본문 바로가기
  • think normal
새로워지기/문장 발효 과학

혼공 | 마스터링 자기주권신원 - SSI 개요

by 청춘만화 2023. 1. 22.

개인적으로 데이터 민주주의에 관심이 많았다. 그러던 중 하이퍼레저 패브릭을 스터디하는 과정에서 SC와 DID에 대해 알게되었다. 그리고 비슷한 시기 데이터 3법이 통과되면서 유럽에서 형성되고 있던 madata가 우리나라에서는 mydata라는 이름으로 도입되기 시작했다.
그렇게 틈틈이 관심을 주고 있던 과정에서 SSI 커뮤니티에 가입하고 그 곳에서 주최했던 세미나를 들으며 그동안 몰랐던, 특히 기술적으로만 일부 알았던 내용에 대한 전반적인 배경, 현재 선두자들의 고민과 앞으로의 방향에 대해 알게 되었다. 그리고 그 커뮤니티에서 소개해주었던 마스터링 자기주권신원에 대해 알게 되었다.
그렇게 읽으며 인상적이었던 몇개의 구절과 몇몇의 생각을 덧붙여 정리해본다.



1. 모델

1) 기술적 측면으로 접근한 유형 

디지털 또는 인터넷 기반의 신원은 단순히? 계정이라는 측면에서 보았을 때 대략 세 가지 정도로 요약할 수 있다.
(1)중앙 신원 모델은 특정 서비스에 이용을 위해 가입해서 개인정보를 입력하고 계정(아이디, 패스워드)을 생성하는 모델로 많은 서비스들이 이 모델을 채택하고 있다. 
(2)연합형 신원 모델은 소셜로그인 같은 것이라고 생각하면 편할 것 같다. 이때 연동 API를 제공하는 곳을 IDP 공급자라 한다. 사실상 구글, 네이버, 카카오와 같은 플랫폼 기업이라 보면 된다. 개인적으로는 연합이라기보다 악어와 악어새 관계 정도이다. 비용 및 운영 구조 상 개인정보와 보안관리가 부담스럽거나 아직 네임 벨류가 낮아 신규 사용자에 대한 유입 지연을 최소화하기 위한 방편으로 사용되어 왔다. 하지만 최근?들어 운영 및 마켓에서의 개인정보에 대한 교환가치가 증가함에 따라 소셜 로그인하고 나서도 개인정보를 추가로 요구하는 사례들이 많이 발생하고 있어 초기 용도에서는 이미 많이 퇴색된 것이 아닌가 하는 것이 개인적인 생각이다.
(3)분산형 신원 모델은 이른바- 후려쳐서 설명하면 블록체인을 적용한 모델이다. 하지만 후려친 설명일 뿐 엄밀히 말하면 틀린 설명이다. 개념적으로는 최근 많은 곳에서 회자되고 있는 DID 모델이다. 사실상 블록체인은 DID 구현 과정 중 일부 영역에서 범용?적으로 채택되는 기술일 뿐이다. 그리고 다시 한번, DID는 SSI을 구현하기 위한 방법 중 하나이다. 따라서 DID는 분산으로 신원을 관리는 하나의 솔루션이다. 하지만 개인의 주권을 갖는다는 이념으로 시작했지만 사회주의가 민주주의와 같다고 할 수 없듯, DID로 구현되었다고 SSI를 충족한다고 말할 수는 없다. 

 

2) 관리 주체를 기준한 유형 

앞의 방식이 아닌, 계정과 그 계정을 통해 개인정보를 누적한 데이터들을 관리하는 주체를 기준으로 나누면 중앙형 또는 연합협 신원 모델을 하나로 묶을 수 있고 자기주권 모델로 나뉠 수 있다. 이 두 모델의 가장 큰 차이는 바로 아주 의미심장한 통제의 전환이라 할 수 있겠다. 자기주권 모델만이 사용자(개인)을 중심에 둔다. 

