2020.01.21

글로벌 칼럼 | 2020년 디지털 ID 전망

Susan Morrow | CSO
2019년, 세계가 정체성(Identity)의 용도와 기능에 눈을 뜨면서 정체성 분야가 잠에서 깨어나기 시작했다.
 
ⓒ Getty Images Bank 

디지털 정체성은 전통적인 정체성 및 액세스 관리(Identity and Access Management, IAM)의 잔해에서 태어나 사이버보안의 핵심 요소로 부상했다. 갈수록 디지털화되는 세계에서는 정체성이 전부다. 모든 디바이스의 중심에는 정체성이 위치하면서 리소스 액세스뿐만 아니라 리소스가 소비하는 데이터를 통제하는 역할도 한다.

기계 속의 인간은 실제 정체성뿐만 아니라 보안의 열쇠이기도 하다. 데이터 침해는 2019년 전반기에만 54% 증가했다. 데이터가 곧 정체성이다. 사람에게 권한을 부여하려면 정체성에 권한을 부여해야 한다. 2020년에는 디지털 정체성이 새로운 성숙 단계로 발전하게 될까?    


현재 상황

현재 정체성 분야는 정체성 공급업체, 데이터 속성 서비스, 소셜 계정 및 관련 로그인, 앱 기반 ID 등이 뒤섞여 혼란스럽다. 정체성 생태계의 중요한 요소를 정리해 보면 다음과 같다.

- 정체성과 API
2019년 들어 이전의 많은 정체성 업체가 옷을 갈아입고 코드를 수정해 각자 핵심 제품의 API 버전을 만들면서 전통적인 정체성 플랫폼이 API로 다시 부상했다. 디지털 정체성은 사실 개인 데이터를 그럴듯하게 표현하는 용어에 불과하다는 점을 감안하면 자연스러운 수순이다.

우리가 온라인에서 사용하는 정체성은 거래를 증명하거나 리소스에 대한 권리를 주장하는 용도로 사용되는 경우가 많다. 이 증명은 더 넓은 범위에서 일어나는 이벤트 체인과 데이터 공유의 일부분이다. 정체성 계정 내의 클레임은 작업을 주도하고 서비스를 제공할 수 있다는 면에서 리소스 액세스를 위한 관문이다. 

API 대세는 풍부한 데이터가 사용되는 현대의 디지털 정체성을 반영하는 자연스러운 현상이다. 디지털 정체성에 대한 API 접근 방식을 사용하면 갈수록 광범위해지는 소비자 앱과 서비스 전반에 걸쳐 연결 유연성을 얻을 수 있다. 이러한 서비스 중 하나로, 유럽 연합의 지불 서비스 지침(Payment Services Directive, PSD2) 규정에 따라 은행은 서드파티 공급업체(TPP)에게 통합을 위한 개방된 API를 제공해야 한다. 사용자 인증과 정체성 클레임이 중심이 되어 이렇게 여러 사용자 계정에 걸쳐 점을 연결하는 것은 온라인 정체성의 성숙을 위해 필수적인 현상이다.

- 시민 정체성
2019년에는 여러 시민 정체성 제도가 부침을 겪었다. 영국 정부의 정체성 이니셔티브인 베리파이(Verify)는 유력 정체성 공급업체 상당수가 이탈하면서 사용자 선택권이라는 핵심 기능을 잃었다. 

인도에서는 12억 명의 시민들이 피해를 입은 대규모 아드하르(Aadhar) 정체성 데이터 유출 사건 이후 정부가 나서 수정하겠다고 했지만 아드하르에 대해서는 우려의 목소리가 많다. 시민 정체성은 전세계의 많은 정부가 계속해서 연구하고 있는 분야다. 

캐나다의 경우 캐나다 디지털 ID 및 인증 위원회(Digital ID & Authentication Council of Canada, DIACC)를 통한 전국민 신뢰 프레임워크(Pan-Canadian Trust Framework)가 있다. 카메룬, 벨기에, 일본, 이탈리아와 같은 국가도 새로운 제도를 마련했다.

