비대면 금융서비스 사고가 잇달아 발생하면서 안전성에 대한 우려가 높다. 최근 ‘토스’에서 부정결제 사고가 터졌다. 이와 별도로, 위조된 신분증을 활용해 1억원 이상의 비대면 부정대출을 하는 사건도 발생했다. 금융당국은 지난 11일부터 비대면금융 서비스 보안에 대한 일제 점검에 나섰다.
발급된 DID 하나만으로 여러 금융권 서비스를 이용케 하려는 아이콘루프 ‘마이아이디(MyID)’ 사업의 보안은 어떨까? 국내엔 여러 DID 연합체가 있지만 금융권에서 추진 중인 DID는 마이아이디가 유일하다.
DID는 중앙화된 기관이 관리하지 않는다. 기업이 별도로 개인 정보를 저장할 필요가 없는 기술이다. DID로 로그인하면 이 사람이 저번에 접속한 사람과 동일한 사람이란 점만 확인할 수 있다.
아이콘루프 DID 플랫폼 ‘마이아이디’는 지난해 6월 금융위원회의 혁신금융서비스 금융규제 샌드박스에 지정됐다. 서비스 핵심은 발급받은 인증 정보를 사용자가 본인 단말기에 저장한 뒤 다른 서비스 및 기관에 사용할 때는 필요한 정보만 선택해 제출할 수 있도록 하는 것이다. 즉, DID를 비대면 금융 서비스에 적극 활용하겠다는 의미다.
아이콘루프 관계자는 “마이아이디는 오는 3분기 출시될 예정”이라며 연이어 발생한 사고가 계획에 영향을 미치진 않았다고 말했다.
DID는 안전할까?
아이콘루프 관계자는 최근 벌어진 비대면 금융서비스 사고는 “최초 신원인증의 중요성을 여실히 보여주는 사건”이라고 전했다. 위조한 신분증으로 비대면 부정대출을 한 사건은, 최초에 통신사 대리점에서 휴대폰을 개통한 것에서부터 시작됐다. 이후 증권사 및 인터넷 은행에서 비대면 계좌 개설까지 가능해졌다. 그는 “금융서비스를 이용할 때 휴대폰 본인인증을 활용하면 안 되는 이유가 여기에 있다”고 설명했다.
그는 마이아이디는 “신한은행, IBK 기업은행 등 제1금융권에서 철저한 신원확인을 거친 뒤 이를 블록체인에 기록해 진본성을 보장하는 구조”라고 강조했다. 신한은행과 IBK 기업은행이 까다롭게 신원확인을 거치고, 이들 기관에서 DID를 발급한다. 해당 DID는 블록체인에 기록돼 무결성이 보장된다. 블록체인에 올라간 정보는 위변조가 불가능하기 때문이다. 사용자는 이렇게 발급된 DID를 타 금융기관에서 이용할 수 있다. 기업이 개인정보를 저장하는 구조가 아니라 해킹 등으로 개인정보가 대량 유출될 가능성도 낮다.
DID도 단말 보안성이 핵심..일종의 정보지갑
DID는 사용자 소유 단말기에 모든 데이터가 보관된다. 단말기 보안성이 중요한 이유다. 데이터가 모바일 애플리케이션 내 안전한 영역에 저장될 수 있도록 보안조치를 취해야 한다. 아이콘루프 관계자는 “향후 마이데이터 시대가 열리면 단말기가 정보지갑으로서 역할이 보다 대두될 것”이라고 전망했다. 마이데이터는 개인이 주도적으로 정보를 유통하고 활용할 수 있는 시스템이다. 과학기술정보통신부는 지난 11일 의료·금융·공공·교통 생활·소상공인 등 6개 분야에서 마이데이터 실증서비스 과제 8개를 선정했다.
DID, 단말 분실 시 데이터 복구 어려워…그럼에도 이점은?
DID 기반 데이터 주권은 개인에게 있다. 이는 곧 그에 상응하는 책임도 개인이 져야 한다는 의미다. 기업이 개인정보를 수집 및 관리하지 않기 때문에 단말기를 분실하면 데이터를 찾기 어렵다. 이러한 위험을 감수하고도 DID를 사용했을 때 이점은 무엇일까? 3가지로 요약할 수 있다.
개인 입장에선 본인 정보를 관리할 수 있다. 기업이 개인 정보를 수집하면 사용자 개개인은 내 정보가 어디에 사용되고 있는지 정확히 알기 어렵다. 구체적으로 어떤 정보가 활용되고 있는지 파악하기 어렵다. 개인정보 주권이 침해될 여지가 있는 것이다. 보안 문제도 있다. 기업이 축적한 정보를 사용자 동의 없이 다른 데 넘길 가능성이 있다. 지난해 미국 연방거래위원회(FTC)가 페이스북에게 개인정보 유출 등 사용자 프라이버시 침해를 이유로 50억 달러(6조 970억 원) 규모의 벌금을 부과한 까닭도 이 때문이다. 해킹 우려도 있다. 대량의 개인정보를 보유하고 있는 기업은 해커 표적이 되기 쉽다. DID로 개인 정보를 관리하면 이 같은 문제에서 자유로울 수 있다.
사용성도 편리하다. 기존처럼 여러 곳에서 ID를 만들 필요가 없다. DID 하나만으로도 다양한 곳에서 서비스를 이용할 수 있다는 점이 이점이다.
서비스를 제공하는 기업 입장에선 DID를 사용하면 개인정보 보관에 따른 비용을 줄일 수 있다. 최근 개인정보보호에 대한 인식이 강화되는 추세다. 유럽연합(EU)에선 지난 2018년부터 개인정보보호 규정(GDPR, General Data Protection Regulation)이 시행됐다. 국내에서도 과기정통부 주도로 개인 데이터 주권을 강화하는 마이데이터 사업이 추진되고 있다. 이 같은 흐름 속에서 DID를 도입하면 기업은 개인정보를 직접 수집하는 데 따르는 위험 부담을 줄일 수 있다.
/도예리 기자 yeri.do@
https://www.decenter.kr/NewsView/1Z41C7PCO7/GZ02
※디센터와의 전제 계약을 통해 게재한 기사입니다