지난 몇 년간 여러 테크 기업이 안전하면서 탈중앙화된 신원 시스템 개발 수단으로 블록체인 기술 사용을 설득하고자 했다. 목표는 실제 문서나 상세한 설명 없이 공식 데이터 관련 정보를 저장할 수 있는 플랫폼을 구축하는 것이었다. 예를 들어, 탈중앙화 신원 플랫폼은 단순히 출생 등록 정보 스캔을 보관하는 대신 그 안에 보관된 정보를 확인하는 유효한 토큰을 저장한다. 술집에서 신분증을 보여주거나 시민권 소지 여부 인증이 필요할 때, 실제 문서나 데이터를 보여주는 대신 사전 검증된 신원 정보를 공유하면 된다. 마이크로소프트가 탈중앙화 신원 플랫폼 구축 부문의 선두에 있는 기업 중 하나였다. 그리고, 이제 탈중앙화 디지털 신원 비전을 향한 실제 과정을 구체적으로 설명한다.
3월 2일(현지 시각), 마이크로소프트는 이그나이트 컨퍼런스(Ignite conference)에서 2021년 봄에 ‘애저 액티브 디렉토리 검증 가능한 신원(Azure Active Directory verifiable credentials)’ 공개 프리뷰를 공개한다고 발표했다. 마이크로소프트의 탈중앙화 신원 플랫폼을 신용카드보다는 신원 확인 용도로 사용하는 애플페이나 구글페이와 같은 디지털 지갑으로 생각할 수 있다. 마이크로소프트는 대학 성적증명서와 학위, 전문 인증서 등을 마이크로소프트 인증(Microsoft Authenticator) 앱에 두 가지 코드와 함께 보관하도록 하는 서비스부터 제공하기 시작한다. 도쿄 게이오기주쿠대학, 벨기에 플랑드르 지방 정부, 영국 국민건강보험(NHS) 등이 이미 마이크로소프트의 탈중앙화 신원 플랫폼을 실험 중이다.
마이크로소프트 클라우드 및 기업 신원 부처 기업 부사장인 조이 치크(Joy Chik)는 “예를 들어, 어디에서 학교를 갔는가와 같은 정보를 검증할 수 있는 탈중앙화 신원 인증 체계가 있다면, 모든 정보를 따로 보낼 필요가 없다. 디지털 신원만 있으면 된다. 이미 신뢰할 수 있는 것으로 검증이 완료됐기 때문이다”라고 말했다.
마이크로소프트는 조만간 여러 기관이 신원 발급 및 요청을 할 수 있는 애플리케이션 구축 시작 과정에 사용할 수 있는 소프트웨어 개발 키트를 배포할 예정이다. 그리고, 마이크로소프트는 장기적으로 탈중앙화 신원 인증 시스템이 전 세계적으로 주택 임대부터 서류가 없어 곤혹에 처한 난민의 신원 구축에 도움을 주는 모든 과정에 활용돼, 사실상 모든 탈중앙화 신원 인증이라는 꿈을 이루기를 바란다.
일례로 NHS의 시범 프로젝트에서 헬스케어 기관은 기존 NHS 헬스케어 근로자에게 전문 인증 서류 접근을 요청할 수 있다. 이때, NHS 헬스케어 근로자는 접근 권한을 선택하면서 이전에 더 많은 관련성이 필요했던 시설에 데이터를 이관하는 과정을 간소화할 수 있다. 마이크로소프트의 설정을 통해 사용자는 수신인이 더는 접근 권한이 필요하지 않을 때, 인증 정보 접근을 취소할 수 있다.
치크 부사장은 “NHS 시스템에서 각각의 의료진이 가는 곳에서 실제 진료를 하기 전, 자격 증명을 검증하는 데 몇 개월이 소요됐다. 이제는 말 그대로 5분이면 병원 등록이 완료돼, 환자 진료를 시작할 수 있다”라고 말했다.