- 자주적 디지털 정체성
“신선한 충격”을 준 정체성 프로비저닝 분야 중 하나는 탈중앙화(자주적) 정체성 운동이다. 2019년 자주적 정체성(Self-Sovereign Identity, SSI) 또는 탈중앙화된 ID는 많은 측면에서 정체성 스펙트럼의 맨 끝단에 위치했다. 지금까지 정체성 데이터는 중앙에서 관리됐고 데이터 통제권은 발급 기관(일반적으로 정부)에 있었지만 자주적 정체성은 사용자에게 자신의 데이터에 대한 통제력을 부여하는 데 핵심을 둔다.

2019년 자주적 정체성에 관한 업계 전문가들의 의견은 둘로 나뉘었다. 그러나 이 개념을 반대하는 진영의 많은 사람은 후폭풍을 염려해 입을 다물었다. 필자는 2019년 탈중앙화된 ID의 상업적 이용에 관한 SSI 커뮤니티의 3가지 질문을 던졌다. 소브린 재단(Sovrin Foundation)의 회장인 필 윈들리는 개인 블로그를 통해 이 질문에 답했다. 필은 “이것이 목적을 달성하는 유일한 방법은 아니지만, 유일한 보편적 방법이다. 다른 정체성 시스템과 프로토콜도 계속 존재하면서 정체성 메타시스템에 연결될 것”이라고 말했다.


복잡한 ID 커뮤니티

디지털 정체성은 골치 아픈 비즈니스다. 혼잡하고 모호하며, 각자 전체 퍼즐의 한 조각을 제공하는 온갖 서비스와 앱으로 가득 차 있다. 이 퍼즐 또는 윈들리가 말한 “정체성 메타시스템”은 자주적, 시민, 소비자 및 앱 기반 ID 또는 부분 ID로 구성된다. 이 메타시스템은 정체성 증명, 사기 확인, 속성 공급업체, 로그인 서비스(페이스북과 같은 소셜 플랫폼 포함)를 포함한 다른 서비스에서 데이터를 가져온다. 정체성 메타시스템은 본질적으로 광범위하고 복잡하다.

2019년, 메타시스템 전반의 복잡한 정체성 업체 대열에 “애플로 로그인”이 가세했다. 애플은 개인정보보호가 강화된 서비스로 페이스북, 구글과 같은 소셜 업체를 사용한 로그인과 경쟁한다. 

애플ID는 정체성 프로토콜인 오픈ID 커넥트(OpenID Connect, OIDC)를 기반으로 한다. 오픈ID 커넥트 재단은 2019년 4월 애플에 상호운용성과 테스트를 포함한 여러 영역을 살펴볼 것을 요청하는 공개 서한을 보냈다. 애플은 이 서한에 대응해서 OIDC 규정을 완전히 준수하도록 문제를 수정했다.


오케스트레이션을 통해 정체성 편의성 향상

2019년에 성숙해진 중요한 개념 하나는 정체성이 완전한 하나의 생태계라는 것이다. API 접근 방식이 자리를 잡으면서 정체성과 데이터가 가진 잠재력이 온전히 드러났다. 필자는 정체성 생태계의 모든 주체를 하나로 모으는 것이 궁극적인 길이며, 이것이 개인과 기업에 강력한 힘을 부여하게 될 것이라고 생각한다. 

오케스트레이션 서비스는 액세스 관리부터 고객 알기(Know Your Customer, KYC)에 이르기까지 모든 곳에 적용 가능한 확장된 정체성 생태계에 새로운 생명을 부여할 것이다. 오케스트레이션 엔진을 사용해서 퍼즐의 API 조각을 합치면 소비자의 요구와 기업의 필요 간의 경계선을 넘나들 수 있는 새로운 정체성 관리 시대가 펼쳐진다.


디지털 정체성의 다음 단계는?

UN과 세계은행은 한 가지 목표를 두고 있다. ID4D 이니셔티브를 사용해서 2030년까지 전세계 모든 사람이 합법적인 정체성을 갖도록 한다는 것이다. 2020년에는 이 목표를 향한 움직임이 시작되기를 희망한다. 내년에 일어날 가능성이 있는 일을 정리하면 다음과 같다.

