에서 Issuer와 Holder가 일치할 때 이루어진다. 자기 자신이 아닌 제 3자가 Issuer라는 정의 자체가 이미 완전한 자기정보 결정권이 있다고 말하기 힘들다. 또한 이상적인 상황 하에서는 Verifier가 Issuer인 Holder를 무조건적으로 신뢰하고 검증을 할 수 있어야한다. 하지만 현실적으로 Verifier가 Issuer와 Holder가 동일 인물인 상황에서 Issuer를 신뢰할 수 없다는 문제점이 존재한다. 마음대로 자신의 인적사항을 변경할 수 있으면 거짓으로 누군가는 자신의 정보를 올릴 것이고 그 순간 그 증명서는 사람들의 믿음을 잃게된다. 믿음이 없는 증명서는 증명서라고 할 수 없다. 그렇기에 Issuer에 신뢰할 수 있는 제 3의 기관을 두어야 하는 것이다.
이 때 의문점이 생긴다. “특정 기관이 타인에 대한 신원을 보증한다면 그 기관을 완전히 신뢰할 수 있는가? 내 정보가 Trust Anchor의 중앙화 데이터베이스에 보관이 된다면 그곳에 있는 나의 데이터는 안전한가?”와 같은 의문들 이다.
또한 디지털 약자가 소외될 수 있다는 문제점 역시 발생할 수 있다. 기존의 인증체계는 실물인증서를 들고다니면서 보여주면 되는 단순한 방식이기에 조금 불편할지라도 어렵지 않았 다. 하지만 DID를 통한 인증방식으로 바뀌게 된다면 스마트폰과 같은 디지털 기기로 제공 되는 서비스의 사용법을 익혀서 인증해야 한다. 대다수의 사람들에게는 제약이 없겠지만 디스플레이를 통한 조작이 어려운 시각장애인들이나 사용법을 익히는 것이 힘든 디지털 약자들 에게는 사용이 꺼려질 수 있다.
이처럼 DID는 장단점이 분명한 시스템이다. 기존의 시스템에서 느꼈던 불편함들을 개선해 서 더 나은 삶을 보장하 는 기술임은 분명하다. 하지만 현실적 그리고 기술적인 한계로 아 직은 부족한 부분이 많은 것도 사실이다. 그러나 이미 데이터 산업의 패러다임은 바뀌기 시 작했다. 아직은 사람들에게 '자기정보 결정권'이 익숙하지 않은 개념일 수 있다. 마이데이 터 산업은 산 정상에서 눈덩이가 굴려지기 시작한 것이나 다름없다. 아직은 천천히 굴러가는 작은 눈덩이이다. 그렇지만 곧 점점 가속력이 붙어 빠르게 내려가는 거대한 눈덩이가 될 것이다. 국가적으로도 사업, 연구 등이 진행되고 있기 때문에 ‘마이데이터와 DID의 결합’이 비현실적인 말은 아니다. 많은 사람들이 이 주제에 관심을 가지고 하나씩 고치고 해결한다면, DID로 우리는 지금과는 다른 안전하고 편리한 생활을 할 수 있을 것이다.
<참고 문헌>
한국데이터산업진흥원, <마이데이터 서비스 안내서>, 2019년 12월30일
고환경, <정보이동권과 마이데이터산업>,BFL,제 93호, 2019년 1월
<Decentralized Identity Own and control your identity〉, Microsoft
"DID가 극복해야 할 문제", noder, 2019년 9월 9일 수정, https://noder.foundation/did-for-ssi/
"'마이데이타의 실현', 블록체인 기반 DID가 적합", paxnet news, 2019년 11월 29일 수정, https://paxnetnews.com/articles/54405
"DID 기반 마이데이터 세상이 열린다", 투이컨설팅, 2020년 2월 28일 수정, http://www.2e.co.kr/news/articleView.html?idxno=300315
"분산ID에 대한 쉬운 가이드", 브런치(brunch), 2019년 6월 4일 수정, https://brunch.co.kr/@metadium/127
"탈중앙 식별자 Decentralized Identifiers (DIDs) v1.0", W3C Working Draft, 2019년 12월 9일, https://ssimeetupkorea.github.io/did-core/
작성자
4기_ 김희윤 (khy3231@gmail.com)
5기_ 배준호 (junho918918@gmail.com)