보안 / 블록체인

"파괴인가, 혁신인가?" 블록체인 안에서 만나는 웹3와 IAM의 가능성

Matthew Tyson  | CSO 2022.06.16
ID 및 접근 관리(IAM)는 폭 넓은 IT 관행을 적극 수용하는 프레임워크다. IAM은 위협 행위자 활동과 인프라 복잡성이 증가하면서 그 중요성이 커지고 있다. 최근 사용되는 도구도 더욱 정교해진다.

웹3 기술에는 IAM 대응에 특화된 고유의 특징이 있다. 먼저 웹3는 암호학을 바탕으로 전례 없는 수준의 개인정보보호 기능을 내장했다. 블록체인의 유효성은 암호화에 입각한다. 즉, 암호화 특성상 모든 온체인 데이터가 어느 정도 보호된다.
웹3의 세계와 IAM의 세계가 서로 만나는 지점과 미래의 가능성을 살펴보자.
 
ⓒ Getty Images Bank

블록체인 기술의 기초

(최소한 이상적인 형태의) 블록체인 애플리케이션은 범용적인 분산 데이터저장소로 봐야 한다.

이 데이터저장소에는 두 종류의 노드가 있다. 하나는 청구를 제기하는 방식으로 네트워크에 참여한다(일명 지갑 노드). 다른 하나인 풀(full) 노드는 제기된 청구를 검증하기 위해 협업하는 방식으로 네트워크에 참여한다. 
지갑 노드는 거래를 데이터베이스에 제출한다. 협업하는 풀 노드 네트워크에 의해 유효하다고 판단된 거래는 데이터저장소의 공유된 진실의 일부가 된다. 그러면 지갑 노드는 거래에 대한 청구를 제기할 수 있다. 가장 기본적인 청구는 일정한 데이터의 소유권 청구이다.
이 모든 것이 가능한 이유는 지갑이 근본적으로 (암호학적인 의미에서) 프라이빗 키이고 지갑이 수행하는 모든 거래가 지갑의 키로 서명되기 때문이다. 그러므로 키는 예전에 청구를 제기한 사람과 지금 청구를 제기하는 사람이 동일인이라는 수학적 증거가 된다.
 

ID로서의 지갑

그렇다면 블록체인 지갑의 개념은 일종의 ID라는 것을 알 수 있다. 이 ID는 인증에 사용할 수 있다. 아주 단순한 논리다. 프라이빗 키는 이미 기존 보안 분야에서도 당사자 간 안전한 통신을 구축하는 용도로 널리 사용돼 왔다.

그러나 다른 의미에서는 혁신적인 측면이 있다.

오스0(Auth0) 연구소의 언급대로, “블록체인이 채택되면서 생긴 부산물 중 가장 중요한 것은 프라이빗 키가 최종 사용자, 즉 지갑에 유기적으로 배급되는 것”이다. 다시 말하면, 인터넷 사용자는 본인의 개인 암호화폐 지갑을 통해 퍼블릭 키 암호화가 대규모로 도입되는 현상을 겪은 셈이다.

지갑의 본성과 용도, 그리고 보안에 미치는 영향을 이해하면 새로운 종류의 사용자가 등장한다. 이런 사용자가 점점 더 늘어나면 인증에는 상전벽해와 같은 변화가 일어날 가능성이 있다. 

즉, 프라이빗 키의 보안과 블록체인 지갑의 편리함이 결합하면 인증 과정을 ‘파괴할 가능성’이 드러난다. 여기서 ‘가능성’이라는 말을 강조한다. 아직 추측에 근거한 단계인데다 기술 및 인프라 관점에서 정리해야 할 것이 많기 때문이다. 게다가 지갑은 ID 분실(복구가 불가능한 영구적인 분실)의 가능성이 있어 일반인에게 그다지 사용자 친화적이지 않다는 우려도 있다. 따라서 위에서 설명한 새로운 종류의 사용자가 필연적으로 등장한다고 단정할 수는 없다.

그럼에도 불구하고, 지갑을 인증 용도로 사용하는 일이 현재 오스0(SIWE를 통해 이더리움으로 로그인) 등과 다른 업체에서 벌어지고 있다. 무엇보다 오프체인에서의 지갑 사용을 가로막는 장벽이 급격히 낮아지고 있다.

코인베이스(Coinbase)같은 인기 있는 지갑이 엄격한 고객확인절차(KYC)를 결합한 사실을 생각해 보면 기술적으로 안전하고 전통적인 ID와 잘 통합된 단일 ID의 그림이 그려지기 시작한다.

