블록체인

블록체인이 만드는 비밀번호 없는 세상

Lucas Mearian  | Computerworld 2019.01.04
기업에서 가상의 버튼을 클릭해서 신입 사원의 신원을 확인하고 시스템에 집어넣거나, 은행 고객이 역시 단 한 번의 클릭으로 개인 식별 정보 노출 없이 대출용 신원 증명을 할 수 있다고 상상해 보자.
 
이것이 바로 분산 신원 관리 분야에서 블록체인이 지닌 잠재력이다. 블록체인은 온갖 종류의 개인 데이터, 금융 데이터의 저장소 역할을 하는 디지털 지갑을 만든다. 정보는 요청이 있을 때 소유자의 허가 하에서만 공유할 수 있다.
 
블록체인 분산 원장 기술(Distributed Ledger Technology, DLT)은(디지털 ID 확인과의 조합을 통해) 소비자 제품 판매부터 은행의 고객 알기 규정, 기밀 비즈니스 시스템 접근을 허용하는 직원 인증 정보에 이르기까지 구석구석 퍼진 온라인 개인정보 보호 문제를 해결할 잠재력을 지녔다.
 
가트너의 선임 연구 이사인 호만 파라만드는 “여러 업체가 초기 연구개발 단계이거나 파일럿 프로젝트로 제품을 시험 중”이라면서 “단순히 작동하는 제품이 있다는 것만으로는 충분하지 않기 때문에 지금 시장의 승자를 예측하기는 너무 이르다. 분산 ID를 위해서는 활발한 생태계, 분산 원장이나 블록체인을 기반으로 구축된 견고한 ID 신뢰 패브릭, 사용자 친화적인 기능을 지원하기 위한 툴, 폭넓은 도입을 뒷받침하는 쾌적한 개발자 환경이 필요하다”고 지적했다.
 
덴버에 본사를 둔 신용조합 서비스 조직(CUSO)인 CU레저(CULedger)의 최고 사업 책임자 줄리 에서에 따르면 디지털 ID를 암호화된 분산 블록체인 원장에 저장할 때 얻는 보안적 이점은 “허니팟”, 즉 고객 계정 정보를 담는 중앙 저장소를 없앨 수 있다는 점이다. 이러한 저장소는 해커의 주 공격 목표가 된다.
 

신용 조합은 이미 ID 관리 테스트 중

다른 CUSO와 마찬가지로 CU레저도 백오피스 서비스 제공 용도로 여러 신용 조합이 소유한 협동조합이다. 1년 전에 마이 CUID(My CUID)라는 블록체인 기반 ID 관리 플랫폼을 구축하기 위해 결성됐다. 이 플랫폼은 2019년 하반기에 출범할 예정이며 데이터 보호의 키를 앱에 가입하는 고객에게 넘겨주게 된다. CU레저의 투자사는 36개로, 그 중 26개가 신용조합이고 나머지는 CUSO다.
 
CU레저는 지난 10월부터 5개 다른 신용조합과 또 다른 CUSO와 함께 마이 CUID 파일럿을 시작했다. 마이 CUID 이후 사용자 이름과 암호를 사용할 필요가 없어졌다. 당연히 고객이 암호를 분실한 경우 신용조합 콜센터에서 이를 재설정해야 할 일도 없다.
 
작동 방식은 이렇다. 회원사 신용조합의 신규 또는 기존 고객이 고객 서비스 콜센터에 연락하면 콜센터는 고객의 모바일 디바이스로 마이 CUID 앱 다운로드 링크가 포함된 문자 메시지를 보낸다. 이후 신용조합 측 담당자가 고객에게 인증 정보, 즉 디지털 지갑을 발급한다. 이 지갑에는 처음 고객 연락 시 수집된 개인 식별 정보가 포함된다. 이 정보는 암호화되고 회원의 승인이 있어야만 액세스가 가능하다. 승인은 회원이 거래를 할 때 요청된다.
 
마이 CUID를 사용하는 고객이 신용조합에 연락하면(또는 그 반대의 경우도 마찬가지) 스마트폰 또는 태블릿에 거래 완료에 필요한 멤버십 확인을 요청하는 팝업 대화 상자가 수신된다.
 
