[블록미디어 정아인 기자] “오브는 홍채 코드를 생성하고 홍채 이미지를 즉시 삭제합니다. 월드ID 인증 시 홍채 이미지를 백업할 지 아닐지 선택할 수 있어요.”

이더리움 창시자 비탈릭 부테린이 월드코인을 저격하는 등 월드코인 보안 논란이 계속되고 있다. 이에 월드코인 재단은 지난 4일 블로그를 통해 보안 FAQ(Frequently Asked Questions, 자주 하는 질문)를 공개했다.

FAQ에는 월드ID, 홍채 인식을 할 수 있는 기계 오브(Orb) 보안 등 질문이 포함됐다. 다음은 주요 내용.

# 월드앱 다운로드 시 개인 정보 필요 없다.

월드코인 재단에 따르면 월드코인을 사용하기 위해선 개인 정보가 필요하지 않다. 월드코인(WLD)를 받기 위해선 월드앱을 다운받아야 하는데, 월드앱을 다운받을 때는 개인 정보를 입력할 필요가 없다. 이름, 전화번호, 이메일, 소셜 프로필, 셀카, 여권 등을 입력하지 않아도 된다.

월드ID는 월드코인 생태계에서 작동되는 글로벌 신원 인증 프로토콜이다. 월드코인 재단은 “월드 ID는 익명으로 활동할 수 있도록 설계됐다. 지갑에 연결하지 않고 용도에 맞게 사용되는 별도의 키를 가진 별도의 계정”이라고 강조했다.

월드코인 재단은 “모든 항목은 선택 사항이다. 어떠한 개인 데이터도 기본적으로 공개되지 않는다. 월드 ID 사용시 개인 데이터를 제3자와 공유할지 아닌지 결정할 수 있다”라고 말했다.

# 오브에는 홍채 이미지가 저장되지 않는다?

월드앱을 다운받아 월드코인을 받기 위해선 홍채를 인식해야 한다. 이때 홍채 인식 기계인 오브(Orb)를 사용해야 한다. 오브는 여러 신경망을 실시간으로 동시에 실행할 수 있는 컴퓨팅 장치가 탑재됐다.

오브를 통해 이미지 전송, 업로드, 저장 과정 없이 현장에서 장치를 통해 신원을 확인할 수 있다. 오브에서 사람의 홍채 코드(iris code), 홍채 질감(iris texture)의 수학 표현도 현장에서 생성된다.

월드코인 재단은 “오브는 홍채 코드를 생성 후 홍채 이미지를 바로 삭제한다. 월드ID 인증 시 이미지를 백업할지 아닐지를 선택할 수 있다”라며, “(공유를 선택한)홍채 이미지는 월드코인에 공유된다. 홍채 감지와 세분화 모델 유사한 알고리즘 훈련에 사용된다”라고 말했다.

# 비탈릭 부테린도 인정했다

이더리움의 부테린은 홍채를 스캔하고 데이터베이스와 대조해 월드ID 보유 여부를 확인하는 방식이, 잠재적인 개인 생체정보 유출로 이어질 가능성을 우려했다. 월드코인 재단은 비탈릭 부테린의 블로그 포스팅을 인용해 해당 논란을 반박했다.

월드코인 재단은 “비탈릭 부테린은 신원 증명(Proof of Personhood)을 살펴보며 특수 생체인식 하드웨어가 신원 증명에서 개인정보 보호를 가장 높은 수준으로 할 수 있다고 꼽았다”라고 강조했다.

재단은 “부테린은 오브가 당신의 안구를 스캔하는 ‘디스토피아적인 느낌’이 있지만 특수 하드웨어 시스템이 개인정보를 보호하는 데 괜찮은 역할을 할 수 있다고 평가한 것”이라고 그의 지적을 정리했다.

# 월드ID는 홍채 이미지나 홍채 코드일까?

월드코인 재단은 “월드ID는 생체 인식 확인이 이루어지기 전 사용자의 기기에서 생성된다. 생체 인식은 월드ID를 확인하거나 복구할 때만 사용된다. 월드ID를 사용할 때 생체 인식 데이터는 제3자와 공유되지 않는다”라며 생성 과정을 설명했다.

재단은 “월드ID는 홍채 이미지 집합이 아니다. 홍채 이미지에서 생성된 홍채 숫자 코드도 아니다”라며,  “오브가 출력하는 홍채 코드는 이전 다른 모든 오브에서 생성된 다른 모든 홍채 코드와 비교된다. 사용자가 인증한 적이 없다면, 홍채 이미지가 아니라 장치에서 생성된 월드 ID가 인증된 월드 ID 목록에 추가된다”라고 말했다.

월드 아이디 관련 개인정보 보호에는 영지식 증명(Zero Knowledge, ZKP)을 활용된다. 월드코인 재단은 “영지식 증명으로 제3자가 해당 사용자의 공개 키를 알거나 여러 애플리케이션에서 해당 사용자를 추적할 수 없다. 영지식 증명은 월드ID를 사용할 때 생체 인식 데이터나 홍채 코드에 연결되지 않도록 보호한다”라고 말했다.

# 월드ID는 정부나 민간 기업도 쓸 수 있다?

월드코인 재단은 월드ID는 오픈 소스로 누구나 개발할 수 있지만, 월드ID는 영지식증명을 통해 보호받을 수 있다고 설명했다.

월드ID는 오픈 소스, 비허가형 프로토콜이다. 누구나 사용할 수 있다. 모든 개발자 문서는 대중에게 무료로 공개된다.

재단은 “영지식증명은 월드코인에 기여하는 개발자, 정부 애플리케이션을 포함한 타사 애플리케이션을 개발하는 개발자 모두가, 월드 ID 소유자의 공개키 확인 등으로 애플리케이션 전반에서 사용자 추적을 방지할 수 있다”며 “월드ID가 개인의 생체 데이터나 홍채 코드에 연결되지 않도록 보호한다”라고 설명했다.

월드ID는 세모포어(Semaphore)라는 오픈 소스 프로토콜을 사용한다. 세모포어는 월드ID 데이터 자체(공개키 및 무효화기)가 개인의 신원이나 다른 애플리케이션의 인증에 추적당하지 않는지 확인한다.

속보는 블록미디어 텔레그램으로(클릭)

같이 보면 좋은 기사

“월드코인은 스캠, 개인정보 등 위험 노출”–부테린, 주기영 등 비판 가열(종합)

“샘 올트먼의 월드코인 안전하다”–코인펀드 회장 블룸버그TV 인터뷰