- 보편적인 정체성 서비스에 구현되는 자주적 ID 
SSI의 가능성을 탐구하는 몇몇 시범 프로그램이 있다. 자주적 정체성을 시민 ID 서비스를 위한 현실적인 옵션으로 보는 정부도 일부 있다. 탈중앙화된 ID는 아직 초기 단계지만 지식과 결단력으로 무장한 사람들이 주도하고 있는 만큼 2020년에는 더 부상할 가능성이 높다.
 
- 오케스트레이션을 통한 더 많은 선택권 
디지털 정체성 사용의 핵심은 거래를 수행하거나 리소스에 액세스하기 위해 일정한 방법으로 개인 데이터를 공유하거나 정보를 제공하는 것이다. 데이터 공유는 이분법이 아니다. 2020년은 “데이터 유체(data-fluid)”가 힘을 받는 해가 될 것이다. 조직과 개인 모두 온라인 경험을 최대한 이용하기 위해서는 고도로 유연한 데이터 서비스가 필요하다. 또한 기존의 수많은 계정도 활용해야 한다.

이미 있는 것을 새로 만드는 데는 많은 시간과 돈이 들어간다. 데이터와 정체성에 대한 오케스트레이션과 API 접근 방식은 정체성 생태계가 마침내 번창하게 되는 촉매가 될 것이다.

- 계속되는 데이터 침해 
데이터에 가치가 있는 한 데이터 침해는 계속된다. 필자는 이전 기사에서 딥페이크(deepfakes)가 몸캠 피싱(sextortion), 기업 이메일 침해(Business Email Compromise, BEC)와 같은 범죄에 이용될 것이라고 경고했다. 

딥페이크에는 먹이가 필요한데, 정체성 데이터가 가장 먹음직스러운 먹이다. 데이터 침해에는 행동 데이터와 얼굴 인식을 사용해 캡처된 이미지를 비롯한 이미지가 더 많이 포함될 것이다. 따라서 정체성 시스템과 정체성 데이터가 보관된 계정을 강화해 딥페이크와 데이터 수확 공격에 대비해야 한다. 


2020년 디지털 정체성에 대한 희망 사항

내년에는 디지털 정체성의 모든 문제가 2020년에 해결되었다는 칼럼을 쓸 수 있기를 희망한다. 모든 사람이 정체성을 이용할 수 있게 하고, 장애를 가진 사용자와 디지털 풋프린트가 거의 없거나 아예 없는 사람들(예를 들어 난민)에게도 안전하고 유용한 온라인 정체성에 대한 권리 보장하기와 같은 것들이다. 그레이스 무퉁구가 말한 케냐 정부의 디지털 신원 제도 사례와 같이 시스템 설계의 복잡한 문제로 인해 디지털 정체성을 얻지 못하는 사람도 있다.

시스템 설계는 정체성 분야에서 2020년에 발전이 필요한 핵심 영역이다. 모든 사람이 갈수록 정체성을 더 많이 사용한다. 정체성은 온라인 거래의 초석이며, 개인적인 삶과 직장 업무에서 모두 사용된다.

그러나 정체성 시스템의 설계는 기술에서 가장 복잡한 분야 중 하나다. 디지털 정체성 생태계는 보안부터 개인정보 보호, 접근성, 사용 편의성에 이르기까지 모든 요소를 포괄한다. 소비자 수준에서 확장성과 응답성이 뛰어나야 하며 고도의 연결성이 필요하다. 환경에 따라 변화할 수 있는 현명한 규칙이 필요하다. 사용자가 자신의 데이터와 이 데이터를 기반으로 하는 거래를 파악하고 통제할 수 있도록 해야 한다. 2020년에는 잘 설계된 뛰어난 정체성 시스템이 등장하기를 기대한다.