에서는 “여기서 확인이나 거부를 클릭하는 단계는 스마트폰에서 사용되는 기존 앱과 별반 다르지 않다. 모두 우리가 만든 암호화된 채널을 기반으로 이뤄진다. 양방향 보안 커뮤니케이션 채널이 만들어지므로 신용조합 측에서 통화 상대가 본인이 맞는지 확실히 알 수 있을 뿐만 아니라, 그 사람도 전화를 건 상대방이 신용조합임을 확신할 수 있다”고 말했다.
 
CU레저는 2019년까지 신용조합 회원에게 100만 장의 디지털 ID를 발급하는 것을 목표로 두고 있다. 에서는 신용조합은 고객 알기(Know-Your-Customer) 연방 규정을 준수해야 하는데 블록체인 기반 디지털 ID 서비스를 사용하면 이 규정 준수 요건도 충족할 수 있다고 말했다.
 

마이 CUID는 고객에게 블록체인 암호화 키를 전달해 고객 본인의 ID에 대한 통제 권한을 넘기고, 아울러 사용자 로그인 이름과 암호의 필요성을 없애고 신용조합 콜센터 담당자가 회원을 승인하는 데 걸리는 시간도 대폭 줄여준다.
 
기존 방식으로는 거래를 시작하기 전에 담당자가 회원을 승인하는 데만 60~90초가 소요된다. 에서는 마이 CUID를 통해 이 시간을 5초 이하로 줄일 수 있다면서 “기존 시스템의 경우 고객이 콜센터에 전화를 걸면 신원 확인을 위해 20가지 질문을 받는다. 고객 입장에서 유쾌한 경험은 아니며 수정해야 할 불편한 프로세스”라고 말했다.
 
신용조합 및 기타 금융 서비스 업체는 전통적으로 콜센터 및 고객 인증 서비스를 외부 서비스 제공업체에 의존하는데 이러한 업체 대다수가 해외에 위치한다. 에서는 “CU레저는 고객 인증의 통제 권한을 신용조합 회원에게 돌려준다”고 말했다.
 
CU레저는 2019년 프로덕션 고객 권한 네트워크를 확장할 계획이다. 현재 IBM의 하이퍼레저 패브릭(Hyperledger Fabric) 서비스, 그리고 은행과 보험사 및 기타 금융 서비스 업체로 구성된 가장 큰 상업 블록체인 컨소시엄인 R3의 코다(Corda)를 포함한 여러 블록체인 플랫폼을 저울질하고 있다. 또한, CU레저는 분산 애플리케이션(dApps)을 만들기 위한 소프트웨어 플랫폼인 스월즈(Swirlds)를 만든 헤데라 파운데이션(Hedera Foundation)과의 협력도 고려하고 있다.
 
스월즈는 초당 3~4개의 트랜잭션을 처리하는 비트코인과 달리 초당 100,000개 이상의 트랜잭션을 처리할 수 있는, 금융 서비스 산업에 적합한 DLT인 해시그래프(Hashgraph) 프로토콜을 기반으로 한다.
 
에서는 “트랜잭션을 즉각, 실시간으로 수행할 수 있는 역량이 필요하다”면서 “자체 플랫폼을 만들 계획이었지만 분산 ID 부분에 초점을 두면 기존에 있는 것을 다시 만들 필요가 없다. 다른 블록체인 플랫폼이 필요한 애플리케이션도 있을 수 있다”고 말했다.
 

자주적 ID의 원리

자신의 온라인 정보(신용카드 번호, 생년월일, 연 수입 등)를 의식하는 소비자에게 블록체인에는 CU레저가 만드는 것과 같은 “자주적” ID를 구현할 잠재력을 지녔다. 이는 누가 자신의 데이터를 보는지 스스로 통제하고 수입에 대한 세부 정보를 노출하지 않고 구매 승인을 받을 수 있음을 의미한다.
 
자주적 ID의 작동 방식은 이렇다. 사용자가 은행에서 신용 한도를 확인하거나 고용주가 연간 수입을 확인한다. 이 확인 정보는 암호화된 다음 사용자가 개인 및 공용 암호화 키를 보유한 공용 블록체인 원장에 올라간다.
 
