디지털 신원을 다루는 컨퍼런스가 나날이 늘고 있다. 그러나 최근의 한 컨퍼런스에서 한 전문가는 “20년이 지났지만 누구나 사용할 수 있는 디지털 신원(ID)을 만드는데 아무런 진전이 없다”라고 토로했다.
모두가 접근할 수 있고, 복잡한 이해관계자 생태계에서 두루 사용할 수 있게 한다는 신원 개념은 사실 생각보다 훨씬 까다로울 수 있다. 수많은 전문가들이 컨퍼런스에서, 회합에서, 소셜 미디어에서 해법을 도출하기 위해 고심 중이지만 문제는 계속된다. 왜 아직까지도 디지털 신원과 관련된 상호운용성과 이질적 시스템은 뜨거운 감자인 것일까?
디지털 신원 세계의 현실
현재의 신원 지형은 ‘유동적’이라고 할 수 있다. 수많은 이용 사례에 걸쳐 수많은 접근법이 있다. 온갖 잡다한 해법의 집합이다. 일반적으로, 신원 지형은 아래와 같이 분류할 수 있다.
• 국민 ID(citizen identity) : 수많은 정부가 이미 국민 ID에 정착했거나 이를 준비 중이다. 예를 들어 영국의 경우 베리파이 시스템(Verify scheme)은 이제 6년이 되었고, 400 만명이 넘는 사용자가 19가지 정부 서비스와 관련해 이를 사용 중이다. 그러나 여기에 그칠 뿐 아직까지 상업적 재사용에 이르지 못하고 있다.
• ID 모바일 앱 : 요티(Yoti) 같은 앱은 요티 앱 생태계 참여자가 사용할 수 있는 모바일 기기 기반의 ID를 제공한다. 2019년 5월 현재 요티는 700만 명 이상의 이용자를 확보했고, 수백 곳의 관계자가 요티 ID를 소비한다. 시큐어키(SecureKey)의 ‘베리파이닷미(Verified.me) 등 여타 ID 앱도 상당 수 출현 중이다.
한편 언급할 가치가 있지만 아직 초기 단계인 또 다른 프로젝트라면 마스터 카드와 삼성의 “모바일 기기에서 디지털 신원을 편리하고 안전하게 증명하는 … 더 나은 방식을” 전달하기 위한 협업이다.
• 소셜 및 연합 계정 : 페이스북, 구글, 아마존 등은 신원으로까지 생각되는 것은 아니지만, 다른 곳에서 디지털 신원을 생성할 때 필요한 모든 또는 일부의 정보를 포함하는 것이 보통이다. 이들 계정은 더 넓은 생태계에서 재사용될 수 있는 거대한 잠재력이 있다.
• 고객 신원 및 접근 관리(CIAM) 플랫폼 : 이 분야의 사업자로는 오크타(Okta), 핑(Ping), 잰레인(Janrain), 포지록(Forgerock) 등이 있다. 이들의 플랫폼은 전통적인 IAM 요건을 비롯해 각종 고객 마케팅과 애널리틱스를 망라한다. 이들은 표준 프로토콜에 기반하는 것이 보통이고, 따라서 더 넓은 생태계에서 유효할 수 있다.
• 신원 서비스 및 API : 이는 다양한 분야를 아우를 수 있지만, 유망한 분야는 ID 업계의 모든 사업자를 연결하는 것이다. 아보코 시큐어(Avoco Secure), 시큐어키(SecureKey) 등의 회사는 생태계 구성요소들을 연결해 상호 운용성 레이어를 구축할 수 있는 기술을 제공한다.
• 자주적 신원(self-sovereign identity, SSI): 아울러 자주적 신원(SSI)도 출현 중이다. 이 비중앙식 신원 접근법은 이용자의 손에 신원 정보를 되돌려준다. 그러나 SSI의 상업적 이용에 관한 의문은 여전히 해소되지 않았다.
신원 문제를 어떻게 해결할 수 있을까?
알다시피 신원 지형은 여러 동작 부분이 관여하며 복합적이다. 이상적인 신원 공간을 생성하는데 따른 중요한 장애는 매우 이질적이고, 단절되고, 상호운용이 불가능한 업계 지형이다.
