2017.08.28

개인정보와 디지털 아이덴티티가 만났을 때

Susan Morrow | CIO
10여년 전, 필자가 처음 아이덴티티 분야에 발을 들여놓았을 때도 ‘디지털 아이덴티티’는 격렬한 논쟁의 주제였다. 그 후로도 수년간 이어졌던 이 논쟁에서 그래도 한 가지 금욕적 실용성이 도출되기는 했다. 디지털 아이덴티티가 지칭하는 대상은 여러 가지가 될 수 있지만, 이들 모두가 공통으로 지니고 있는 부분은 바로 ‘데이터’이다. 당신은 당신이 지닌 자질들에 의해 정의된다. 적어도 그러한 자질들이 상당한 정도의 가능성으로 확증된 상태라면 말이다.



아이덴티티 데이터는 귀중한 자산이다. 그 매력도만으로 보자면 사이버 범죄자들이 취하고 싶어 안달을 낼 정도의 자산이라 하겠다. 아이덴티티 테프트 센터(Identity Theft Center)의 한 연구에 따르면, 2016년에는 전년 대비 데이터 유출 사건 건수가 40%가량 증가했다고 한다. 물론 아이덴티티 데이터는 그 데이터 너머에 있는 개인과 그 개인이 접근하고자 하는 서비스를 이용할 때에도 매우 중요하다. 중요한 것은 이러한 데이터가 사이버 범죄자들이 아닌 개인들에 의해 제대로 이용될 수 있도록 하는 것이다. 하지만 이를 위해서는 우선 사일로 장벽을 허물어야 한다.

넘쳐나는 데이터의 홍수, 그러나 쉽지 않은 데이터 공유
우리는 인터넷을 이용할 때 각종 계정을 만들게 된다. 그 자체만으로도 이미 상당히 사람을 귀찮게 하는 일이다. 나는 농담이 아니라 정말로 내가 몇 개의 웹사이트 계정이 있는지 알지 못한다. 특히 온라인 쇼핑을 즐기며 B&M 숍을 기피하는 나로서는 ‘디지털 세계의 나’라는 개념을 누구보다 자연스럽게 받아들였다. 나는 매주 식료품을 사는 것부터 송금하는 것까지 모든 거래를 온라인으로 한다. 그리고 이 모든 서비스들을 이용할 때마다 내 개인 식별 정보와 금융 정보, 신체 정보 등이 이용된다. 인터넷이 내 가족들보다 더 나에 대해 많은 것을 알고 있는 셈이다.

그 데이터들이 진짜 ‘나’를 구성하지는 않는다. 하지만 이들은 여러 가지 일들을 처리하는 데 필요하다.

대부분의 경우 우리가 제3자 기업과 공유하는 개인정보는 사실 그럴 필요가 없는 것들이다. 진짜 필요한 것은 내가 정말 나 자신이라는 증명이다. 최근 필자는 GDPR과 개인식별정보 삭제(de-identification)가 컴플라이언스에 어떻게 도움을 줄 수 있는지에 대해 이야기했었다. 하지만 이 경우들은 프로세스를 진행하면서 신원 데이터를 공개적으로 공유할 필요가 있는 경우들이었다.

실생활에서의 예를 하나 들겠다. 영국 재정청(FSA)에 따르면, 영국에서는 한 해에 금융 사기로 인한 피해액이 최대 570억 파운드에 달한다. 이러한 피해에 대처하기 위해 특정 액수 이상의 돈을 타인에게 송금하는 경우에 일정한 절차를 거치도록 하는 제도를 시행하고 있다. 예를 들어 자식에게 담보 예금 등의 명목으로 상당한 액수의 돈을 증여하고 싶다면 적어도 영국 내에서는 자신의 신분과 재정 상태를 증명하는 서류를 양도 전문 변호사에게 제출해야 한다. 이를 위해서는 우선 오프라인 우체국에 실제로 들러(반드시 집 근처에 있는 것일 필요는 없다) 신원 증명 문서를 제출하고 이것에 대한 공증을 받아야 한다. 그리고 이 문서를 변호사에게 제출한다.