[사진=Freepik]
탈중앙화 신원 제도를 널리 채택하는 데 상호운용성이 큰 걸림돌이 되었다. 10가지 상충되는 프레임워크 때문에 탈중앙화 신원 플랫폼 보급이 쉽지 않았다. 현재, 여전히 시험 단계인 마스터카드의 디지털 ID 서비스를 비롯해 일부 경쟁 서비스가 있다. 마이크로소프트의 보편성은 중요한 사용자 집단을 모으기 좋다는 잠재성을 지니고 있다. 마이크로소프트는 이를 염두에 두고 애저 액티브 디렉토리 검증 가능한 신원을 월드와이드웹 컨소시엄(World Wide Web Consortium)의 웹 인증(WebAuthn)과 같은 공개 인증 표준으로 개발했다. 사용자의 플랫폼 채택이 더 쉬워질 것이며, 여러 테크 기업이 마이크로소프트의 탈중앙화 인증 시스템을 사용하도록 지원한다. 현재, 마이크로소프트는 시범 플랫폼을 위해 어카운트(Acuant), Au10tix, 아이데미아(Idemia), 주미오(Jumio), 소큐어(Socure), 온피도(Onfido), 뷰 스큐리티(Vu Security) 등과 같은 디지털 신원 협력사와 협력 중이며, 치크 부사장은 시간이 지나면서 협력사 명단을 늘리고자 한다고 밝혔다.
마이크로소프트 보안, 규정 준수 및 신원 부문 부사장인 바수 자칼(Vasu Jakkal)은 “마이크로소프트는 올바른 탈중앙화 신원 플랫폼 보급 작업 수행을 위해 전체 커뮤니티의 참여가 필요하다고 믿는다. 어느 조직도 이를 수행할 수는 없다. 한 번에 한 걸음씩 탈중앙화 신원 플랫폼 보급 비전을 위해 나아가고 있다”라고 말했다.
마이크로소프트는 2017년에 탈중앙화 신원 제도 작업을 공식적으로 시작했으며, 지난 몇 년간 서서히 인프라를 구축했다. 마이크로소프트의 신원 시스템은 비트코인 블록체인을 기반으로 하며, 사이드트리(Sidetree)라는 오픈 프로토콜을 사용해 신원 검증 기록을 블록체인에 추가한다. 마이크로소프트는 애저 액티브 디렉토리 검증 가능한 신원이 맞춤형 시스템을 사용하지만, 사이드트리의 오픈소스 구축에 해당하는 아이덴티티 오버레이 네트워크(Identity Overlay Network, 이하 ‘ION’)를 사용한다. 여러 기관이 자체 ION 노드를 사용해 시민과 학생, 직원 등 구성원의 식별 정보를 검증하고 저장한다.
치크 부사장은 “하루아침에 모든 것이 다 이루어지리라 생각하지 않는다. 그러나 사용자와 기관 모두의 관심을 불러일으킬 것이다. 모든 기관이 개인 정보 관리를 원한다는 것이 아니다. 정보를 검증하거나 사업 거래를 하는 데 필요하다는 것이다. 법적, 그리고 도덕적 책임감이 되었으나 데이터 검증이 필요한 기관에는 탈중앙화 신원 플랫폼이 매우 매력적으로 다가갈 것이다”라고 언급했다.
마이크로소프트가 탈중앙화 신원 제도의 일환으로 직접 사용자 데이터를 보관하지 않지만, 그 접근 방식은 이미 마이크로소프트 데이터를 탐내는 해커에게 잠재적으로 마이크로소프트 계정을 노린 공격을 개시해야 할 가치를 높이게 될 수 있다. 최근 발생한 솔라윈즈 공급망 공격과 러시아 해커 집단의 소행으로 추정되는 솔라윈즈 관련 해킹 공격은 여러 기관이 마이크로소프트의 기존 신원 관리 서비스를 안전하게 구축하는 과정에서 직면한 어려움을 부각시킨다. 해커는 서드파티 IT 기업인 솔라윈즈 접근 권한을 이용해 공격 대상이 될 기관의 네트워크 및 서버에 침투했다. 여기서부터 해커 집단은 피해 기관의 마이크로소프트 액티비티 디렉토리 설정 과정의 결함을 조작해, 마이크로소프트 365 이메일 시스템과 애저 클라우드 저장소에 더 깊이 파고들었다. 또한, 마이크로소프트를 직접적으로 공격 대상으로 삼고, 마이크로소프트의 보안 감시 대상 소스코드 일부를 살펴보기도 했다.