개인의 표상이라 할 수 있는 디지털 신원이 수천 개의 파편으로 쪼개지는 상황이 출현해 있다. 이들은 서로 단절되고, 격리되고, 폐쇄된 시스템에 놓여 있다. 결과는 수천 개의 중복된 데이터 조각들이다. 이는 개인 정보 도난이 매우 쉽고 매우 만연한 이유 가운데 하나이다.
“승자 독식보다는 활발한 시장을 공동으로 창출하는 것, 이것이야말로 우리가 관심을 기울여야 하는 것이다?”
우리는 파편화를 넘어 재사용의 문화로 나아가야 한다. ‘고쳐서 사용하라’는 오래된 통념을 디지털 신원의 세계에 적용해야 한다. 아래와 같이 몇 가지 아이디어를 제시한다.
• 결합 및 재사용 : ID 세계는 수많은 사업자의 오퍼링이라는 격리된 공간들로 이뤄져 있다. 디지털 신원은 이렇게 작용해서는 안 된다. 디지털 신원은 진정으로 하나의 생태계이다. 어떤 신원 정보이든 필요로 하는 당사자라면 누구에게나 전송될 수 있어야 한다. 폐쇄적 디지털 신원 공간을 생성하는 것은 실패를 위한 레시피이다. 신원 및 신원 정보의 생태계는 호출과 재사용이 가능하도록 구축되어야 한다. 요티(Yoti), 디지닷미(digi.me) 같은 앱, 핑(Ping)과 같은 플랫폼, 베리파이(Verify), eIDAS 같은 시티즌 ID는 데이터를 필요로 하는 누구에게나 연결되어 서비스될 수 있다.
• 개량 : 필요하다면 디지털 신원 생태계는 재사용 ID를 보강하는 새로운 정보를 수용해야 한다.
• 이벤트 : 이는 흔히 이용자가 누구인가가 아니라, 이용자가 무엇을 하려고 하는가에 대한 것이다. ID는 일을 온라인으로 할 수 있게 해주고, 이는 이벤트 주도형일 수 있다.
• 프레임워크 및 규칙 : 기존 ID의 재사용을 허용하는 법리를 검토해야 한다. 이는 상호운용성 레이어에 중점을 두어야 한다. 사업자가 특정 ID 앱이나 플랫폼의 이용을 차단할 필요가 있는 경우가 분명 있을 것이다. 보다 넓은 생태계 내에서 재사용 가능한 ID의 일반적 이용을 부정하지 않지만, 미시적-생태계의 생성도 감안해야 한다.
신원 생태계는 달성 가능한 비즈니스 모델에 입각해 유연한 ID를 생성하여 ID를 소비하는 사용자와 서비스에게 가치를 제공해야 한다. 결국, 실제 ID를 원하는 경우는 그리 많지 않다. 일반적으로, 질문에 대한 대답이 필요할 뿐이다. 예컨대, “연령 제한 제품을 구매할 수 있는 18세 이상인가?”와 같은 질문이다.
ID에 대한 해법 찾기
기존ID 계정의 재사용은 이질적ID 세계의 문제를 해결할 열쇠일 수 있다. 모두를 참여시킴으로써 폐쇄된 시스템을 열어젖힐 수 있다. 정부ID 이니셔티브들은 상업적 이용 사례, 심지어 투자 수익(ROI)을 발견할 수 있을 것이다. 핵심은 공개 ID 교환소(Open Identity Exchange, OIX), 칸타라(Kantara) 같은 산업 기구를 통한 협력이다.
칸타라 같은 단체는 ID 세계에서 표준을 생성하는 훌륭한 일을 한다. 그러나 이는 어떻게 ID를 사일로에서 꺼내 더 넓은 세계에 적용할 것인가에 대한 총체적 시각으로 보강되어야 할 것이다.
최근의 유럽 아이덴티티 & 클라우드 컨퍼런스(European Identity & Cloud Conference 2019)에서 애널리스트인 마틴 쿠핑거는 현실을 다음과 같이 요약했다.
“ID를 연결하려는 목표라면 혼자여서는 안 된다. 서비스를 조율하고, 이미 있는 것을 만들어내려고 하지 말라. 애플리케이션으로부터 데이터를 분리하고, 이를 사용될 수 있도록 하고 차단되지 않도록 하라.” ciokr@idg.co.kr