이 외에도 다양한 분야에서 위와 같은 절차가 요구되고 있다. 우리도 적절한 방법만 고안한다면, 더욱 빠르고 효율적이면서도 비용을 절감하는 방식으로 신원 데이터를 공유할 수 있게 될 것이다.

개인 신원 데이터 스토어가 전달하는 호혜적 가치
GDPR과 같은 규제 정책들이 목표로 하는 것은 신원 정보의 공유를 용이하게 하면서도 사용자의 동의를 구하고 개인정보 데이터에 대한 사용자의 통제력을 보장해 주는 것이다. 시장에는 신원 플랫폼에 프라이버시 설계(Privacy by Design)를 이식해 통제 역량을 강화하는 작업과 관련한 자문을 제공하는 긱야(Gigya)와 같은 업체들도 등장하고 있다.

신원 데이터 공유의 핵심은 통제와 프라이버시를 보장하는 것이다. 신원 공급자(IDP)를 활용해 웹 자원에 대한 접근을 통제하는 것만으론 데이터의 휴대성과 접근성을 온전히 보장하는데 한계가 있다. ‘신원 데이터 스토어'의 필요성이 주목받는 지점이다.

신원 데이터 스토어는 신원 데이터의 집으로 기능하는 영역이다. 오늘날 우리는 모두 무수한 온라인 계정을 생성하고 있고, 이것들 가운데 몇몇은 검증 데이터를 포함하고 있다. 검증 데이터란 별도의 사일로에 보관돼, 누군가 자녀에게 월세를 이체하는 등의 활동들에 유용한 방식으로 접근할 수 없는 데이터를 의미한다. 이런 방식 대신 우리의 신원 데이터가 하나의 중앙화된 보관소에 머물게 된다면, 이것을 활용, 재사용, 업데이트, 검증, 공유하는 과정은 훨씬 용이해질 것이다.

GDPR과 이를 모방코자 하는 영국의 2016 온라인 사생활 보호법 등의 제도는 데이터를 데이터 공유 프로세스의 중심에 놓고 있다. 그리고 사실 충분히 그럴 만 하다. 킴 카메론이 ‘아이덴티티의 법칙’을 만들었을 때부터 바라왔던 것이기도 하다. 그것은 바로 데이터 사용에 대한 사용자의 통제권과 동의가 첫 번째가 돼야 한다는 것이다. IDP와 같은 개인정보 관리 서비스는 다른 기본적 개인정보와 함께 신원 정보를 보호하는 데 집중할 뿐 그 사용에 대한 유저의 통제권이나 동의에 대해 별로 주의를 기울이지 않는다. IDP는 개인정보시장에서 그 자리를 마련하고 있기는 하지만 그 역할은 제한돼 있다고 할 수 있다.

다시, 담보 예금 예시로 돌아가 보자. 10마일이나 떨어져 있는 우체국까지 다녀오는 대신에 온라인에서 몇 번의 클릭만으로 모든 개인정보 및 재정 상황 증명서를, 전자 서명과 동의, 암호화를 통하여 변호사와 공유할 수 있었다고 하자. 이는 그저 양자가 서로 동의하는 가운데 개인 신원 정보를 능동적으로 활용하여 인생을 조금 더 편리하게 만든 것 아닐까? 그리고 테크놀로지의 궁극적 목적은 우리의 삶을 좀 더 편하게 만들어 주는 것 아니었을까?

고객 데이터 스토어 기능의 확장은 이미 오픈 뱅킹 이니셔티브 등의 변화들을 통해 확인되고 있으며, 디지털 의료 등 용례의 발전 역시 곳곳에서 이뤄지고 있다. 이런 변화들의 바탕에서 신원 검증소의 역할을 할 수 있는 것이 바로 데이터 스토어다. 시스템의 주춧돌로서 이것의 역할이 부재한다면, 나머지 데이터들은 모두 그 의미를 잃게 될 것이다.

