• 페이스북 ID
• 이메일 주소
• 웹사이트 로그인 이름과 비밀번호
누구나 여러 개의 ID를 갖고 있다. 즉, 가상 세계에서 다른 사람이 내가 누구인지 인지하고 나와 소통하는 방식은 여러 가지다. 예를 들어, 필자에게는 다음과 같은 ID가 있다.
• 트위터: @leeatchison
• 링크드인: leeatchison
• 이메일 주소: lee###@####.com
• 전화번호: (360) ###-####
ID는 각기 다른 방식으로 나를 친구, 가족, 동료, 파트너, 거래 업체에게 식별해 준다. 모두가 항상 ID를 사용하기 마련이다. ID는 사람 이상의 것을 나타내기도 한다. 실제 세계에서 다루는 대상 이 가상 세계에도 존재할 때는 모두 ID와 ID 관리가 필요하다.
• 예금 계좌에 들어 있는 돈이나 보유한 주식
• 방금 이용한 우버 차량의 운전사
• 배송 주소
• 판매 제품의 재고 수준
• 온라인으로 주문한 피자
이렇듯 ID는 어디에나 있다. 그러나 가상 세계의 항목을 실제 세계의 항목과 연계하려면 두 항목이 하나이며 같다는 것을 검증해야 한다. 즉, 항목을 식별하고 연관성을 검증할 수단이 필요하다.
범죄자가 개입하려는 단계가 바로 여기다. 이들은 타인의 인스타그램 계정 로그인 정보를 탈취하거나 타인이 힘들게 번 돈이 저축된 예금 계좌의 소유권을 가로채려고 한다. 이처럼 범죄자가 가상 세계에서 타인의 ID에 손을 대면 실제 세계에서는 큰 혼란이 일어난다.
오늘날 존재하는 모든 사람과 국가는 거의 예외 없이 ID를 필수로 사용한다. 따라서 기업의 임원, 이사, 관리자 등은 모두 ID 관리의 본질과 중요성을 이해해야 한다.
ID의 구성 요소
현대 세계에서 ID의 일반적인 3대 구성 요소는 다음과 같다.• 인증(Authentication). 인증은 가상 세계에서의 주체와 실제 세계에서의 대응 주체를 결부시키는 수단이다. 대표적인 예로, 웹사이트 사용자에게 인증은 사용자명과 비밀번호로 해당 웹사이트에 로그인하는 것이다. 또한, 외모나 이름이 같은 타인이 아닌 사용자 본인의 소유라고 인증된 은행 계좌일 수도 있다. 인증은 물리적 세계에서의 주체와 가상 세계에서의 대응 주체 사이의 ‘연결’이다.
• 인가(Authorization). 인가는 특정 ID가 접근권이나 사용 권한을 갖는 대상에 대한 설명이다. 웹사이트 사용자에게 인가는 승인된 권한이다. 은행 계좌의 경우 인가는 허용되는 입출금 종류와 존재하는 계정 한도이다. 인가는 가상 세계의 ID에 주어지는 ‘권한’이다.
• 프로필/속성. 프로필/속성은 애플리케이션과 관련 서비스가 ID와 상호작용 시에 사용할 수 있는 ID 관련 정보다. 사람을 나타내는 ID의 경우 프로필/속성은 사용자 이름, 사진, 집 주소 등이다. 은행 계좌의 경우에는 계좌명, 계좌번호, 계좌잔고 등이다. 프로필이나 속성은 해당 주체를 설명할 때 사용하는 ‘확장 정보’다.
사용자는 페이스북에 로그인할 때 본인의 페이스북 ID를 활용한다. 먼저, 사용자명과 비밀번호로 로그인한다. 이런 ‘인증’ 과정을 통해 사용자가 이 페이스북 ID와 결부된 사람임이 확인된다.
사용자는 즐겨 찾는 그룹으로 이동하여 그룹 내 메시지를 읽기 시작한다. 그러나 사용자의 그룹 내 메시지 열람 허용에 앞서 페이스북은 사용자에게 필요한 권한이 있는지 확인을 거쳤다. 이런 ‘인증’ 과정을 통해 이 ID가 이 특정 그룹과 소통하기 위한 접근권이 있음이 확인된다.
사용자는 ‘새 글’을 클릭한 후 그룹 구성원에게 보내고 싶은 글을 작성한다. 페이스북은 사용자가 새 글을 작성할 권한과 해당 글을 이 특정 그룹에 게시할 권한을 모두 적절히 보유했는지 추가 인증 확인 절차를 진행한다.
