[모바일 신분증 시대③] 해킹·도용 위험 없을까

기사등록 2022/11/14 13:51:30

최종수정 2022/11/22 09:21:20

모바일 신분증, 실물 신분증과 동일한 효력이기 떼문에 유출될 경우 피해 커

정부, 자기주권 신원증명 개념 도입…DID 기술로 구현

이 기술 활용하면 신분증, 사용이력 등 데이터 위변조 불가능

전문가들 “이제 막 서비스 상용화된만큼 안심하다고 단언하기엔 일러"

[서울=뉴시스] 김금보 기자 = 행정안전부는 28일부터 모바일 신분증 역할을 할 수 있는 모바일 운전면허증 발급을 전국으로 확대한다. 사진은 현행 운전면허증과 같은 효력을 지닌 모바일 운전면허증. 2022.07.28. kgb@newsis.com
[서울=뉴시스] 김금보 기자 = 행정안전부는 28일부터 모바일 신분증 역할을 할 수 있는 모바일 운전면허증 발급을 전국으로 확대한다. 사진은 현행 운전면허증과 같은 효력을 지닌 모바일 운전면허증. 2022.07.28. [email protected]

[서울=뉴시스]송종호 기자 = # 지난해 이스라엘은 백신여권 ‘그린패스’를 도입하면서 보유자의 개인정보를 QR코드로 변환해 스마트폰 등에 저장하는 방식을 채택했다. 문제는 이 QR코드가 암호화되지 않아 위조 사례가 빈번하게 발생했다는 점이다. 위조된 백신여권이 텔레그램 등을 통해 유통되는 정황이 포착되기도 했다. 이스라엘 정부는 서둘러 암호화에 나섰지만 늑장대응이라는 비난을 피할 수 없었다.

백신여권에서 한단계 더 진화한 모바일 신분증은 실물 신분증과 동일한 효력을 가진 만큼 정보 유출에 대한 우려의 목소리 역시 크다. 모바일 신분증을 제공하는 중앙 서버는 물론 개인 사용자의 단말 가운데 어느 하나라도 탈취되면 개인 신상 도용, 증명서 유출 등의 추가 피해로 이어질 수 있기 때문이다.

정부, 자기주권 신원 증명으로 보안 강화…DID 기술이 뒷받침

이같은 우려를 해소하고 모바일 신분증 서비스 확산을 위해 정부가 도입한 것이 자기주권 신원증명(Self-Sovereign Identity) 방식이다.

자기주권 신원증명은 현재 통상적으로 이용하고 있는 중앙집중식 신원증명과 대조되는 개념이다. 기존 신원인증은 이름, 전화번호뿐만 아니라 주소, 나이 등 고객이 개인정보 모두를 제공해야 했다. 하지만 자기주권 신원증명은 개인 정보 소유 및 이용 권한을 신원 주체인 사용자가 갖게 된다.

자신의 스마트폰에 본인 신원 정보를 발급받아 보관하고 신원 확인 요청이 있을 때마다 본인의 판단에 따라 제공 여부를 결정하게 된다. 신분증 사용 이력은 본인만 확인할 수 있도록 개인 스마트폰에 저장된다. 중앙 서버에는 저장되지 않는다.

탈중앙화 신원증명(DID) 기술은 블록체인 기술 기반으로 구축한 신원증명 서비스로, 신원증명을 위한 개인정보를 암호화하고, 이를 블록 단위로 구성해 저장한다. 이후 지갑에서 주민등록증을 꺼내듯 블록체인 지갑에서 DID를 제출해 신원을 증명한다. 이 기술을 활용하면 신분증, 사용 이력 등의 데이터 위변조가 불가능하며, 접근을 통제할 수 있다.

국내에서는 ▲보안기업 라온시큐어 중심인 옴니원 ▲SK텔레콤과 주요 은행들이 연합한 이니셜 ▲블록체인 기술 전문기업 아이콘루프가 주도하는 마이아이디 등이 대표적인 DID 플랫폼이다.

올해 7월 말부터 전국적으로 발급되고 있는 모바일 운전면허증에 이 DID 기술이 적용됐다. 라온시큐어와 LG CNS는 DID 플랫폼 옴니원을 기반으로 모바일 운전면허증에 자기주권 신원증명을 구현했다.

모바일 신분증에 적용되는 보안정책도 점차 강화되고 있다. 최근 서비스를 시작한 모바일 주민등록증이 여기에 해당한다. 주무부처인 행정안전부와 이통3사의 패스앱이 내놓은 모바일 주민등록증 서비스는 본인 명의로 개통된 스마트폰 1대에서만 이용 가능하도록 제한하고 있다. 개인정보 유출을 막기 위한 보안 강화인 것이다.

또 화면 캡처 차단 및 QR무늬 초기화 등 강력한 보안 정책을 적용했다. 특히 응용 프로그래밍 인터페이스(API)를 이용해서 주민등록증 정보가 패스 서버나 단말기에는 저장되지 않도록 했다.

“편의성과 보안성 모두 충족해야”

그러나 모바일 신분증 서비스가 이제 막 상용화된만큼 해킹이나 도용 피해로부터 안심하다고 단언하기에는 이르다.

김진욱 IT법학연구소장(변호사)는 “모바일신분증이 이제 막 시작됐기 때문에 초기 취약점을 노린 해킹이나 시스템 미비 등에 대비해야 한다”라며 “신기술의 도입만큼이나 이를 뒷받침할 법제 등의 꼼꼼한 활용도 필요하다”라고 말했다.

이어 “이를 위해서는 기존 법제를 활용하거나 부족한 부분은 보완하는 노력이 있어야 한다”라고 덧붙였다.

또 다른 변호사는 “첨단 기술이 모바일 신분증에 적용됐다고 하지만 실물 신분증과 같이 다양한 위변조 기술이 적용돼야 한다”라며 “DID 외에도 다양한 연계 기술을 장려하는 지원사업 등도 고려할 수 있을 것”이라고 제안했다.

보안 전문가들은 해킹 등에 대비해 고도화된 보안기술로 대국민 신뢰를 확보해야 한다고 제언했다.

한 보안 전문가는 “모바일 신분증이 사용자들에게 실물 신분증과 같은 공감을 얻기 위해서는 보안성에 대한 신뢰를 확보해야 한다”라며 “관련 보안 기술을 지속적으로 보완하는 업계의 노력과 정부의 지원이 이뤄져야 한다”라고 밝혔다.


◎공감언론 뉴시스 [email protected]
button by close ad
button by close ad

이시간 뉴스

많이 본 기사

기사등록