모델별 구성안 비교(p.14의 도식을 다시 그림)

그리고 저자들이 책을 집힐한 시기 이후 어느 정도 시간이 흐른 지금, 자기주권 모델은 다시 SSI가 완전 적용된 DID와 SSI가 일부 적용된 DID와 모델로 구분될 수 있지않을까 하는 것이 개인적인 의견이다. SSI가 일부 적용된 DID와 모델에 대한 비유를 들면 여러모로 닮은 구석이 많다는 점을 들어 대략 하이브리드 전기차 정도로 보면 크게 다르지 않다는 생각이다. 

 

 

2. SSI 구성

1) 기본 구성 요소

(1) VC - 검증 가능한 (디지털) 자격증명 verifiable credential
(2) 신뢰 삼각형(발급자, 보유자, 검증자)을 구성할 수 있는 이해관계자 
(3) 디지털 지갑
(4) 디지털 에이전트
(5) DID - 분산 식별자 decentralized identifiers
(6) 검증 가능한 데이터 - 블록체인 등
(7) 신뢰할 수 있는 레지스트리 거버넌스 프레임워크

1 - 먼저 생소하지만 알고보면 일상에서 가장 익숙한 VC에 대해 살펴보면, 단어 그대로 자격증명이다. 때문에 SSI에서 가장 핵심seed이되는 키워드이다. 다만 이 포스팅에서 SSI에 대해 다루는 영역이 온라인 영역인 만큼 디지털 자격증명이 대전제이다. 오프라인에서 자격증명의 대표적 사례는 아마도 학생증, 주민등록증, 운전면허증을 예로 들 수 있을 것 같다. 이 예를 보면 홍길동이라는 동일한 사람에 대해 학생증은 학생이라는 신분과 소속에 대해 학교라는 기관에서, 주민등록증은 국가,지역, 성별 등에 대한 정보를 관할 지자체라는 기관에서, 운전면허증은 운전유형과 자격취득에 대한 정보를 관할 취득 기관으로부터 부여받아 본인이 본인에 대한 자격증명증을 보유하고 있으면 이를 통해 이를 제 3자에게 사실 관계를 주장 및 증명할 수 있는 권한이 생기게 된다. 그리고 오프라인의 자격증명이 개인과 관련된 증 외에도 제품과 관련된 워런티, 보증서, 정품인증서 또는 의류 구매 시 제공되는 택도 동일한 유형의 자격증명이라 할 수 있다. 이러한 내용을 책의 세련된 표현을 빌려 다음과 같이 정리해볼 수 있다.  

모든 자격증명은 자격증명의 주체 subject에 대한 클레임 claim(주장)의 집합을 포함한다.
이러한 클레임은 SSI에서 자격증명 발급자 issuer라고 하는 단일 기관에 의해 이루어진다. 자격증명이 발급된 주체(사람, 조직 또는 사물), 즉 디지털 지갑에 보관할 사람을 자격증명 보유자 holder라고 한다. 자격증명의 주체는 일반적으로 보유자와 동일하지만 7장에서 논의할 바와 같이 경험적으로 중요한 예외가 있다.
자격증명에서 클레임은 속성 attribute(나이, 키, 몸무게 등), 관계 relationship (어머니, 아버지, 고용주, 시민 등), 자격 entitlement(의료 혜택, 도서관 특권, 멤버십 보상, 법적 권리 등)으로 주체에 대한 모든 것을 나타낼 수 있다.
자격증명으로 자격을 얻으려면 어떤 방식으로든 클레임은 검증 가능해야 한다. 이는 검증자 verifier가 다음 사항을 검증(검토, 인정)할 수 있어야 한다.
- 자격증명을 발급한 사람
- 발급 후 조작되지 않았음
- 만료되거나 해지되지 않았음

2 - 발급자는 자격증명을 발행하는자, 보유자는 본인(자격의 주체)으로서 발급자에게 자격증명이 가능한 증을 요청하고 보관하고 사용하는자, 검증자는 서비스를 운영하거나 제공하기에 앞서 보유자에 대한 신뢰 및 조건의 검증이 필요한자라 할 수 있다. 이를테면 해외 여행을 하는 경우 여권의 발급자는 외교부, 보유자는 본인, 검증자는 공항 정도로 이해할 수 있을 것 같다. 