아이 하나를 기르려면 온 마을이 힘을 모아야 한다는 말이 있는데, 모두를 위한 훌륭한 디지털 정체성을 만들려면 온 세계가 힘을 모아야 한다. editor@itworld.co.kr 


2020.01.21

글로벌 칼럼 | 2020년 디지털 ID 전망

Susan Morrow | CSO
2019년, 세계가 정체성(Identity)의 용도와 기능에 눈을 뜨면서 정체성 분야가 잠에서 깨어나기 시작했다.
 
ⓒ Getty Images Bank 

디지털 정체성은 전통적인 정체성 및 액세스 관리(Identity and Access Management, IAM)의 잔해에서 태어나 사이버보안의 핵심 요소로 부상했다. 갈수록 디지털화되는 세계에서는 정체성이 전부다. 모든 디바이스의 중심에는 정체성이 위치하면서 리소스 액세스뿐만 아니라 리소스가 소비하는 데이터를 통제하는 역할도 한다.

기계 속의 인간은 실제 정체성뿐만 아니라 보안의 열쇠이기도 하다. 데이터 침해는 2019년 전반기에만 54% 증가했다. 데이터가 곧 정체성이다. 사람에게 권한을 부여하려면 정체성에 권한을 부여해야 한다. 2020년에는 디지털 정체성이 새로운 성숙 단계로 발전하게 될까?    


현재 상황

현재 정체성 분야는 정체성 공급업체, 데이터 속성 서비스, 소셜 계정 및 관련 로그인, 앱 기반 ID 등이 뒤섞여 혼란스럽다. 정체성 생태계의 중요한 요소를 정리해 보면 다음과 같다.

- 정체성과 API
2019년 들어 이전의 많은 정체성 업체가 옷을 갈아입고 코드를 수정해 각자 핵심 제품의 API 버전을 만들면서 전통적인 정체성 플랫폼이 API로 다시 부상했다. 디지털 정체성은 사실 개인 데이터를 그럴듯하게 표현하는 용어에 불과하다는 점을 감안하면 자연스러운 수순이다.

우리가 온라인에서 사용하는 정체성은 거래를 증명하거나 리소스에 대한 권리를 주장하는 용도로 사용되는 경우가 많다. 이 증명은 더 넓은 범위에서 일어나는 이벤트 체인과 데이터 공유의 일부분이다. 정체성 계정 내의 클레임은 작업을 주도하고 서비스를 제공할 수 있다는 면에서 리소스 액세스를 위한 관문이다. 

API 대세는 풍부한 데이터가 사용되는 현대의 디지털 정체성을 반영하는 자연스러운 현상이다. 디지털 정체성에 대한 API 접근 방식을 사용하면 갈수록 광범위해지는 소비자 앱과 서비스 전반에 걸쳐 연결 유연성을 얻을 수 있다. 이러한 서비스 중 하나로, 유럽 연합의 지불 서비스 지침(Payment Services Directive, PSD2) 규정에 따라 은행은 서드파티 공급업체(TPP)에게 통합을 위한 개방된 API를 제공해야 한다. 사용자 인증과 정체성 클레임이 중심이 되어 이렇게 여러 사용자 계정에 걸쳐 점을 연결하는 것은 온라인 정체성의 성숙을 위해 필수적인 현상이다.

- 시민 정체성
2019년에는 여러 시민 정체성 제도가 부침을 겪었다. 영국 정부의 정체성 이니셔티브인 베리파이(Verify)는 유력 정체성 공급업체 상당수가 이탈하면서 사용자 선택권이라는 핵심 기능을 잃었다. 

인도에서는 12억 명의 시민들이 피해를 입은 대규모 아드하르(Aadhar) 정체성 데이터 유출 사건 이후 정부가 나서 수정하겠다고 했지만 아드하르에 대해서는 우려의 목소리가 많다. 시민 정체성은 전세계의 많은 정부가 계속해서 연구하고 있는 분야다. 

캐나다의 경우 캐나다 디지털 ID 및 인증 위원회(Digital ID & Authentication Council of Canada, DIACC)를 통한 전국민 신뢰 프레임워크(Pan-Canadian Trust Framework)가 있다. 카메룬, 벨기에, 일본, 이탈리아와 같은 국가도 새로운 제도를 마련했다.