이런 의미에서 지갑은 공식 디지털 ID가 될 가능성이 있다. 현행 사회보장번호의 디지털 버전 같은 것이다. IT 업계뿐만 아니라 정부도 관여해야 한다는 점에서 갈 길은 멀다.
 

DID(탈중앙화 ID) 개념 도입

이 대단히 중요한 개념에 붙은 명칭은 탈중앙화 ID(decentralized ID, DID)다. 간단히 설명하면 다른 ID 데이터 포인트를 숫자 하나로 통합하는 것이다. 마이크로소프트같은 대기업도 간과하지 않은 개념이다.

이를 통해 사용자의 익명성과 통제권이 보존될 가능성은 유지된다. 이론상으로 지갑과 블록체인 사이의 관계는 사용자와 데이터베이스 사이에 추상화 계층을 생성하기 때문이다. 실제로는 가짜 익명성에 더 가깝다. 여전히 사용자는 인터넷에 물리적으로 연결된 장치 앞에 앉아 있는 인간이이기 때문이다. 다르게 표현하면, 사용자를 지갑에 (어떤 방식으로든) 결부할 수 있는 기능이 익명성을 약화시킨다.

사용자(지갑 소유자)의 통제권은 유지된다고 말할 수 있다. 정보가 탈중앙화 방식으로 저장되고 사용자는 데이터의 사용 또는 공유 여부와 시기를 결정할 수 있기 때문이다.
 

영 지식 증명

이와 관련된 영 지식(zero knowledge) 증명은 무엇인가 참인 것으로 증명되면 맥락의 나머지 부분은 공개하지 않는다는 개념이다. 영 지식 증명이 가능한 이유도 퍼블릭 키 암호화라는 마법 때문이다. 하나의 사실이 어떤 메커니즘을 통해 유효한 것으로 확립되고 블록체인에 할당되고 나면 소유 지갑은 다른 내용의 공개 없이도 청구를 제기할 수 있다. 예컨대 운전면허증이나 다른 기타 신원 정보를 공개하지 않고도 차량 운전 권리를 확보할 수 있는 것과 같다. 

따라서, 사용자가 본인의 정보를 통제하면서 원하는 것만 매우 세밀하게 구분하여 공개할 가능성이 존재한다.

이런 개념은 충분히 주류에 진입했다. W3C 컨소시엄이 공식화 작업에 나서 검증가능한 자격 증명(VC)이라는 표준을 만들었을 정도다. 목적은 현대의 DID를 개인정보보호 기능이 탑재된 표준 형식으로 코드화 하는 것이다.
 

토큰 게이팅과 인증

지갑이 널리 채택되면 IAM의 판도가 달라질 수 있는 또 다른 이유는 이더리움 같은 고차원 블록체인의 속성 때문이다. 웹3 ID는 전통적인 애플리케이션에 대한 인증 기능이 있을 뿐만 아니라 IAM에 영향을 미치는 다른 온체인 활동에 참가할 수도 있다.

호응을 얻고 있는 중요한 개념인 토큰 게이팅(token gating)은 어떤 의미에서는 NFT를 바탕으로 하지만, 한 발 더 나아가 접근 통제 기능을 추가했다. 토큰 게이팅은 일종의 웹3 인증으로 볼 수 있다는 점에서 현재의 IAM 논의와 관련성이 있다. 토큰 게이팅을 지지하는 사람들은 토큰 게이팅이 디지털 컨텐츠를 상품화하여 새로운 종류의 경제를 도입한다고 보고 있다. 

NFT를 소유하면 컨텐츠 접근권을 부여한다는 개념을 바탕으로 구축된 경제에 콘텐츠 크리에이터와 사용자가 참여할 수 있다는 의미다. 이러한 접근권 부여는 DID 인증에 입각한 참신한 종류의 인증으로 볼 수 있다. 이는 디지털 컨텐츠 이외에도 사용 사례를 찾아낼 수 있다.

현재 데이터베이스 내 접근 제어 목록과 같은 솔루션이 사용되므로 이 개념은 자산 접근에 적용하여 좀 더 보편적인 인증 시스템 쪽으로 나아갈 수 있다. VC같은 것과 결합한다면 기존 방식을 서서히 대체할 수도 있는 장점을 갖춘 더욱 더 표준화되고 보편적인 IAM 매커니즘의 잠재력이 보이기 시작한다. 
editor@itworld.co.kr 
 Tags

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.