DID, SSI - 1편, 프롤로그

지난 주 SSI 포럼에 다녀와서 정리하는 1편, 프롤로그

 

최근 다시 주목받고 있는 DID, SSI 는 디지털 신원(Digital Identity)의 발전이라는 기술적 측면과 내가 나를 증명할 수 있다는 새로운 상식을 기반으로 만들어진 기술적이면서도 이념적인 체계이다.

2022년 기준 글로벌 DID 시장 규모는 6억 4,780만 달러로 평가되었으며 CAGR는 2030년까지 88.2%로 증가한 1,020억 달러로 달할 것으로 예상하고 있다. 

 

 

먼저 DID( 분산ID-탈중앙아이디 체계)의 핵심은 PKI*기반의 인증 기술(암호학)과 서비스(클라이언트)이다. 더불어 특정 정보를 저장하는 VDR* 구성 방안 중 가장 널리 활용되는 기술이 블록체인이다. 여기서 *PKI 검증은 DID를 이용해 상대방의 DID document를 불러오고 그 안에 있는 공개키를 활용해서 검증하는 과정을 갖는다. 그리고 *VDR( Verifiable decentralized registry)는 DID 데이터를 기록하고 DID document을 생성할때 관련 데이터를 제공할 수 있는 시스템이다. 조금 더 구체적으로 정리하면, 각 주체별로 DID, 공개키, 인증정보가 담겨있는 DID document를 저장하는 곳으로 조직 및 서비스(클라이언트)의 특성에 맞춰 1)블록체인 2)DLT(분산원장 기술, 블록체인과 구별됨)  3)중앙형 서버. 이 세가지의 형태 중 하나를 선택해서 구성할 수 있다. 

분산화가 되지 않으면 대규모 개인 정보의 유출 리스크는 과거 WEB 2.0과 크게 다르지 않을 것이고 데이터의 오남용 가능성은 그대로 상존할 수 밖에 없다. 때문에 까다롭기?로 유명한 GDPR을 시행중인 EU에서도 단일 시장의 가속화를 위해 이미 추진중인 EUDI wallet(유럽 디지털 신원 지갑)에 SSI를 적용하기 위해 지속적인 노력을 기울이고 있다고 한다.

DID 표준 체계가 W3C를 주축으로 구성되고 있다. 신원을 증명하는 특정한 주체가 없기 때문에 다양한 곳에서 사용하기 위한 표준화가 필수적이기 때문에 먼저 시작했던 미국이나 유럽의 경우에도 대부분 W3C DID 표준을 적용하여 구축하고 있다. 뿐만아니라 DIF, ToIP도 적극 참여하고 있다고 한다 비록 작년 9월 구글, 모질라, 애플이 반대의견을 내면서 이슈화가 됐었지만 올해 6월에 권장사항으로 확정한 상황이다.

 

 

SSI는 자기주권신원은 VC & VP 증명가능한 신원 체계를 가지고 있으며 SSI를 구현하고 사용하기 최적합한 환경이 블록체인이지만 필수 구성은 아니고 VC에 꼭 DID를 사용하는 것 조차 필수 요건이 아니다. 그보다 중요한 것은 단순 로그인을 넘어서 신체나 재산의 권리처럼 개인에게 정보 권리를 부여하고자 하는 취지로 만들어 졌기 때문이다.

참고로 시빅코인 및 시빅패스로 유명한 Civic의 경우 DID는 맞지만(단, w3c DID core spec 표준을 따르지 않음), did docuemnt를 중앙화된 서버에서 관리되고 있다. 때문에 개인이 정보 운영에 얼마나 주권을 가지고 있느냐 여부가 중요한 SSI(자기주권신원)라고 말하기는 어렵다고 할 수 있다. 바로 이점이 DID와 SSI를 구분되는 지점이다. 

 

 

다시 국내로 돌아와서,, 아직 식지않은 뜨거운 감자가 있으니 바로 VC 발급에 대한 부분이다.

DID를 개인이 스스로 만들어 낼 수 없으니 아무래도 DID를 발급하는 플랫폼 제공자는 반드시 필요할 수 밖에 없다. 그리고 주민등록증, 운전면허증과 같이 VC를 발급하는 신뢰할 수 있는 각각의 기관은 아직? 정부(중앙화)로 구성되어 운영된다. 그래서 아직까지는 완벽한 DID와 SSI를 완벽히 충족하고 있다고 보기는 어렵다.

다만 이미 진행 중인 운전면허같은 경우 이미 VC, VP 가 적용되어 있는 모델로 신원모델에서 중앙형/연합형이 아닌 분산형을 활용한다는 측면과 개인정보가 중앙형 서버에 저장이 되지 않고 있다는 요소를 포함하고 있다는 점에서 이미 의미하는 바가 크다고 생각한다.

기존 제도와 새로운 체계가 하나씩 하나씩 합을 맞춰가는 과정으로 보인다. 앞으로 월럿이나 W3C DID 표준이 자리를 잡으면 과거 웹표준과 같이 다양한 이슈들이 지금보다는 자연스럽게 개선되지 않을까 생각한다.

 

 

 

자주적 정체성의 10가지 원칙 요약

크리스토퍼 알랜 Christopher Allen

1. 존재 - 사용자는 독립적으로 존재해야 합니다.
2. 제어 - 사용자는 자신의 ID를 제어해야 합니다.
3. 액세스 - 사용자는 자신의 데이터에 액세스할 수 있어야 합니다.
4. 투명성 - 시스템과 알고리즘은 투명해야 합니다.
5. 지속성 - ID는 오래 지속되어야 합니다.****
6. 이식성 - 신원에 대한 정보 및 서비스는 이동 가능해야 합니다.
7. 상호 운용성 - ID는 가능한 한 널리 사용 가능해야 합니다.
8. 동의 - 사용자는 자신의 ID 사용에 동의해야 합니다.
9. 최소화 - 클레임 공개를 최소화해야 합니다.
10. 보호 - 사용자의 권리는 보호되어야 합니다.

 

 

 

 

주요 레퍼런스 

자주적 정체성의 10가지 원칙( 전체 원문)

The Path to Self-Sovereign Identity

SSI의 원칙( Sovrin 재단) - 한국어 번역 PDF

Principles of SSI V3 - Sovrin

DIF

DIF Presentation Exchange

W3C DIDs

Decentralized Identifiers (DIDs) v1.0

PKI

PKI(public key infrastructure)

PKI 인증과 FIDO 인증에 대한 비교 분석

A Comparative Analysis of PKI Authentication and FIDO Authentication -Journal of the Korea Institute of Information and Comm