SSI는무엇일까? SSI와 DDI, SSI 개념, SSI 요소

 

 

💡 SSI 는 무엇일까?

 

✓ SSI와 DID

 

DID는 SSI(Self-Sovereign Identity)를 탈중앙화된 방식으로 구현한 것이다.

 

❓ 그렇다면 SSI는 무엇일까?

SSI는 블록체인을 기반으로 자신을 증명할 수 있는 정보를 스스로 관리 및 보관하고, 신원증명이 필요한 서비스를 이용할 때, 인증정보를 제3자에게 맡기는 것이 아닌 사용자가 직접 관리하도록 하여 데이터 주권을 사용자에게 돌려주는 기술 개념이다. 따라서, DID는 이러한 SSI의 개념을 탈중앙화된 방식으로 구현한 자신의 개인 정보를 선택적으로 제출할 수 있게 하는 탈중앙화된 자기 주권형 신원증명기술이다. DID는 기존의 중앙화된 인증방식에서 벗어나 탈중앙화 방식의 신원 증명을 통해 자기 자신이 신원증명에 대한 권한을 갖도록 하겠다는 SSI 개념을 현실화한 것이다. 즉, 자신의 개인 정보를 선택적으로 제출할 수 있게 하는 탈중앙화 기반의 자기주권형 신원증명기술이다.

 

 

❓DDI는 SSI를 블록체인을 통해 현실화한 것이다?

반은 맞고 반은 틀린말이다. SSI는 사용자가 스스로 자신의 신원정보를 관리하고, 공개 범위를 결정하여 프라이버시를 보호하는 개념이며, DDI는 SSI의 개념을 탈중앙화된 방식으로 구현하기 위한 기술이다. 데이터를 탈중앙화된 방식으로 저장하는 여러 가지 방법 중 블록체인이 있는 것이다.

 

✓ SSI 개념

 

SSI는 스스로가 독립적인 권한을 가진 신원, 다시 말해 자신이 스스로 부여한 신원이다. 신원의 소유권을 가진 주체가 신원에 대한 권리를 가지고 공개 대상과 범위를 선택할 수 있는 개념이다.

 

❓ 그렇다면 왜 SSI가 필요한 것일까?

 

2015년 말 개인정보 유출로 전국을 떠들썩하게 만든 사건이 있었다. 바로 인터파크 개인정보 유출사고이다. 해당 사고는 인터파크 1030만명의 가입자의 개인정보가 유출된 대형 보안사고였다. 개인정보가 유출된 피해자 2400여명은 인터파크를 상대로 민사 소송을 진행했고, 회원 1인당 10만원씩 지급하라는 판결이 내려졌다. 이렇게 개인정보 유출 및 신원 도용 사고가 지속적으로 발생하면서 개인의 신원정보를 안전하게 관리하고 편의성을 높일 수 있는 새로운 신원관리 방식의 필요성이 계속해서 대두되고 있다. 

 

 

✓ 신원관리 모델의 종류

 

 

📌 1세대 개별 신원 모델 (Siloed Identity)

 

개별 신원 모델은 개별 서비스(인터파크, 11번가 등) 마다 이용자의 아이디와 패스워드를 저장하고 신원확인 서비스를 제공하는 형태이다. 신원관리 주체는 개별 서비스 제공자이고 이용자는 서비스별로 회원가입하여 각각의 ID, Password를 관리해야 한다. 이에 따라 서비스별 보안 수준에 따라 신원의 대량 유출 가능성이 높고, 이용자는 서비스별 통일되지 않은 ID와 Password 정책으로 인해 ID, Password 관리에 어려움을 겪는다. 예를 들어, 국내의 서비스와 달리 애플의 경우 Password 중 최소한 알파벳 대문자와 숫자와 특수기호가 포함되어야 하는 정책을 가지고 있어, 다른 서비스와는 다른 형태의 비밀번호를 만들어야 한다. 이러한 이유로 이용자의 편의성은 떨어진다. 개별 신원 모델은 서비스 제공자에게는 정보보호의무가 가중되며, 천문한적인 비용이 들고 개인에게는 서로 다른 서비스의 정책에 따른 ID, Password 를 관리해야하는 불편함을 야기시킨다.

- 개인이 개별 사이트 ID, Password 관리해야 함

- 개별 서비스 제공자에게 정보보호의무 가중, 천문학적 비용 발생

- 개인정보 유출 우려

 

📌 2세대 연합형 신원 모델 (Federated Identity)

 

2세대 연합형 신원모델은 구글은 카카오 같은 연합신원을 제공하는 기업이 신원확인 서비스를 제공하는 모델이다. 신원관리 주체는 중앙화된 연결 서비스 제공자(구글, 카카오, 페이스북)이고, 이용자는 스스로 선택한 신원관리 서비스 제공자를 통해 ID, Password를 관리할 수 있다. 신원관리 주체인 중앙화된 연결 서비스 제공자는 로그인 (OpenId, Oauth) 를 제공하고, 개인정보를 이용하고자 하는 다른 개별서비스에 서비스를 제공한다. 우리가 urclass 에 로그인할 때를 떠올려보면 쉽게 이해할 수 있다.

