디지털 신원 개념의 전자인증과 전자서명에 대해서 설명 드리겠습니다. 디지털 전환의 시대에 디지털 기술이 발달하고 스마트폰과 같은 디바이스를 통해 누구나 쉽게 인터넷에 접속하여 공개되어 있는 기업들의 디지털 플랫폼에 방문하여 서비스를 이용할 수 있게 되었습니다. 기업들이 제공하는 웹사이트나 앱을 이용하여 금융과 통신, 그리고 교통과 같은 다양한 분야의 서비스들을 누구나 이용할 수 있습니다.
기업들은 자신들이 운영하는 플랫폼에 누구나 접속하여 이용할 수 있다 보니 개인을 식별하고 본인임을 인증한 다음 서비스를 이용할 수 있도록 하는 체계가 필요해졌습니다. 특히 온라인 플랫폼 상에서 이루어지는 중요한 거래를 위해서는 디지털 신원 체계와 절차가 구성되어야 합니다. 그래서 디지털 신원 개념의 전자인증과 전자서명은 중요해졌습니다. 그럼 이어서 디지털 신원 개념의 전자인증과 전자서명에 대해서 좀 더 자세히 알아보도록 하겠습니다.
디지털 신원 개념에 대한 설명
디지털 신원은 온라인 상에서 개인이나 개인이 가지고 있는 디지털 디바이스를 고유하게 식별할 수 있는 정보를 의미합니다. 이제는 누구나 쉽게 인터넷을 통해 기업에서 제공하는 디지털 플랫폼에 방문하여 서비스를 이용할 수 있게 되었습니다. 그리고 디지털 전환의 변화 속에서 대부분의 오프라인 서비스들이 온라인으로 이동하게 되었습니다. 이제는 금융, 의료, 교통, 통신 등 모든 분야의 거래들이 기업에서 제공하는 온라인 플랫폼에서 진행할 수 있게 되었습니다.
하지만 기업들의 온라인 플랫폼에서 서비스를 이용하거나 거래를 진행할 때 반드시 본인임을 확인하고 진행되어야 하는 경우가 많아졌습니다. 특히 온라인 플랫폼으로 진행하는 금융 거래들은 디지털 신원 관리가 매우 중요합니다. 시스템의 정당한 사용을 위해 플랫폼에서는 사용자의 신원을 확인하고 시스템 자원에 대한 사용자들의 접근에 대해서 관리하고 필요할 경우 통제해야 합니다. 이를 위해서 기업들이 운영하는 온라인 플랫폼에서는 비즈니스 프로세스와 소프트웨어 도구들이 구성되어 있습니다.
디지털 신원 관리의 경우 시스템 사용자의 분류 체계를 확인하고 자격 조건에 해당하면 접근을 허가하는 구성이 필요합니다. 또한 각 사용자들에게 어떤 시스템에 접근이 가능한지 구분하고 명시하고 허용하기 위한 정책도 구성되고 이것이 시스템에 반영됩니다. 더 나아가 사용자들의 신원 보호를 위한 프로세스와 기술들을 포함하고 있습니다.
디지털 전환 시대에서 데이터가 중요해지고 데이터를 활용하는 비즈니스가 더 고도화되고 많아지게 됨에 따라 자연스럽게 개인정보 보호에 대한 중요성도 함께 높아지게 되었습니다. 이에 따라 개인정보 보호에 대한 인식 향상과 함께 디지털 신원과 연결되는 개인정보를 엄격하게 보호하면서 정보 주체들의 데이터 주권을 보장하려고 하는 움직임과 흐름이 이어지고 있습니다. 디지털 기술들을 활용하여 차세대 디지털 신원 인증 모델의 필요성과 이에 대한 전환도 활발하게 논의되고 연구되고 있습니다.
디지털 신원의 주요 모델과 기술들
디지털 신원과 관련된 모델과 기술에는 자기주권신원모델과 분산신원증명이 있습니다. 자기주권신원모델은 서비스 제공자나 제3의 기관이 개인정보를 관리하던 기존의 방식에서 벗어나 개인이 직접 자기 자신의 개인정보를 소유하고 관리하는 것을 의미합니다. 자기주권신원모델을 만들기 위해서는 개인이 신뢰할 수 있는 서비스 제공자나 제3의 기관을 이용하는 것이 아니라 해당 주체를 거치지 않고 반대로 개인이 직접 신원을 인증한 후 이를 서비스 제공자나 제3의 기관이 신뢰할 수 있도록 해야 합니다.