마지막으로, 사용자가 올린 글을 읽고 그 사용자를 더 자세히 알고 싶어하는 사람은 그가 누구이며 관심 주제가 무엇인지 알아보기 위해 사용자의 사진을 클릭한다. 대상이 된 ID에 대해 더 많은 정보를 알아내고자 사용자의 ‘프로필’과 기타 ‘속성’을 보고 있는 것이다.
신뢰의 근원
페이스북 프로필을 보면서 과연 이 사람의 프로필 정보가 정확한지 궁금한 적이 있는가? 더 나아가 최악의 상황을 가정한다면, 프로필과 결부된 사람이 실제 인물인지 궁금한 적이 있는가? ID의 프로필로 가상 ID와 결부된 실제 세계 주체에 대한 정확하고 유용한 정보 여부, 또는 프로필로 대변되는 인물의 실존 여부를 검증할 마법의 수단은 없다. 하지만 놀랄 일은 아니다.온라인 ID에 포함된 정보의 정확성이나 실제 여부를 모른다면 온라인 ID는 어떻게 유용한 것일까? ID 자체에서는 그런 정보를 얻을 수 없다. 따라서 ID가 유효한지 확인하려면 그 ID를 생성, 관리, 사용하는 애플리케이션에 대신 의존하는 수밖에 없다. 이것이 바로 ‘신뢰’의 문제이다.
현대 인터넷 세계에서 신뢰는 가상 ID 자체와 연관된 것이 아니라 그 ID를 활용하는 애플리케이션과 연관된 속성이다.
은행 계좌 잔고를 확인할 때는 그 은행에 대해 ‘신뢰’를 갖는다. 은행은 계좌 잔액이 정확하고 그 돈을 사용할 수 있다는 믿음을 준다. 은행은 사용자로부터 높은 수준의 신뢰를 이끌어 내야 한다.
반면, 데이트 중개 애플리케이션이나 공개 채팅방에서 누군가의 사진을 볼 때는 해당 애플리케이션이 그 사진을 검증했을 것이라는 신뢰를 전혀 갖지 않는다. 따라서 그 사진이 ID 주인의 사진이 맞다고 신뢰할 수 없다. 데이트 주선 사이트는 사용자로부터 신뢰를 거의 이끌어내지 못한다.
신뢰는 상속되기도 한다. 채팅방 애플리케이션에 대한 신뢰는 전혀 없는 반면, 누군가의 링크드인 ID는 소유자의 신원을 정확히 나타낼 것이라고 믿는 것이 보통이다. 채팅방 앱보다 링크드인에 대한 신뢰 수준이 더 높기 때문이다.
그런데 채팅방 애플리케이션이 사용자 로그인(사용자 인증)에 사용자의 링크드인 프로필을 활용한다면 어떨까? 즉, 사용자의 ‘채팅 ID’를 사용자의 ‘링크드인 ID’와 결부시키는 것이다. 그렇다면 채팅 애플리케이션에서 보이는 ID는 정확하다는 신뢰성이 커진다. 채팅 애플리케이션의 신뢰가 커진 것이다.
신뢰와 신뢰 공유는 인터넷에서 사용하는 서비스의 유효성에 대한 믿음에 필수불가결하다. 신뢰는 전자상거래 회사와 거래에 매우 중요하고, 온라인으로 은행을 상대하고 은행 계좌를 사용할 때는 절대적으로 필수적이며, 온라인으로 의료진을 상대할 때는 생사가 달린 문제가 될 수도 있다. 별 볼일 없는 채팅방에 대한 신뢰는 당연히 낮을 지 몰라도 필수 시스템을 사용할 때의 신뢰는 지극히 높아야 한다.
인터넷에서의 ID와 신뢰를 뒷받침하는 기술은 계속 진화하고 있다. 약점이라면 무엇이든 악용하기 위해 계속 노력 중인 범죄자의 위협에 대처하기 위해서다. 우리에게는 계속 더 강력하고 빠르고 실행 및 사용이 더 쉬운 매커니즘이 필요하다. 개선된 매커니즘이 없으면 보안 시스템 유지 경쟁에서 질 수밖에 없다. 블록체인과 관련 기술이 폭넓게 활용된 차세대 시스템은 중앙 권한 의존도를 낮출 수도 있을 것이다.
결국에는 신뢰할 수 있는 ID 공유가 일상이 되기를 기대해야 한다. 그래야 온라인 세계에서 더욱 안전하게 상호 소통할 수 있다. 언젠가는 페이스북 프로필의 진위 여부를 걱정하는 일이 없어질 지도 모른다.
editor@itworld.co.kr