라온시큐어가 여러 분산신원증명(DID·Decentralized IDentity) 플랫폼간 상호호환 문제 해법을 제안했다. 다양한 DID 플랫폼을 지난달 공개된 '디지털신원증명용 글로벌아키텍처(GADI·Global Architecture for Digital Identity)'로 연결하는 것이다.
박현우 라온시큐어 연구소장은 14일 온라인으로 진행된 컨퍼런스 'DID얼라이언스코리아2020' 1일차 강연 '분산ID 플랫폼 확장 및 상호호환 방안, 옴니원+GADI' 발표를 통해 자사 DID플랫폼 '옴니원'과 GADI를 통한 상호호환성 확보방안을 설명했다.
옴니원은 라온시큐어가 블록체인 기술을 활용해 개발한 DID플랫폼이다. 서류제출 없이 병무민원을 신청하고 국가유공자의 자격을 검증하는 병무청 서비스, 로보어드바이저의 비대면 신원확인을 간소화한 금융위원회 샌드박스 프로젝트, 한국인터넷진흥원(KISA) 블록체인시범사업으로 개발된 경남도청 모바일 도민카드 운영시스템, 세종시 자율주행차 등에 적용됐다.
이들은 동일한 옴니원 플랫폼으로 구축돼 있지만 사용자 관점에서는 상호 호환성이 없다. 예를 들어 경남도청 모바일 도민카드를 사용해 별도 가입절차 없이 병무청에 민원을 신청하는 것이 불가능하다. 이게 되려면 도민카드 정보가 병무청 DID서비스제공자(SP) 측에 전달되고 이 SP는 이 정보를 검증하기 위해 다시 경남도청 인프라에 접근해야 한다.
똑같은 옴니원 플랫폼이 아닌 다른 DID플랫폼 기반으로 구축된 서비스와도 물론 상호 호환되지 않는다. 세계적으로 옴니원 이외에 여러 DID플랫폼이 개발되고 있고 이를 사용한 DID서비스 네트워크가 역시 다양하게 구축돼 있다. 이런 상황에서 DID플랫폼간 상호호환 문제가 해결되지 않을 경우 사용자와 SP 입장에선 DID서비스 사용과 제공이 오히려 더 불편하다.
박 소장은 이런 문제 때문에 DID플랫폼간의 연계 방안이 필요해졌고, 월드와이드웹컨소시엄(W3C)같은 곳에서 자기주권신원증명(SSI) 관련 여러 표준화 활동이 진행 중이라고 밝혔다. 일부는 표준화가 완료됐지만 다른 여러 관련 기술 규격은 초안(working draft) 단계로 계속 변경되거나 정규 워킹그룹이 아닌 커뮤니티 차원의 논의가 시작된 기술도 있다고 언급했다.
그는 "DID플랫폼이라고 하면 대부분 DID와 '검증가능한 크리덴셜(VC·verifiable credentials)'을 제공하는 표준을 따르는데, 표준화 단체가 많아 개발업체가 어느 걸 따라야할지 혼란스러울 수 있다"며 "DID 규격이 한 기구가 표준화하고 이를 따라 개발하는 '파이도(FIDO·Fast IDentity Online)' 규격과 다른 점인데, 이런 부분이 상호호환 문제를 더 어렵게 만든다"고 말했다.
DID플랫폼간의 정보 전달을 돕는 '유니버설리졸버(universal resolver)'란 표준이 있다. 마이크로소프트, IBM 등이 운영위원회 멤버로 이름을 올리고 있는 '분산신원증명재단(DIF·Decentralized Identity Foundation)'이 이를 표준화한다. 이는 DID 공개키 교환 기능을 제공해, 플랫폼간 DID 검증을 지원한다. 하지만 실제 서비스에 필요한 VC 연동을 지원하지 않는 게 한계다.
박 소장은 "규격이 확장돼 VC 검증 정보가 (DID플랫폼간) 송·수신될 수 있고 VC 스키마(schema)·정의(definition)·철회(revoke)·발급자(issuer) 등 상호연동 정보도 교환돼야 한다"며 "이후 추가정보가 필요할 때마다 SP와 네트워크에 추가연동을 하지 않고 전체 검증에 필요한 모듈정보를 표준화해 하부 컴포넌트가 쉽게 추가될 수 있는 구조가 적합하다"고 말했다.