예를 들어 구매자가 자동차 대리점에서 자동차 구입 자금 대출을 받으려는 경우 소비자는 공개 키를 통해 정확한 금액을 노출하지 않고도 자신의 신용 또는 연간 수입이 충분한지 여부를 확인하는 권한을 대리점에 부여할 수 있다. 따라서 자동차 대리점이 예를 들어 소비자의 연 수입이 5만 달러 이상인지 확인하고자 한다면 블록체인 원장을 통해 그 여부만 확인할 수 있다. 7만 2,587달러라는 실제 수입은 공개되지 않는 것이다.
 
이 기밀 기술은 사용자가 배경 정보를 노출하지 않고 자금, 자산 또는 식별 정보의 존재를 증명할 수 있도록 하는 기술로, 영지식 증명(zero knowledge proof, ZKP)이라고 한다. 언스트 앤 영(Ernst & Young)은 2019년에 출범할 예정으로, 기업에서 ZKP를 사용해서 비즈니스 트랜잭션을 기밀로 완료하는 공용 블록체인 프로토타입을 만들었다.
 

기업에서의 자주적 ID

CU레저는 새로운 비영리 기구인 소브린 파운데이션(Sovrin Foundation)과도 협력 중이다. 소브린 파운데이션은 블록체인 기반의 소브린 네트워크를 구축했다. 이 네트워크는 전 세계 누구나 사전 검증된 데이터를 동일한 분산 원장에 있는 다른 모든 주체와 교환할 수 있게 해준다.
 
소브린 네트워크를 통해 발급되는 온라인 인증 정보는 지갑에 넣고 다니는 운전면허증이나 회사 ID, 은행 현금 카드와 같은 실제 ID 카드와 비슷하다. 가상의 암호화된 지갑은 은행, 정부 기관 또는 고용 회사 등 그 지갑을 만든 기관과 연결되고, 기관은 블록체인을 통해 요청자에게 필요한 정보를 자동으로 검증할 수 있다.
 
소브린 파운데이션 회장이며 공동 창업자인 필 윈들리는 “우리의 시장 전략은 최종 사용자에게 직접 접근하는 것이 아니라 기업 파트너와 협력해 이들의 ID 문제를 해결하는 것이다. 이 분야에 많은 노력을 기울이는 중이며 여러 파트너를 확보했다. 대표적인 파트너로는 브리티시 콜롬비아 주 정부, CU레저, IBM/ATB 파이낸셜(IBM/ATB Financial)이 있다”고 말했다.
 
브리티시 콜롬비아 주 정부와 온타리오 주 정부는 이미 비즈니스 등록 및 면허를 위해 비즈니스용 소브린 네트워크를 사용하는 프로덕션 시스템을 구축했다. 윈들리에 따르면 이 둘은 지금까지 총 600만 개의 인증 정보를 발급했다.
 
소브린 개발 파트너인 IBM, 워크데이(Workday), ATB 파이낸셜(앨버타 주의 은행) 역시 소브린 네트워크의 파일럿 테스트를 시작했다.
 
파트너들은 IBM 직원들을 대상으로 디지털 인증 정보가 어떻게 사용되는지를 시연하는 중이다. ATB 파이낸셜이 디지털 인증 정보를 발급하면 이 인증 정보를 사용해서 은행과 IBM 사용자 네트워크에 로그인할 수 있다. 윈들리는 분산 원장 애플리케이션이 직원의 금융 정보를 확인하는 역할 외에 직원이 사용자 이름과 암호를 사용할 필요도 없애준다고 말했다.
 
윈들리는 “암호화 기반이므로 연결된 공개 키가 있고 직원이 개인 키를 소유한다”고 말했다.
 

가트너의 파라만드는 블록체인 분산 원장 기반의 자주적 ID가 신규 직원의 시스템 편입을 포함한 모든 종류의 기업 용도로 주목받고 있다고 말했다.
 
신규 직원이 채용되면 그 직원에 의해 새로운 분산 식별자가 생성되어 기업으로 전달된다. 파라만드는 이 식별자가 기업 네트워크와 애플리케이션에 대한 사용자 승인을 위해 내부 시스템 내에 전파된다고 말했다.
 