위협 정보 기업 크라우드스트라이크(CrowdStrike) CEO 조지 커츠(George Kurtz)는 2021년 2월 말, 미 의회 청문회에서 “해커는 윈도 인증 구조의 조직적인 약점을 악용한다”라고 증언하며, 액티브 디렉토리와 애저 액티브 디렉토리의 인증 구조 한계를 언급했다.
마이크로소프트는 새로운 탈중앙화 신원 플랫폼을 구축해, 해커의 계정 침입 문제가 발생해도 해커가 학생 할인 혹은 대출 권한을 얻기 위한 사용자의 검증된 신원 정보를 사용할 수 없도록 설정할 것이라고 말했다.
마이크로소프트 대변인은 와이어드에 “접근 권한을 관리하기 전, 개발자는 자신의 탈중앙화 식별 시스템의 키를 이용해 데이터를 암호화해, 사용자 데이터를 더 안전하게 관리할 수 있다. 이러한 접근 방식을 기반으로 보았을 때, 해커는 시스템이나 데이터 저장 정보 접근 권한을 얻어도 개인 사용자가 보유한 키가 없으면 데이터 암호화를 풀 수 없다”라고 설명했다.
실질적으로 애저 액티브 디렉토리 검증 가능한 신원을 설치하는 기관은 자사 시스템에 물리적 토큰과 같은 추가 인증 시스템을 구축해, 사용자가 대학 성적증명서나 전문 학위 인증서에 접근하도록 할 수 있다. 기관마다 구축 방법이 약간 다르다는 점은 데이터 보호의 일관성이 없다는 의미가 될 수 있다. 탈중앙화 신원 시스템 관련, 오랫동안 논의된 문제는 다른 문제를 줄여도 새로운 보안 위험 문제에 노출될 위험성이 생겨난다는 점이다.
코넬대학교 암호화폐 및 계약 이니셔티브의 컴퓨터 과학자 겸 공동 총괄인 에민 군 시러(Emin Gün Sirer)는 “프라이버시와 탈중앙화, 신뢰를 모두 동시에 실현하는 것은 매우 어렵다. 블록체인을 활용하면, 프라이버시 보장이 어렵고, 탈중앙화를 이루면 신뢰할 수 있는 자격 증명이 어렵다. 또, 생태계의 다양한 관문은 기술 접근이 결국 중앙화된 포털로 이루어진다는 것을 의미한다. 그러나 더 중요한 점은 탈중앙화 신원 시스템 기술에는 신원의 개념을 다시 생각하는 것이 필요하다. 그리고, 대다수 기업의 사업 모델이 사용자에 대한 모든 데이터를 파악하고 수익을 창출하는 것과 연결돼, 탈중앙화 신원 플랫폼 구축을 망설이고 있다”라고 설명했다.
그러나 군 시러 총괄은 사용할 수 있는 탈중앙화 신원 플랫폼이 불가능하다는 의미가 아니라고 말한다. 마이크로소프트와 같은 기업은 탈중앙화 신원 플랫폼 기술 대량 채택을 추진할 수 있는 위치에 있다. 탈중앙화된 신원 서비스를 데이터 수집 중단을 원하지 않는 기관과 마이크로소프트와 같이 이미 강력한 영향력을 지닌 기업이 제공하는 근본적인 서비스를 또 받아들이는 것을 원하지 않는 기관에 판매하기 쉽지 않다.
군 시러 총괄은 “적절하게 구축된 탈중앙화 디지털 신원 해결책은 사용자에게 더 많은 관리 권한을 제공한다. 기본적으로 우리에게 필요로 하는 돌파구를 중앙화된 소프트웨어 공급사가 제공할 수 있을지 의문이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202103/2969_3960_815.jpg)
뉴스레터 신청