이런 확장 규격을 적용하면 DID 서비스 사용자가 클라우드에 자기 정보 저장공간을 만들고, 사용자가 개인정보 사용에 대한 일괄 허가를 주되 이를 언제든 회수할 수 있게 된다. 또 특정 SP의 DID가 사용자 개인정보 저장공간의 특정영역을 미리 설정한 횟수만큼 공유할 수 있다. 이를 통해 SP는 사용자에게 매번 허락을 받지 않고 DID인증으로 그 정보를 활용할 수 있다.
라온시큐어는 옴니원을 이런 DID플랫폼으로 만들기 위해 플랫폼에 GADI를 적용하기로 했다. GADI는 현실에서 개인이 출생 이후 일생에 걸쳐 학업·사회·경제적 활동을 하면서 이뤄지는 신원관리방법이 디지털 환경에도 통하게끔 고안된 개념적 설계구조다. GADI는 인증기술컨설팅업체 구드인텔리전스와 DID얼라이언스가 지난달 공개한 백서를 통해 제안됐다.
개인의 신원을 증명하는 고유한 '디지털주소(DA·Digital Address)'를 사용하도록 하는 것이 GADI의 핵심이다. DA는 현실의 출생증명서처럼 사용자 신원에 대한 연속성, 연결성, 접근성을 제공한다. 당사자에게 스마트폰같은 기기가 없어도 출생기록부터 의료기록, 재직증명 등 필요한 정보가 어느 DID 네트워크에서 발급됐든 모두 조회될 수 있게 한다는 뜻이다.
박 소장은 "GADI를 지원하는 옴니원을 개발하고 있다"며 "사용자 스마트폰에 VC를 발급하는 기존 모델에 더해 '데이터허브'를 개발해 서버에 VC가 있는 모델을 지원할 것"이라고 말했다. 이어 "DID를 유지하며 사용자에게 기억하기 쉽고 고유한 DA를 추가 발급하고, VC 검증정보 교환을 지원하는 SSI 모델 내의 상호 호환성을 달성할 예정"이라고 밝혔다.
그는 또 "개인정보 제출방법을 모바일 기기에서 클라우드로 확장해 다양한 제출방법을 제공할 것"이라며 "제출과 검증 방법이 표준화되고 네트워크간 정보전달이 쉬워지면 상호연동 해결이 가까워진다"고 기대했다. 옴니원에 연결된 GADI를 통해 한쪽 네트워크를 다른 쪽이 신뢰하게 해야 하는 문제, 발급된 정보가 언제든 유실될 수 있는 문제를 해결할 전망이다.
박현우 라온시큐어 연구소장은 14일 온라인으로 진행된 컨퍼런스 'DID얼라이언스코리아2020' 1일차 강연 '분산ID 플랫폼 확장 및 상호호환 방안, 옴니원+GADI' 발표를 통해 자사 DID플랫폼 '옴니원'과 GADI를 통한 상호호환성 확보방안을 설명했다.
옴니원은 라온시큐어가 블록체인 기술을 활용해 개발한 DID플랫폼이다. 서류제출 없이 병무민원을 신청하고 국가유공자의 자격을 검증하는 병무청 서비스, 로보어드바이저의 비대면 신원확인을 간소화한 금융위원회 샌드박스 프로젝트, 한국인터넷진흥원(KISA) 블록체인시범사업으로 개발된 경남도청 모바일 도민카드 운영시스템, 세종시 자율주행차 등에 적용됐다.
박현우 라온시큐어 연구소장. [사진=DID얼라이언스코리아2020 강연 영상]
이들은 동일한 옴니원 플랫폼으로 구축돼 있지만 사용자 관점에서는 상호 호환성이 없다. 예를 들어 경남도청 모바일 도민카드를 사용해 별도 가입절차 없이 병무청에 민원을 신청하는 것이 불가능하다. 이게 되려면 도민카드 정보가 병무청 DID서비스제공자(SP) 측에 전달되고 이 SP는 이 정보를 검증하기 위해 다시 경남도청 인프라에 접근해야 한다.
똑같은 옴니원 플랫폼이 아닌 다른 DID플랫폼 기반으로 구축된 서비스와도 물론 상호 호환되지 않는다. 세계적으로 옴니원 이외에 여러 DID플랫폼이 개발되고 있고 이를 사용한 DID서비스 네트워크가 역시 다양하게 구축돼 있다. 이런 상황에서 DID플랫폼간 상호호환 문제가 해결되지 않을 경우 사용자와 SP 입장에선 DID서비스 사용과 제공이 오히려 더 불편하다.