파라만드는 “온보딩 프로세스와 그에 뒤따르는 ID 수명주기 관리 작업의 속도를 높여주고 암호 없는 인증을 가능하게 해준다는 면에서 큰 매력을 지녔다. 또한 한 사람이 조직과 관련해 가진 복수의 페르소나를 통합하는 데도 도움이 된다”면서 디지털 ID를 사용해서 조직 기반의 권한을 기준으로 회사 내의 여러 시스템에 액세스할 수 있다고 설명했다.
 
분산 ID에서 널리 사용되는 설계 패턴은 중심 식별자, 그리고 사용자가 조직과 가진 각 관계에 대한 “페어와이즈(pairwise)” 식별자 집합으로 구성된다. 페어와이즈 식별자는 중심 식별자로부터 암호화되어 파생된다. 페어와이즈 식별자를 통해 기업 시스템은 각 관계에서 사용자 ID를 검증하고, 다양한 관계에 걸친 사용자 활동의 상호 연계를 차단할 수도 있다. 파라만드는 이를 통해 프로토콜 수준에서 설계 차원의 개인정보 보호 원칙을 실현할 수 있다고 말했다.
 
예를 들어 은행 직원은 동일한 자주적 ID를 사용하면서 은행 고객도 될 수 있다. 일반적으로 이 두 개의 페르소나는 두 개의 개별 시스템에서 두 개의 디지털 ID로 표현된다. 하나는 은행 직원, 하나는 은행 고객이다. 
 
파라만드는 “분산 ID 모델의 경우 같은 사람이 두 가지의 식별자 집합을 가질 수 있다. 이 두 식별자는 동일한 중심 디지털 ID에 매핑되므로 사용자 활동을 조정하는 과정이 간소화될 수 있다”고 말했다.
 
자주적 ID의 또 다른 혜택은 한 조직의 직원이 다른 조직의 시스템에 대한 액세스 권한을 갖는 B2B 시나리오에서의 능률 향상이다. 파라만드는 예를 들어 호스트 조직이 게스트 조직이 주장하는 분산 ID를 신뢰한다면 새 페어와이즈 분산 식별자를 생성해서 사용자를 승인할 수 있으며, 이를 통해 비즈니스 고객 또는 다른 파트너의 온보딩 및 액세스 통제가 간편해진다고 말했다.
 

넘어야 할 큰 장애물

블록체인 기반의 자주적 ID는 개인정보 보호 및 효율성 향상 측면에서 큰 잠재력을 지녔지만 아직 확실히 해결되지 않은 중대한 기술적 장애물도 남아 있다. 우선 블록체인에 대한 신뢰다.
 
2018 가트너 CIO 설문에 따르면 전 세계 기업 중 프로덕션 환경에 실제로 블록체인을 구축한 기업의 비중은 3.3%에 불과하다.
 
가트너 부사장이며 특별 분석가인 아비바 리탄은 블로그에 올린 글에서 블록체인이 수수료 없는 국제 결제부터 공급망 추적에 이르기까지 모든 국제 트랜잭션 네트워크 요구 사항을 해결할 만능열쇠가 되기 위해 먼저 극복해야 할 8가지 장애물을 언급했다.
 
그 중에서도 큰 과제는 DLT 시스템을 현재 기업 직원 ID의 저장소로 사용되는 레거시 데이터베이스와 통합하는 것이다. 또한 분산 ID 시스템은 활발한 생태계, 분산 원장 또는 블록체인을 기반으로 구축된 견고한 ID 신뢰 패브릭, 사용자 친화적인 기능을 지원하기 위한 툴, 폭넓은 도입을 뒷받침하기 위한 쾌적한 개발자 환경도 필요하다.
 
파라만드는 “고객에게 이 분야를 주시하고 제한적인 실험이나 개념 증명 프로젝트를 추진하도록 독려하지만 동시에 이러한 제품이 실전 검증을 거치고 다양한 유형의 공격에도 견딜 수 있을 만큼 견고한지도 확인해야 한다고 조언한다”고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.