코로나 백신 인증, 왜 굳이 블록체인으로 할까?

8분

2021.11.26.

10.9K

어느덧 다가온 연말, 코로나로 한동안 모이지 못했던 동기 6명과 함께 고깃집의 문을 열었다. “두 분 이상 백신 인증 화면 보여주셔야 합니다.” 어느덧 익숙해진 종업원의 안내 멘트에 스마트폰을 꺼내 ‘COOV(쿠브, 질병관리청 백신패스)’ 애플리케이션을(이하 앱) 터치한다. QR 코드를 기다리던 내 눈을 사로잡은 건 앱 시작화면의 ‘블록체인 기반 코로나 19 백신 인증’ 문구였다. 별것 아닌 문구였지만, 아무래도 블록체인에 관심이 많다 보니 계속 의문이 남았다. “왜 굳이 코로나 백신 정보를 블록체인에 담은 걸까?”

느린 블록체인에 데이터를 저장하는 이유

기존 온라인 서비스가 중앙 서버에 데이터를 보관하는 것과 달리, 블록체인은 수많은 노드(사용자)에게 하나의 데이터를 분산해 저장한다. 일정 부분 데이터가 중복되니 당연히 블록체인 서비스를 쓸수록 저장 공간도 더 많이 필요하다. 심지어 새로운 사용자를 확보하는 채굴은 현재 엄청난 양의 전기를 써서 환경오염의 주범으로 꼽히고 있다.

그럼에도 불구하고 쿠브가 백신 정보를 블록체인에 저장하기로 선택한 건 ‘탈중앙화 신원증명(Decentralized Identifier, 이하 DID)’을 때문이다. DID는 기존 방식과 달리 개인이 자신의 정보에 완전히 통제권을 갖도록 하는 기술이다. 따라서 이용자가 쿠브로 증명 서류를 인증하면 이후 다시 인증할 필요가 없다. 가게에서는 QR 인증를 통해 한 번에 해당 이용자의 백신 접종 유무를 확인할 수 있다. 서로 여러 번 서류를 확인하는 일이 줄어든 셈이다. 이게 왜 좋은지 모르겠다면? 그렇다면 쿠브가 없이 친구들과 고기를 먹으러 가는 돌망씨의 일상을 한 번 살펴보자.

돌망씨는 증명서를 떼기 위해 질병관리청 홈페이지에 접속했다. 그를 가장 먼저 맞이한 건 매번 인증을 더 어렵게 만드는 ‘공동인증서’이다. 골칫덩어리와의 사투를 끝내고, 겨우 예방접종 증명서를 확보했다. 가게에 인증하기 위해서는 위변조가 되지 않은 원본이 필요하기 때문에 바로 인쇄하기로 했다. 만약 증명서를 잃어버린다면 앞선 행위를 다시 반복해야 하니 증명서를 신줏단지 모시듯 소중하게 보관했다.

그렇지만 본격적인 난관은 지금부터다. 돌망씨가 낸 접종 증명서를 본 고깃집 사장님은 3가지를 확인해야 한다. 첫 번째는 ”이 증명서가 진짜 질병관리청에서 나온 건가?”, 두 번째는 “이거 접종 횟수를 위조한 거 아닌가?”, 세 번째는 “돌망씨라고 인증된 서류를 내민 사람이 낸 본인이 맞는가?” 등이다. 사장님은 이를 인증하기 위해 질병관리청에서 접속해야 했고, 돌망씨는 확인이 끝날 때까지 문 앞에 서있어야 한다. 질병관리청에 접속해 문서 진위 여부를 거치고, 본인 확인을 위해 주민등록증까지 꺼내 비교했다. 10분이 지나서야 돌망씨는 겨우 확인을 끝내고 가게에 입장할 수 있었다. 그 뒤로는 접종 증명서를 꺼내들고 기다리는 수많은 사람이 줄을 길게 서 있었다.

자, 이제 다시 쿠브 인증을 돌아보면 우리의 일상이 얼마나 편한 지 확인할 수 있다.

인증서 발급의 경우 최초 1회 핸드폰 본인 인증으로 끝났으며, 위변조 검증도 약 15.4초 정도 소요됐다. 새삼 문명의 이기에 감사할 따름이다. 그렇다면 이게 가능한 DID는 무엇일까?

DID와 기존 인증방식의 차이점

기존 방식과 블록체인을 활용한 DID 방식의 가장 큰 차이는 ‘누가 증명서를 가지고 있는가’, 그리고 ‘누가 증명서를 입증해 주는가’이다. 인증 방식에 필요한 구성원은 발급처, 사용자, 검증자 등 총 3명이다. 앞선 사례를 예시로 들면 발급처는 질병관리청이고, 사용자는 돌망씨, 검증자는 고깃집 사장님인 셈이다. 기존 방식에서 증명서는 발급처가 보유하고, 사용자는 본인 인증을 통해 발급처에 증명서 발급을 요청하고, 검증자는 다시 발급처에 가서 이 증명서를 입증해달라고 해야 한다.

