내년부터 선보일 모바일 신분증, 보안 문제는 없나?

내년 1월부터 모바일 운전면허증 제도 시범운영을 시작으로 이른바 ‘모바일 신분증’ 시대가 본격적으로 열린다. 이동통신사는 최근 모바일 운전면허증 확인 서비스를 먼저 출시한 데 이어 삼성전자는 자사 제품인 갤럭시 S20 시리즈에 모바일 신분증 기능을 탑재해 독일서 서비스를 시작했다. 모바일 신분증의 여러 유형과 이에 따른 보안 이슈를 알아본다.

 

 

신분증은 나의 존재를 국가가 증명해주는 공식적인 ‘제도’다. 우리나라의 신분증 역사는 600년 전 조선 태종 때부터 본격적으로 시행된 호패제를 시작으로 6.25 전쟁 즈음 발행하던 시•도 민증으로 이어졌고, 이후 1968년 주민등록번호 개시와 함께 발행된 주민등록증으로 대체되어 오늘에 이르고 있다. 조그마한 카드 하나에 사진과 함께 개인을 식별하는 유일한 번호로서 생년월일과 성별, 출생등록지 등을 담은 주민등록번호를 부여받고 그 외에 지문과 주소 등도 함께 담고 있다.

 

대다수 선진국에서는 신분증의 식별번호 자체에 개인정보를 포함하지 않고 무작위로 생성되지만 우리나라 주민증의 주민등록번호엔 개인정보가 포함된 것이 특징이다. 그래서 개인간의 분쟁이 발생됐을 때 “민증 까봐”라는 말이 유행하기도 했다. 또한 주민증이 개인정보를 담고 있기에 개인정보 유출로 인한 보이스피싱이나 금융사고가 빈번하게 발생되는 부작용도 잇따랐다.

 

모바일 운전면허증 제도 시범 운영
정부가 내년 1월부터 모바일 운전면허증 제도를 시범 운영한다. 2~3개 지역을 대상으로 시범적으로 실시한 뒤 그 성과를 토대로 전 국민 대상으로 확대할 계획이다. 한국판 뉴딜, 디지털 경제기반 확충 차원에서 추진되는 모바일 운전면허증은 관공서·은행 등에서 실물 운전면허증과 똑같이 사용될 전망이다.

 

모바일 운전면허증은 이동통신사들이 제공하고 있는 모바일 신분증 서비스와는 다른 정부의 공식적 디지털 운전면허증이다. 정부는 모바일 운전면허증 운영을 시작으로 향후 모바일 신분증의 범위를 확대할 계획이다. 이와 함께 지난 1월부터 운영 중인 모바일 공무원증도 블록체인 기반의 기술을 통해 기존 신분증보다 개인정보 보호를 강화했다. 결국에는 모바일 주민증으로까지 확대한다는 게 정부의 계획이다.

 

행정안전부와 한국조폐공사는 내년 1월부터 추진할 모바일 운전면허증 시범사업을 위해 지난 3월 모바일 운전면허증 서비스 구축 업무 위탁 협약을 체결하고 관련 기술개발을 추진해왔다. 최근에는 2021년 보안기술 설명회를 통해 공무원 모바일 신분증 등 디지털 기술과 융합된 첨단 위변조방지 보안기술도 공개했다.

 

올해부터 적용 중인 모바일 공무원증과 내년 시범 서비스가 예정된 모바일 운전면허증을 통해 본격적인 모바일 신분증 시대를 열겠다는 복안이다.

 

신분 확인 방식은 전용 앱을 통해 이뤄진다. 편의점이나 교통단속 등에 필요한 단순 정보 확인은 물론 공공기관이나 금융기관에서 필요한 검증정보 서비스도 제공한다. 상황에 따라 제공 정보 내용을 취사선택할 수 있어 편리하고 개인정보 노출 위험도 낮아진다는 게 조폐공사의 설명이다. 경찰청과 앱 운영주체인 조폐공사 간 정보 분산방식으로 블록체인 기술 등을 적용해 보안을 강화했다는 것이다.

 

점차 커지는 디지털 신분증 시장
현재 개발이 진행중이거나 서비스가 진행되고 있는 디지털 신분증은 몇 가지로 구분된다.

 

첫 번째는 PASS 모바일 운전면허증이다. 이동통신 3사가 공동으로 제공하는 본인인증 서비스로 패스(PASS)에서 본인인증을 거치면 나타나는 QR코드를 조회해서 운전면허증 정보를 확인할 수 있다. 출력되는 화면이 별도의 정보가 아닌 QR코드이기 때문에 개인정보가 노출될 일은 없다는 게 개발사 측의 설명이다. 현재 이동통신 3사를 통해 제공 중인 모바일 운전면허증의 경우 운전면허증을 완전히 대체하는 기술이 아닌, 운전면허 확인 서비스다. 용도는 운전자격 검증, 성인여부 검증, 신원확인 등이지만, QR코드 및 바코드 검증절차가 필수적이며, 제휴된 곳에서만 사용 가능하다. 즉 완전한 신분증 대체는 아니다.