- 자주적 디지털 정체성
“신선한 충격”을 준 정체성 프로비저닝 분야 중 하나는 탈중앙화(자주적) 정체성 운동이다. 2019년 자주적 정체성(Self-Sovereign Identity, SSI) 또는 탈중앙화된 ID는 많은 측면에서 정체성 스펙트럼의 맨 끝단에 위치했다. 지금까지 정체성 데이터는 중앙에서 관리됐고 데이터 통제권은 발급 기관(일반적으로 정부)에 있었지만 자주적 정체성은 사용자에게 자신의 데이터에 대한 통제력을 부여하는 데 핵심을 둔다.

2019년 자주적 정체성에 관한 업계 전문가들의 의견은 둘로 나뉘었다. 그러나 이 개념을 반대하는 진영의 많은 사람은 후폭풍을 염려해 입을 다물었다. 필자는 2019년 탈중앙화된 ID의 상업적 이용에 관한 SSI 커뮤니티의 3가지 질문을 던졌다. 소브린 재단(Sovrin Foundation)의 회장인 필 윈들리는 개인 블로그를 통해 이 질문에 답했다. 필은 “이것이 목적을 달성하는 유일한 방법은 아니지만, 유일한 보편적 방법이다. 다른 정체성 시스템과 프로토콜도 계속 존재하면서 정체성 메타시스템에 연결될 것”이라고 말했다.


복잡한 ID 커뮤니티

디지털 정체성은 골치 아픈 비즈니스다. 혼잡하고 모호하며, 각자 전체 퍼즐의 한 조각을 제공하는 온갖 서비스와 앱으로 가득 차 있다. 이 퍼즐 또는 윈들리가 말한 “정체성 메타시스템”은 자주적, 시민, 소비자 및 앱 기반 ID 또는 부분 ID로 구성된다. 이 메타시스템은 정체성 증명, 사기 확인, 속성 공급업체, 로그인 서비스(페이스북과 같은 소셜 플랫폼 포함)를 포함한 다른 서비스에서 데이터를 가져온다. 정체성 메타시스템은 본질적으로 광범위하고 복잡하다.

2019년, 메타시스템 전반의 복잡한 정체성 업체 대열에 “애플로 로그인”이 가세했다. 애플은 개인정보보호가 강화된 서비스로 페이스북, 구글과 같은 소셜 업체를 사용한 로그인과 경쟁한다. 

애플ID는 정체성 프로토콜인 오픈ID 커넥트(OpenID Connect, OIDC)를 기반으로 한다. 오픈ID 커넥트 재단은 2019년 4월 애플에 상호운용성과 테스트를 포함한 여러 영역을 살펴볼 것을 요청하는 공개 서한을 보냈다. 애플은 이 서한에 대응해서 OIDC 규정을 완전히 준수하도록 문제를 수정했다.


오케스트레이션을 통해 정체성 편의성 향상

2019년에 성숙해진 중요한 개념 하나는 정체성이 완전한 하나의 생태계라는 것이다. API 접근 방식이 자리를 잡으면서 정체성과 데이터가 가진 잠재력이 온전히 드러났다. 필자는 정체성 생태계의 모든 주체를 하나로 모으는 것이 궁극적인 길이며, 이것이 개인과 기업에 강력한 힘을 부여하게 될 것이라고 생각한다. 

오케스트레이션 서비스는 액세스 관리부터 고객 알기(Know Your Customer, KYC)에 이르기까지 모든 곳에 적용 가능한 확장된 정체성 생태계에 새로운 생명을 부여할 것이다. 오케스트레이션 엔진을 사용해서 퍼즐의 API 조각을 합치면 소비자의 요구와 기업의 필요 간의 경계선을 넘나들 수 있는 새로운 정체성 관리 시대가 펼쳐진다.


디지털 정체성의 다음 단계는?

UN과 세계은행은 한 가지 목표를 두고 있다. ID4D 이니셔티브를 사용해서 2030년까지 전세계 모든 사람이 합법적인 정체성을 갖도록 한다는 것이다. 2020년에는 이 목표를 향한 움직임이 시작되기를 희망한다. 내년에 일어날 가능성이 있는 일을 정리하면 다음과 같다.