받아야 할 증명서가 많다면 이 프로세스는 더 복잡해진다. 예를 들어 입사지원을 하려면 많은 서류가 필요하다. 이를 위해 대학 졸업증명서, 성적증명서, 토익 증명서, 경력증명서, 주민등록등본 그리고 최근에는 접종 증명서까지 내야 한다. 기존 방식에서 증명서 보유 및 입증 담당 권한은 모두 증명서를 발급해 준 질병관리청, 대학, 전 직장, 토익회사에 있지만, DID 방식에서는 해당 정보가 블록체인으로 만들어진 ‘검증정보 저장소’에 보관되어 사용자와 검증자 모두 쉽게 서류를 확인할 수 있다.

DID는 어떻게 정보를 보관할까?

DID의 작동원리는 크게 ‘인증서 발급’과 ‘인증서 검증 작업’으로 구분된다. 앞서 보여준 입사 지원을 위한 증명 서류 제출 프로세스를 따라가보자.

DID 인증 방식에서 사용자는 인증서를 스마트폰에 직접 저장한다. 이를 위해 사용자는 쿠브, 카카오지갑, 네이버인증서, 패스 등 DID 인증 정보를 보관할 수 있는 앱을 받아 본인의 정보를 저장하는 것뿐이다. 이후에는 필요할 때마다 해당 앱에 저장된 본인의 증명서를 손쉽게 활용할 수 있다. 이러한 증명서들을 ‘Verifiable credentials(이하 VC)’이라 부른다. 이때 각 발급자들은 이 증명서의 진위 여부를 확인할 수 있는 키를 블록체인으로 이루어진 검증정보 저장소에 저장하는데 이 저장소를 ‘Verifiable Data Registry’라고 부른다.

이제 새 직장에 DID 방식으로 필요한 서류를 제출해 보자. DID 인증 방식의 경우 앞서 발급자에게 받은 정보(VC)들 중 검증자가 요구하는 정보만 골라서 정보 뭉치를 만든다. 예를 들어 토익 VC에서는 만료 여부, 졸업 VC에서는 졸업 여부만 추출하는 식이다. 이렇게 만들어진 정보 뭉치를 ‘Verifiable Presentation’이라고 한다. 이를 통해 생성된 QR 코드를 인사담당자에게 보여주면 된다.

인사 담당자는 이제 해당 정보들이 진짜인지 확인해 보기 위해 앱을 켜 QR 코드를 촬영한다. 이때 인사 담당자의 앱은 검증정보 저장소(verifiable Data Registry)에 들어가 각 인증서의 키가 이전에 발급자가 남겨둔 키와 일치하는지 확인한다. 이 과정에서 문제가 없다면 인사담당자는 “해당 사실이 증명되었습니다”라는 화면을 보게 된다.

DID가 중요한 이유

DID가 진짜 중요한 이유는 공기업뿐만 아니라 일반 기업에게도 인증정보를 활용한 서비스를 선보일 기회가 생겼기 때문이다. DID 기술이 없다면 우리는 인증을 위해 카카오에게 주민등록번호, 예방접종 정보, 대학졸업 정보, 여권번호, 운전면허번호 등 수많은 개인 정보를 제공해야 한다. 그렇지만 DID 덕분에 나의 모든 정보를 안전한 외부(블록체인)에 두고, 최종 인증만 검증자가 확인할 수 있다. 따라서 개인 정보 유출이나 오남용의 걱정 없이 일반 기업들이 인증정보 서비스를 제공할 수 있게 된 것이다.

이미 카카오, 네이버 등 수많은 IT 기업이 DID를 활용한 서비스를 선보이고 있다. 네이버 인증서는 현재 대한상공회의소와 한국산업인력공단 등과 협력하여 취득한 자격증을 발급받아 제출할 수 있는 서비스를 제공하고 있다. 카카오 또한 카카오톡 지갑에서 사용자의 인증서와 신분증, 자격증을 보관하고 사용할 수 있도록 지원하고 있다.

이들이 이렇게 달려드는 이유는 과거 ‘지갑’의 자리를 차지하기 위해서다. 과거 지갑에는 현금 얼마와 신용카드, 주민등록증, 운전면허증이 자리를 차지하고 있었다. 하지만 지금은 현금 대신 각종 ‘페이’ 서비스를 사용하는 것이 익숙해졌고, 신용카드 대신 QR 코드로 카메라에 인식하는 것이 전혀 어색하지 않은 시대가 왔다. 이제 남은 건 운전면허증과 주민등록증이다. 이마저도 DID 인증 앱이 더 익숙해진다면 우리는 지갑 대신 스마트폰에 페이 서비스만을 설치하고 다닐 것이다. 어찌 보면 카카오와 네이버가 DID 인증 시장에 열을 올리는 것도 당연하다.

어제 당근마켓으로 책상을 팔고 15,000원이라는 현금을 받았다. 겨우 종이 두 장일인데 이를 보관할 지갑이 없어 제법 당황스러웠다. 현금결제가 카드로 대체되면서 지갑이 안 가지고 다닌 탓이다. ‘현금 없는 삶이 도래했구나’라는 깨달음을 얻는가 했더니, 지금은 ‘지갑이 통째로 스마트폰에게 자리를 뺏기고 있다’라는 글을 쓰고 있다. 흥미롭게도 블록체인 기술의 발달이 지갑 산업의 몰락을 이끌고 있다.

로그인하고 자유롭게 의견을 남겨주세요.