 

- 사용자의 편의성 재고

- 글로벌 기업의 개인정보 독점적 확보

- 사용자 개인정보에 대한 권리 주장 어려움

- 개인정보가 독점되고 계속하여 유출 위험성 존재

 

📌 3세대 자기 주권 신원 모델 (Self-Sovereign Identity)

 

자기 주권 신원은 개인이 디지털 상의 신원 주권을 가지게 될 때, 개인정보를 자신 스스로 소유하는 개념이다. 개인은 개인정보 발급 내역만 블록체인과 같은 분산원장에 기록하고, 특정한 상황에서 개인정보가 필요할 때 개인정보 발급자에게 개인의 신원을 증명할 신원정보를 받아서 검증자에게 신원정보를 공유할 수 있는 모델이다. 신원관리 주체는 사용자 개인이 되고, 개인이 필요로 할 때 자신의 신원정보를 생성하여 제공할 수 있다. 즉, 제3의 신원관리 주체 없이 안전하고 편리하게 개인 신원정보를 사용할 수 있는 것이다.

 

다만, 자신의 데이터에 대한 주권을 가지게 된다는 것은 그만큼 데이터에 대한 책임과 의무가 강화될 수 밖에 없다. 가령, 비밀번호를 잃어버렸을 경우 복구가 불가능하다. 기존에는 플랫폼 서버에 개인정보가 저장되어 있기 때문에 필요시 신원을 인증해 비밀번호를 재발급 받을 수 있지만, SSI에서는 자신의 신원 정보에 대한 최고 접근자가 개인이기 때문에 비밀번호를 잃어버린 경우 복구할 방법이 없다.

 

 

예시) 김블록이 회사 입사를 위해 대학졸업증명서를 발급받는 시나리오.

 

1. 대학 졸업 증명서는 분산원장에 저장되어 있다. 대학(신원정보발행자, Issuer)에 자신의 신원증명정보(DID)를 주고 대학졸업증명서(VC)를 받는다.

2. 대학(Issuer) 은 김블록에게 받은 신원증명정보와 분산원장에 저장되어 있는 대학졸업증명서의 소유자의 정보가 일치하는지를 확인한다. 

3. 일치할 경우, 김블록에게 대학졸업증명서를 발급한다.

4. 김블록이 입사를 희망하는 회사(Verifier) 에게 졸업증명서(VP)를 제공하고, 졸업증명서의 소유자임을 증명하는 정보도 함께 제공한다.

5. 김블록이 입사하는 회사는 김블록이 제공한 졸업증명서가 김블록의 소유가 맞는지, 분산원장에 저장된 정보를 가지고 검증한다. 이렇게하여 김블록은 대학졸업증명서를 제출하고, 그에 따른 진위여부를 판별 받게 된다.

 

- 신원이 분산 관리되어, 이전 세대의 신원관리모델보다 가용성과 무결성이 높음.

- 통합된 분산원장 관리가 가능하다면 확장성이 더 높음.

- 신원확인 정보를 블록체인에 공유하여 신원확인이 필요한 서비스를 활용할 때 사용.

- 비밀번호를 잃어버렸을 경우, 다시 찾기 어려움.

 

✓ SSI를 구성하는 4가지 개념

 

DIDs(Decentralized Identifier, 탈중앙화 식별자)

DIDs는 검증가능하고 탈중앙화된 디지털 신원을 위한 새로운 형식의 식별자이다. 누구나 DID 메소드로 자신의 주소를 만들수 있으며, DID는 주소이면서 마스터키를 활용하여 만들 수 있다. 흔히, 우리가 사용하는 ID, Password로 생각하면 된다.

 

DID Auth(DID Authentication)

DID 소유자가 개인키를 가지고 있다는 것을 간단히 인증할 수 있는 방법을 다룬다. DID를 이용한 인증법에 대한 표준화는 DIF (Decentralized Identify Foundation) 에서 진행하고 있다.

 

DKMS(Decentralized Key Management System, 탈중앙 키관리 시스템)

신원을 증명하는데 사용하는 개인키를 어떻게 관리할 것인가를 다룬다.

 

Verifiable Credentials(검증가능한 크레덴셜)

아이디의 소유자가 어떤 것을 할 수 있는 자격을 갖추었음을 검증하는 방법을 다룬다.

 

 

 

✓SSI를 구현하기 위한 요소

 

 

1. Issuer(발행자) : 발행자

 

Issuer(발행자)는 신원정보를 발급하는 주체이다. Verifiable Credential(검증가능한 크레덴셜, 이하 VC) 을 발행하는 주체이며, 정보주체의 요구에 의해 신원정보와 DID를 발급하는 기관이다. 발행자는 발급한 정보에 대해 신뢰할 수 있는 신원정보를 전달한다.

 

 

2. Holder(소유자) : 자격증명 소유자

 

Holder(소유자)는 신원정보를 소유한 주체이다. 즉, 정보주체로 DID를 활용하여 본인의 신원을 증명하고자 하는 사용자이다. 시스템에서는 DID를 발급 받고 제출한다.

 

 

3. Verifier(검증자) : 자격증명 검증자

 

검증자는 신원정보를 검증하는 주체이다. 정보 주체인 Holder로부터 Verifiable Presentation 을 받아 신원정보를 검증하는 주체이다. DID로 신원을 확인한 후 검증자는 이 신원정보가 발급기관인 Issuer가 발급한 유효한 신원정보인지, 검증데이터 저장소를 통해 검증한다.

 

 

4. Verifiable Data Registry(검증데이터 저장소) : 블록체인 등 분산저장소

 

정보주체의 식별자와 Issuer(발급기관)의 인증서, 신원증명 해지내역, 신원증명 스키마 등이 등록되어 있는 분산원장 기반의 데이터 무결성이 확보된 저장소이다. Verifiable Data Registry(검증데이터 저장소)는 반드시 블록체인일 필요는 없으며, Holder, Issuer, Verifier가 합의한 분산원장이면 사용할 수 있다.