박 소장은 이런 문제 때문에 DID플랫폼간의 연계 방안이 필요해졌고, 월드와이드웹컨소시엄(W3C)같은 곳에서 자기주권신원증명(SSI) 관련 여러 표준화 활동이 진행 중이라고 밝혔다. 일부는 표준화가 완료됐지만 다른 여러 관련 기술 규격은 초안(working draft) 단계로 계속 변경되거나 정규 워킹그룹이 아닌 커뮤니티 차원의 논의가 시작된 기술도 있다고 언급했다.
그는 "DID플랫폼이라고 하면 대부분 DID와 '검증가능한 크리덴셜(VC·verifiable credentials)'을 제공하는 표준을 따르는데, 표준화 단체가 많아 개발업체가 어느 걸 따라야할지 혼란스러울 수 있다"며 "DID 규격이 한 기구가 표준화하고 이를 따라 개발하는 '파이도(FIDO·Fast IDentity Online)' 규격과 다른 점인데, 이런 부분이 상호호환 문제를 더 어렵게 만든다"고 말했다.
DID플랫폼간의 정보 전달을 돕는 '유니버설리졸버(universal resolver)'란 표준이 있다. 마이크로소프트, IBM 등이 운영위원회 멤버로 이름을 올리고 있는 '분산신원증명재단(DIF·Decentralized Identity Foundation)'이 이를 표준화한다. 이는 DID 공개키 교환 기능을 제공해, 플랫폼간 DID 검증을 지원한다. 하지만 실제 서비스에 필요한 VC 연동을 지원하지 않는 게 한계다.
박 소장은 "규격이 확장돼 VC 검증 정보가 (DID플랫폼간) 송·수신될 수 있고 VC 스키마(schema)·정의(definition)·철회(revoke)·발급자(issuer) 등 상호연동 정보도 교환돼야 한다"며 "이후 추가정보가 필요할 때마다 SP와 네트워크에 추가연동을 하지 않고 전체 검증에 필요한 모듈정보를 표준화해 하부 컴포넌트가 쉽게 추가될 수 있는 구조가 적합하다"고 말했다.
이런 확장 규격을 적용하면 DID 서비스 사용자가 클라우드에 자기 정보 저장공간을 만들고, 사용자가 개인정보 사용에 대한 일괄 허가를 주되 이를 언제든 회수할 수 있게 된다. 또 특정 SP의 DID가 사용자 개인정보 저장공간의 특정영역을 미리 설정한 횟수만큼 공유할 수 있다. 이를 통해 SP는 사용자에게 매번 허락을 받지 않고 DID인증으로 그 정보를 활용할 수 있다.
라온시큐어는 옴니원을 이런 DID플랫폼으로 만들기 위해 플랫폼에 GADI를 적용하기로 했다. GADI는 현실에서 개인이 출생 이후 일생에 걸쳐 학업·사회·경제적 활동을 하면서 이뤄지는 신원관리방법이 디지털 환경에도 통하게끔 고안된 개념적 설계구조다. GADI는 인증기술컨설팅업체 구드인텔리전스와 DID얼라이언스가 지난달 공개한 백서를 통해 제안됐다.
개인의 신원을 증명하는 고유한 '디지털주소(DA·Digital Address)'를 사용하도록 하는 것이 GADI의 핵심이다. DA는 현실의 출생증명서처럼 사용자 신원에 대한 연속성, 연결성, 접근성을 제공한다. 당사자에게 스마트폰같은 기기가 없어도 출생기록부터 의료기록, 재직증명 등 필요한 정보가 어느 DID 네트워크에서 발급됐든 모두 조회될 수 있게 한다는 뜻이다.
박 소장은 "GADI를 지원하는 옴니원을 개발하고 있다"며 "사용자 스마트폰에 VC를 발급하는 기존 모델에 더해 '데이터허브'를 개발해 서버에 VC가 있는 모델을 지원할 것"이라고 말했다. 이어 "DID를 유지하며 사용자에게 기억하기 쉽고 고유한 DA를 추가 발급하고, VC 검증정보 교환을 지원하는 SSI 모델 내의 상호 호환성을 달성할 예정"이라고 밝혔다.
그는 또 "개인정보 제출방법을 모바일 기기에서 클라우드로 확장해 다양한 제출방법을 제공할 것"이라며 "제출과 검증 방법이 표준화되고 네트워크간 정보전달이 쉬워지면 상호연동 해결이 가까워진다"고 기대했다. 옴니원에 연결된 GADI를 통해 한쪽 네트워크를 다른 쪽이 신뢰하게 해야 하는 문제, 발급된 정보가 언제든 유실될 수 있는 문제를 해결할 전망이다.