- 보편적인 정체성 서비스에 구현되는 자주적 ID 
SSI의 가능성을 탐구하는 몇몇 시범 프로그램이 있다. 자주적 정체성을 시민 ID 서비스를 위한 현실적인 옵션으로 보는 정부도 일부 있다. 탈중앙화된 ID는 아직 초기 단계지만 지식과 결단력으로 무장한 사람들이 주도하고 있는 만큼 2020년에는 더 부상할 가능성이 높다.
 
- 오케스트레이션을 통한 더 많은 선택권 
디지털 정체성 사용의 핵심은 거래를 수행하거나 리소스에 액세스하기 위해 일정한 방법으로 개인 데이터를 공유하거나 정보를 제공하는 것이다. 데이터 공유는 이분법이 아니다. 2020년은 “데이터 유체(data-fluid)”가 힘을 받는 해가 될 것이다. 조직과 개인 모두 온라인 경험을 최대한 이용하기 위해서는 고도로 유연한 데이터 서비스가 필요하다. 또한 기존의 수많은 계정도 활용해야 한다.

이미 있는 것을 새로 만드는 데는 많은 시간과 돈이 들어간다. 데이터와 정체성에 대한 오케스트레이션과 API 접근 방식은 정체성 생태계가 마침내 번창하게 되는 촉매가 될 것이다.

- 계속되는 데이터 침해 
데이터에 가치가 있는 한 데이터 침해는 계속된다. 필자는 이전 기사에서 딥페이크(deepfakes)가 몸캠 피싱(sextortion), 기업 이메일 침해(Business Email Compromise, BEC)와 같은 범죄에 이용될 것이라고 경고했다. 

딥페이크에는 먹이가 필요한데, 정체성 데이터가 가장 먹음직스러운 먹이다. 데이터 침해에는 행동 데이터와 얼굴 인식을 사용해 캡처된 이미지를 비롯한 이미지가 더 많이 포함될 것이다. 따라서 정체성 시스템과 정체성 데이터가 보관된 계정을 강화해 딥페이크와 데이터 수확 공격에 대비해야 한다. 


2020년 디지털 정체성에 대한 희망 사항

내년에는 디지털 정체성의 모든 문제가 2020년에 해결되었다는 칼럼을 쓸 수 있기를 희망한다. 모든 사람이 정체성을 이용할 수 있게 하고, 장애를 가진 사용자와 디지털 풋프린트가 거의 없거나 아예 없는 사람들(예를 들어 난민)에게도 안전하고 유용한 온라인 정체성에 대한 권리 보장하기와 같은 것들이다. 그레이스 무퉁구가 말한 케냐 정부의 디지털 신원 제도 사례와 같이 시스템 설계의 복잡한 문제로 인해 디지털 정체성을 얻지 못하는 사람도 있다.

시스템 설계는 정체성 분야에서 2020년에 발전이 필요한 핵심 영역이다. 모든 사람이 갈수록 정체성을 더 많이 사용한다. 정체성은 온라인 거래의 초석이며, 개인적인 삶과 직장 업무에서 모두 사용된다.

그러나 정체성 시스템의 설계는 기술에서 가장 복잡한 분야 중 하나다. 디지털 정체성 생태계는 보안부터 개인정보 보호, 접근성, 사용 편의성에 이르기까지 모든 요소를 포괄한다. 소비자 수준에서 확장성과 응답성이 뛰어나야 하며 고도의 연결성이 필요하다. 환경에 따라 변화할 수 있는 현명한 규칙이 필요하다. 사용자가 자신의 데이터와 이 데이터를 기반으로 하는 거래를 파악하고 통제할 수 있도록 해야 한다. 2020년에는 잘 설계된 뛰어난 정체성 시스템이 등장하기를 기대한다.

아이 하나를 기르려면 온 마을이 힘을 모아야 한다는 말이 있는데, 모두를 위한 훌륭한 디지털 정체성을 만들려면 온 세계가 힘을 모아야 한다. editor@itworld.co.kr 


X