신원 데이터의 공유는 언제나 사용자의 통제 아래 이뤄져야 하지만, 동시에 이는 많은 경우 쌍방향의 과정으로 진행되곤 한다. 현실 세계에서와 마찬가지로, 정보를 공유한다는 일은 ‘오는 게 있어야 가는 게 있는' 법이다. 검증된 데이터를 활용해 소통할 수 있도록 하는 도구를 사용자와 서비스 제공자 모두에게 제공함으로써 온라인 신원은 그 온전한 의미를 담보할 수 있다.

새로운 시대를 맞이하는 아이덴티티
개인정보 스토어나 라이프 매니지먼트 플랫폼 등은 예전부터 있었던 서비스들이다. 즉, 개인정보나 우리의 생활을 관리의 대상으로 보는 시선은 전혀 새로운 것이 아니지만, 이런 서비스들에 대한 우리의 기대치는 상당히 낮은 수준으로 유지됐다. 그리고 인제야 비로소 이런 서비스들의 유용성과 이에 대한 법적 규제, 그리고 사용례 등이 톱니바퀴가 맞물리듯 맞물려 돌아가며 테크놀로지가 꽃필 수 있는 공간을 마련해 주고 있다.

오랜 시간이 걸렸지만, 우리는 인제야 고객 신원정보 플랫폼의 시대에 들어서게 되었다. 그리고 곧 머지 않아 새로운 시대, ‘디지털 자아’의 시대가 도래할 것이다. 신원정보 그 자체가 ‘나’는 아니지만, 온라인에서 내가 필요로 하는 일들을 수행하는 데 도움을 줄 수 있을 것이다.

*Susan Morrow은 보안과 온라인 아이덴티티 경력 20년차 전문가다. ciokr@idg/co.kr
 



2017.08.28

개인정보와 디지털 아이덴티티가 만났을 때

Susan Morrow | CIO
10여년 전, 필자가 처음 아이덴티티 분야에 발을 들여놓았을 때도 ‘디지털 아이덴티티’는 격렬한 논쟁의 주제였다. 그 후로도 수년간 이어졌던 이 논쟁에서 그래도 한 가지 금욕적 실용성이 도출되기는 했다. 디지털 아이덴티티가 지칭하는 대상은 여러 가지가 될 수 있지만, 이들 모두가 공통으로 지니고 있는 부분은 바로 ‘데이터’이다. 당신은 당신이 지닌 자질들에 의해 정의된다. 적어도 그러한 자질들이 상당한 정도의 가능성으로 확증된 상태라면 말이다.



아이덴티티 데이터는 귀중한 자산이다. 그 매력도만으로 보자면 사이버 범죄자들이 취하고 싶어 안달을 낼 정도의 자산이라 하겠다. 아이덴티티 테프트 센터(Identity Theft Center)의 한 연구에 따르면, 2016년에는 전년 대비 데이터 유출 사건 건수가 40%가량 증가했다고 한다. 물론 아이덴티티 데이터는 그 데이터 너머에 있는 개인과 그 개인이 접근하고자 하는 서비스를 이용할 때에도 매우 중요하다. 중요한 것은 이러한 데이터가 사이버 범죄자들이 아닌 개인들에 의해 제대로 이용될 수 있도록 하는 것이다. 하지만 이를 위해서는 우선 사일로 장벽을 허물어야 한다.