저자는 디지털 자격증명과 과정과 역할에 대해 아래와 같이 설명하고 있다. 

블록체인 네트워크 기반의 디지털 서명검증 플로우(p.28의 도식을 다시 그림)

7 - 저자에 따르면 

모든 SSI 인프라의 궁극적인 목표는 인터넷에서 상호 작용하는 두 당사자 간에 상호 수용 가능한 수준의 신뢰를 달성하는 것이다.
이는 오늘날 많은 유형의 트랜잭션에서는 불가능한 목표이다. SSI 사용하면 이 신뢰 계층의 기반이 먼저 암호화 신뢰에 의해 마련된다. 즉, 분산 네트워크에서 자격증명 발급자를 위해 공개적으로 리졸브 가능한 DID와 공개키가 적용된 것이다.

이는 아래 도식과 같이 신뢰 삼각형의 확장을 의미하여, 외부로 확장(연계)된 제2,3..의 검증자와 중계하는 발급자(발급자인 동시에 보유자) 모두가 하나의 디지털 서명에 의존할 수 있도록 한다. 이를 바탕으로 위 인용문에서 처럼 과거(현재)의 트랙잭션에서는 불가능한 목표를 달성가능한 영역으로 전환하고 있다. 

신뢰 삼각형 확장의 예(p.39의 도식을 다시 그림)

다만, 저자는 과거 은행과 신용카드 네트워크 예를 들면서 암호화 신뢰는 인간의 신뢰가 아님을 강조하고 있다. 바로 이점이 일론머스크의 웹3에 대한 트윗 배경이라 생각한다. 개인적으로, 지금 시점에서 할 일 또는 인식은 웹3에 대한 존재 사실 여부가 아니라 구현하기 위한 방안을 모색할 타이밍이 아닌가 생각하는 입장에서 아래와 같은 사례는 그야말로 주옥같은 예가 아닌가 생각한다.

암호화 신뢰 위에 인적 신뢰가 쌓이는 것은 SSI가 VC를 기반으로 신뢰를 제공할 수 있다는 것이다. 하나의 발급자로부터 발급된 자격증명을 신뢰하는 것은 한 번에 확장되지 않는다. 이것은 1960년대 신용 카드가 초기에 직면했던 것과 동일한 문제이다. 각 주요 은행은 자체 브랜드의 신용 카드를 발급하려 했지만, 업주들은 수백 개의 다른 은행에서 발급한 수백 개의 다른 신용 카드를 처리할 수 없었다. 따라서 은행들이 모여 신용카드 네트워크를 형성할 때까지 신용카드는 도입되지 않았다. 비자카드와 마스터카드가 가장 잘 알려진 신용카드 네트워크이다. 

* - 기본 구성 요소들에 대한 정리 

레이어 ToIP 스택은 머신 투 머신(machine to machine) 레이어(1,2)의 암호화 신뢰와 비즈니스, 법률 및 소셜 레이어(3,4)의 인적 신뢰가 결합되어 상호 운용 가능한 디지털 신뢰 생태계를 지원한다. 퍼블릭 유틸리티(public utility)용어는 did에 대한 블록체인 또는 검증 가능한 데이터 레지스트리를 지칭하기 위해 사용된다. 

스택별, 신뢰 유형별, 레이어별 구성요소(p.41, 100의 도식을 섞어서 다시 그림)

 




https://www.aladin.co.kr/shop/wproduct.aspx?ItemId=290964757 

 

마스터링 자기주권신원

자기주권신원을 통해 디지털 방식으로 서명된 자격증명을 발급받은 후, 개인의 디지털 지갑에 저장하여 온라인에서 신원을 안전하게 증명하는 방법을 다룬다. 블록체인에서 영감을 받은 이 패

www.aladin.co.kr

 

댓글