이 부분이 자기주권신원모델의 가장 핵심적인 쟁점 사항입니다. 그리고 자기주권신원모델을 구현하기 위해서 적용하는 기술은 분산신원증명입니다. 분산신원증명은 개인정보처리자가 자신들의 중앙 서버에 사용자들의 개인정보를 저장하던 기존 신원 인증 방식에서 벗어나 개인정보를 사용자의 디지털 디바이스에 저장하고 인증이 필요한 개인정보 만을 골라서 제출하는 신원 인증 기술입니다. 분산신원증명 서비스 제공자 입장에서는 위변조가 불가능한 블록체인의 기술을 적용합니다. 분산신원증명 서비스에서는 블록체인의 암호학적 특성을 기반으로 제3의 중앙화 된 신뢰 기관을 거치지 않고 바로 블록체인에 등록된 발급 정보를 통해서 사용자 신원 정보에 대한 위변조 여부를 검증하고 확인할 수 있도록 할 수 있습니다.
분산신원증명은 개인정보에 대한 정보 주체의 주권 실현의 기반이 될 수 있는 중요한 기술로 중앙화 된 공급자 위주의 인증 생태계를 사용자 중심으로 혁신적으로 개편할 수 있는 새로운 기술입니다. 이에 따라 분산신원증명은 기존의 패러다임을 변화 시킬 수 있는 혁신 기술인 것입니다. 다만, 분산신원증명을 적용하고 활용하기 위해서는 해결해야 할 과제들이 많이 남아 있습니다.
대표적으로 호환성의 문제를 해결해야 합니다. 분산신원증명 연합체 마다 사용하는 솔루션이 다르기 때문에 각 연합체의 회원사 간에만 분산신원증명이 호환되고 다른 연합체의 회원사 간에는 호환이 안되는 문제가 있습니다. 분산신원증명 서비스가 어느 서비스에서든지 적용할 수 있는 인증 수단이 되기 위해서는 표준화 작업이 선행되어야 합니다. 우리나라의 경우 한국인터넷진흥원에서 해당 분산신원증명 서비스에 대한 기술 표준화에 노력을 기울이고 있습니다. 분산신원증명에서는 보안 문제도 해결해야 합니다.
개인 스마트폰의 전자 지갑에 저장되어 있는 신원 정보에 대한 데이터를 간편하게 간편 인증을 통해 제출이 가능한 만큼 스마트폰 디바이스에 대한 보안성도 크게 향상 시켜야 할 것입니다. 스마트폰 디바이스에서 신원 정보가 유출되는 것을 방지해야 하며 위변조가 되지 않도록 방어해야 합니다. 이를 위해서 암호화와 신뢰 실행 환경을 통해 안전한 데이터 저장과 비인가자의 신원 정보 접근을 차단하기 위한 엄격하고 체계적인 사용자 인증 절차도 필요합니다.
전자인증과 전자서명에 대한 이해
전자인증은 전자서명 생성 정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 의미합니다. 전자서명은 서명자를 확인하고 서명자가 해당 전자 문서에 서명을 하였다는 것을 증명하는데 사용할 수 있는 수단입니다. 전자서명은 서명한 사실을 증명할 수 있는 정보를 전자 문서에 첨부하거나 논리적으로 결합된 전자적 형태의 정보를 구성하게 됩니다. 전자서명은 계약을 할 때 일반적으로 사용하는 인감도장이나 실제 계약서에 서명하는 것과 동일한 효과를 발휘합니다. 오프라인에서는 실제 실물 종이로 된 계약서나 서류를 사용하지만 온라인 상에서는 전자적 형태의 문서를 사용합니다.
이에 따라 전자 문서에 서명할 수 있는 특별한 수단들이 필요하게 되었고 이를 위해서 등장한 개념들이 전자 인증과 전자 서명인 것입니다. 전자인증과 전자서명은 온라인 공간과 디지털 플랫폼 상에서 이루어지는 전자상거래의 가장 기본적이면서 중요한 요소입니다. 전자 인증은 전자적 통신이나 전자적 거래에서 당사자의 신원을 확인하고 전자적 통신의 무결성을 보장하는 프로세스에 해당합니다. 전자서명은 전자 문서나 메시지에 대해 첨부되거나 논리적으로 연결되는 전자 형식의 데이터로 전자 문서나 메시지와 관련하여 서명자를 식별하고 전자 문서에 포함된 정보에 서명자의 승인을 표시하는 프로세스입니다.
전자 서명에서는 위조 불가, 인증, 재사용 불가, 변경 불가, 부인 방지와 같은 기능들을 제공합니다. 우리나라의 경우 전자서명법에 의해 전자서명은 인터넷을 통해 전자 문서를 교환하거나 사용할 때 일반 종이 문서에 사용하는 서명이나 인감도장과 법적으로 동일한 효력을 발휘합니다. 전자인증과 전자서명은 구분할 필요가 있습니다. 전자 인증은 특정인이 실제 해당하는 그 사람인지를 식별하고 확인하는 절차입니다. 인증을 통해서 권한을 부여 받을 수 있게 됩니다.