넘쳐나는 데이터의 홍수, 그러나 쉽지 않은 데이터 공유
우리는 인터넷을 이용할 때 각종 계정을 만들게 된다. 그 자체만으로도 이미 상당히 사람을 귀찮게 하는 일이다. 나는 농담이 아니라 정말로 내가 몇 개의 웹사이트 계정이 있는지 알지 못한다. 특히 온라인 쇼핑을 즐기며 B&M 숍을 기피하는 나로서는 ‘디지털 세계의 나’라는 개념을 누구보다 자연스럽게 받아들였다. 나는 매주 식료품을 사는 것부터 송금하는 것까지 모든 거래를 온라인으로 한다. 그리고 이 모든 서비스들을 이용할 때마다 내 개인 식별 정보와 금융 정보, 신체 정보 등이 이용된다. 인터넷이 내 가족들보다 더 나에 대해 많은 것을 알고 있는 셈이다.

그 데이터들이 진짜 ‘나’를 구성하지는 않는다. 하지만 이들은 여러 가지 일들을 처리하는 데 필요하다.

대부분의 경우 우리가 제3자 기업과 공유하는 개인정보는 사실 그럴 필요가 없는 것들이다. 진짜 필요한 것은 내가 정말 나 자신이라는 증명이다. 최근 필자는 GDPR과 개인식별정보 삭제(de-identification)가 컴플라이언스에 어떻게 도움을 줄 수 있는지에 대해 이야기했었다. 하지만 이 경우들은 프로세스를 진행하면서 신원 데이터를 공개적으로 공유할 필요가 있는 경우들이었다.

실생활에서의 예를 하나 들겠다. 영국 재정청(FSA)에 따르면, 영국에서는 한 해에 금융 사기로 인한 피해액이 최대 570억 파운드에 달한다. 이러한 피해에 대처하기 위해 특정 액수 이상의 돈을 타인에게 송금하는 경우에 일정한 절차를 거치도록 하는 제도를 시행하고 있다. 예를 들어 자식에게 담보 예금 등의 명목으로 상당한 액수의 돈을 증여하고 싶다면 적어도 영국 내에서는 자신의 신분과 재정 상태를 증명하는 서류를 양도 전문 변호사에게 제출해야 한다. 이를 위해서는 우선 오프라인 우체국에 실제로 들러(반드시 집 근처에 있는 것일 필요는 없다) 신원 증명 문서를 제출하고 이것에 대한 공증을 받아야 한다. 그리고 이 문서를 변호사에게 제출한다.

이 외에도 다양한 분야에서 위와 같은 절차가 요구되고 있다. 우리도 적절한 방법만 고안한다면, 더욱 빠르고 효율적이면서도 비용을 절감하는 방식으로 신원 데이터를 공유할 수 있게 될 것이다.

개인 신원 데이터 스토어가 전달하는 호혜적 가치
GDPR과 같은 규제 정책들이 목표로 하는 것은 신원 정보의 공유를 용이하게 하면서도 사용자의 동의를 구하고 개인정보 데이터에 대한 사용자의 통제력을 보장해 주는 것이다. 시장에는 신원 플랫폼에 프라이버시 설계(Privacy by Design)를 이식해 통제 역량을 강화하는 작업과 관련한 자문을 제공하는 긱야(Gigya)와 같은 업체들도 등장하고 있다.

신원 데이터 공유의 핵심은 통제와 프라이버시를 보장하는 것이다. 신원 공급자(IDP)를 활용해 웹 자원에 대한 접근을 통제하는 것만으론 데이터의 휴대성과 접근성을 온전히 보장하는데 한계가 있다. ‘신원 데이터 스토어'의 필요성이 주목받는 지점이다.

신원 데이터 스토어는 신원 데이터의 집으로 기능하는 영역이다. 오늘날 우리는 모두 무수한 온라인 계정을 생성하고 있고, 이것들 가운데 몇몇은 검증 데이터를 포함하고 있다. 검증 데이터란 별도의 사일로에 보관돼, 누군가 자녀에게 월세를 이체하는 등의 활동들에 유용한 방식으로 접근할 수 없는 데이터를 의미한다. 이런 방식 대신 우리의 신원 데이터가 하나의 중앙화된 보관소에 머물게 된다면, 이것을 활용, 재사용, 업데이트, 검증, 공유하는 과정은 훨씬 용이해질 것이다.