전자서명은 합의와 승인과 관련되어 있습니다. 전자 인증과 전자 서명의 경우 기술적으로 암호화 과정을 거치고 해독하는 과정을 거치게 됩니다. 이는 매우 고도화된 기술적인 수준과 시스템 인프라가 요구됩니다. 대부분의 국가들은 전자인증과 전자서명에 대해서 동일하거나 비슷한 내용을 다루고 있습니다. 하지만 국가 간 전자인증과 전자서명과 관련된 기술력 차이는 천차만별입니다. 어떤 국가들은 전자인증과 전자서명을 구현하고 구축할 수 있는 시스템이나 인프라 환경이 전혀 갖춰지지 않은 경우도 있습니다.
하지만 우리나라는 디지털 강국 답게 이러한 시스템과 인프라 환경은 훌륭하게 잘 갖춰져 있습니다. 우리나라에서는 공인인증서 제도가 폐지되고 전자서명법도 개정되면서 민간 분야와 공공 분야 모두 다양한 인증 수단을 활용할 수 있게 되었습니다. 전자서명법의 개정은 전자 인증을 위한 제도 개선이라는 점에서 의미가 있다고 볼 수 있습니다. 국가적인 차원에서도 생체인증과 블록체인 기술과 같은 다양한 디지털 기술들을 활용하여 전자인증과 전자서명 이용 활성화를 위해서 노력해야 하며 실제 노력하고 있습니다.
디지털 신원과 관련된 정책적 변화
우리나라에는 디지털 신원과 관련된 법으로 전자서명법이 있습니다. 우리나라 전자서명법에서는 전자서명이 서명과 서명 날인, 그리고 기명 날인으로 효력을 가지고 있고 국가적인 차원에서 전자서명의 안전성과 신뢰성을 확보하기 위한 정책과 시책들이 수립하고 이행되도록 규정하고 있습니다. 그리고 2020년에는 전자서명법이 개정되었으며 전자서명법이 개정되면서 기존에 전통적으로 사용하던 강제적인 공인인증서 제도가 폐지되고 다양한 인증 수단이 사용될 수 있도록 제도가 개선되었습니다.
기존의 공인인증서는 공동인증서로 명칭이 바뀌었고 현재 선택적으로 운영되고 있습니다. 현재 우리나라 전자 인증과 전자 서명에 대한 특정 인증과 서명의 수단을 요구하지 않고 있습니다. 즉, 공인인증서와 같은 특정 인증과 서명의 수단 만을 강요하지 않고 있는 것입니다. 다른 나라에서는 전자 서명과 보안 전자서명을 구분하고 각 서명이 유효하기 위한 요건들을 규정하는 국가들도 있습니다. 인증 기관에 대한 자발적인 인증 시스템을 운영하도록 하고 공인된 인증 기관들은 인증서에 대한 발급과 갱신, 일시 중지, 그리고 해지와 관련되어 엄격한 요구 사항들을 준수하도록 하고 있는 경우가 많습니다.
우리나라도 이러한 기준들이 수립되어야 할 것입니다. 공인인증서가 가지고 있었던 불편성이 부각되면서 공인인증서가 폐지되었지만 그렇다고 인증에 대한 신뢰성을 확보하는 부분도 놓치지 말아야 할 것입니다. 우리나라는 분산신원증명 기술을 적용한 각종 인증 체계 서비스를 만들어서 실용화하고 있습니다. 대표적으로 국가적인 차원에서 진행하고 있는 디지털 신분증이 있습니다. 우리나라에서는 디지털 신원과 관련하여 2021년에는 모바일 공무원증이 나왔고, 2022년에는 모바일 운전면허증이 등장하였습니다. 이는 세계 최초로 국가적인 차원에서 분산신원증명 인증 체계를 도입한 것입니다.
국가 기관들은 블록체인 기반의 분산신원증명 서비스들을 적용하고 활용하기 위해서 노력하고 있습니다. 향후에는 분산신원증명 기술을 적용한 디지털 플랫폼들을 지속적으로 확대해 나갈 것으로 예상되며 모바일 운전면허증을 시작으로 디지털 주민등록증, 외국인등록증, 각종 국가공인자격증, 등기 서류, 의료보험증과 같은 증명에 분산신원증명 기술이 적용될 것으로 예상됩니다. 우리나라에서는 디지털 신원과 관련하여 블록체인 기반의 디지털 신원인증 서비스가 더 활성화될 예정입니다.