GDPR과 이를 모방코자 하는 영국의 2016 온라인 사생활 보호법 등의 제도는 데이터를 데이터 공유 프로세스의 중심에 놓고 있다. 그리고 사실 충분히 그럴 만 하다. 킴 카메론이 ‘아이덴티티의 법칙’을 만들었을 때부터 바라왔던 것이기도 하다. 그것은 바로 데이터 사용에 대한 사용자의 통제권과 동의가 첫 번째가 돼야 한다는 것이다. IDP와 같은 개인정보 관리 서비스는 다른 기본적 개인정보와 함께 신원 정보를 보호하는 데 집중할 뿐 그 사용에 대한 유저의 통제권이나 동의에 대해 별로 주의를 기울이지 않는다. IDP는 개인정보시장에서 그 자리를 마련하고 있기는 하지만 그 역할은 제한돼 있다고 할 수 있다.

다시, 담보 예금 예시로 돌아가 보자. 10마일이나 떨어져 있는 우체국까지 다녀오는 대신에 온라인에서 몇 번의 클릭만으로 모든 개인정보 및 재정 상황 증명서를, 전자 서명과 동의, 암호화를 통하여 변호사와 공유할 수 있었다고 하자. 이는 그저 양자가 서로 동의하는 가운데 개인 신원 정보를 능동적으로 활용하여 인생을 조금 더 편리하게 만든 것 아닐까? 그리고 테크놀로지의 궁극적 목적은 우리의 삶을 좀 더 편하게 만들어 주는 것 아니었을까?

고객 데이터 스토어 기능의 확장은 이미 오픈 뱅킹 이니셔티브 등의 변화들을 통해 확인되고 있으며, 디지털 의료 등 용례의 발전 역시 곳곳에서 이뤄지고 있다. 이런 변화들의 바탕에서 신원 검증소의 역할을 할 수 있는 것이 바로 데이터 스토어다. 시스템의 주춧돌로서 이것의 역할이 부재한다면, 나머지 데이터들은 모두 그 의미를 잃게 될 것이다.

신원 데이터의 공유는 언제나 사용자의 통제 아래 이뤄져야 하지만, 동시에 이는 많은 경우 쌍방향의 과정으로 진행되곤 한다. 현실 세계에서와 마찬가지로, 정보를 공유한다는 일은 ‘오는 게 있어야 가는 게 있는' 법이다. 검증된 데이터를 활용해 소통할 수 있도록 하는 도구를 사용자와 서비스 제공자 모두에게 제공함으로써 온라인 신원은 그 온전한 의미를 담보할 수 있다.

새로운 시대를 맞이하는 아이덴티티
개인정보 스토어나 라이프 매니지먼트 플랫폼 등은 예전부터 있었던 서비스들이다. 즉, 개인정보나 우리의 생활을 관리의 대상으로 보는 시선은 전혀 새로운 것이 아니지만, 이런 서비스들에 대한 우리의 기대치는 상당히 낮은 수준으로 유지됐다. 그리고 인제야 비로소 이런 서비스들의 유용성과 이에 대한 법적 규제, 그리고 사용례 등이 톱니바퀴가 맞물리듯 맞물려 돌아가며 테크놀로지가 꽃필 수 있는 공간을 마련해 주고 있다.

오랜 시간이 걸렸지만, 우리는 인제야 고객 신원정보 플랫폼의 시대에 들어서게 되었다. 그리고 곧 머지 않아 새로운 시대, ‘디지털 자아’의 시대가 도래할 것이다. 신원정보 그 자체가 ‘나’는 아니지만, 온라인에서 내가 필요로 하는 일들을 수행하는 데 도움을 줄 수 있을 것이다.

*Susan Morrow은 보안과 온라인 아이덴티티 경력 20년차 전문가다. ciokr@idg/co.kr
 

X