 

두 번째는 모바일 공무원증이다. 행안부가 제공하는 모바일 공무원증은 DID(Decentralized Identifie) 기술이 적용된 자기주권 신원증명의 모바일 신분증이다. 자기주권 신원증명이란 현재 보편적으로 이용되고 있는 중앙집중식 신원증명과 대조되는 개념으로 신원정보의 소유 및 이용권한을 신원주체인 개인이 갖는 것을 말한다. 모바일 신분증 소유자는 자신의 신분증을 스마트폰에 발급받아 보관하면서 신원확인 요청이 있을 때 본인의 판단에 따라 제공 여부를 결정한다. 신분증 사용 이력은 본인만 확인할 수 있도록 개인 스마트폰에 저장되며 중앙서버에는 저장되지 않는다. 모바일 공무원증은 출입인증뿐만 아니라 공직자 통합메일, 정부부처 업무포털, 온나라 영상회의, 모바일 메신저 바로톡, 정부원격근무서비스(GVPN) 로그인 등 온라인 인증 기능까지 포함하고 있다.

 

세 번째는 앞서 기술한 정부 인증 모바일 운전면허증이다. 통신사가 주도가 되었던 PASS와는 다르게 정부가 주도하는 모바일 신분증이다. 2022년부터 시범적용 예정으로 행정안전부가 PASS 앱과 다른 별도의 앱을 제공할 계획이다. 이 사업은 행정안전부가 사업을 총괄하고 경찰청·도로교통공단과 협력하며 한국조폐공사가 사업계획 수립과 사업관리 전반을 추진하는 방식으로 추진되고 있다. 모바일 운전면허증 서비스 구축 시 정부24의 전자증명서 지갑, 보건복지부의 전자출입명부(KI-PASS), 마이데이터 지갑 등 공공서비스 연계 기능도 함께 개발될 계획이다. 모바일 운전면허증 서비스를 이용하려면 운전면허시험장에 방문해 모바일 앱을 내려받고 신청서를 작성한 뒤 현장 담당자에게 제시하며 담당자가 신원 확인과 신청인 조회를 거쳐 QR코드를 생성하면 모바일 기기에 디지털 형태의 운전면허증을 발급받을 수 있다.

 

마지막으로 디지털 카드가 있다. 디지털카드는 자격증, 신분증, 보증서, 입장권, 멤버십 등 다양한 분야의 카드를 디지털 지갑에 보관할 수 있는 서비스다. 대표적인 것이 디지털 사원증이다. 디지털 사원증은 사원증을 출입키 클라우드 시스템과 연동하여 디지털화한 디지털카드다. 디지털 사원증과 출입통제시스템 간 통신 기술로 스마트폰을 이용한 업무 공간 출입문 개폐, 사무기기 이용, 사내 카페 이용, 직원 대상 카카오톡 채널 메시지 발송 등의 기능을 제공한다. 카카오는 자격 증명과 사무실 출입, 보안기기 접근이 가능한 디지털 사원증 서비스를 구축해, 내년 상반기 외부 파트너 대상으로 오픈할 예정이다. 카카오는 한국산업인력공단이 발급하는 국가기술자격증 495종과 카카오프렌즈 콜라보 상품 보증서, KT 위즈, 삼성 라이온즈 등 KBO 리그 구단 멤버십을 디지털카드로 제공하고 있다.

 

디지털 신분증의 보안 문제는?
디지털 신분증은 우리 생활에 깊숙이 다가오고 있는데 보안에 대한 우려는 없을까? 디지털로 발행된 신분증이 특정 중앙서버에 저장된 상황에 해킹 사고가 발생하면 외부로 유출될 수도 있다. 하지만 앞서 설명한 것처럼 신분증 사용 과정에서 발생할 수 있는 사생활 침해 우려를 최소화하기 위해 자기주권 신원증명(Self-Sovereign Identity) 개념을 적용함으로써 정보 유출을 사전에 차단할 수 있다는 게 정부의 입장이다. 또한 화면 자동캡처 방지 기술을 적용해 신분증 도용과 개인정보 유출을 막겠다는 것이다.

 

모바일 신분증은 정부가 발급하여 공신력을 부여하되, 블록체인을 기반으로 하는 분산ID(DID, Decentralized IDentity) 기술을 적용해 온라인에서 모바일 신분증 사용과 검증에 타인 또는 기관이 개입할 수 없도록 함으로써 사생활 침해 및 감시사회 우려를 해소하겠다는 것이다.

 

모바일 운전면허증을 주관하고 있는 조폐공사는 모바일 신분증 등 디지털 기술과 융합된 첨단 위변조방지 보안기술을 공개해 주목을 받았다. 모바일 신분증 분야에서는 올해부터 적용중인 모바일 공무원증과 내년초 시범 서비스가 예정된 모바일 운전면허증에 적용된 보안기술을 시연했다.

 

내년부터 단말기에서 모바일 신분증을 선보일 예정인 삼성전자는 스마트폰 전용 보안 시스템 녹스 볼트(Nox Vault)를 공개했다. 녹스 볼트는 암호와 생체인식 정보 같은 가장 민감한 데이터를 안전하게 격리하고 기기 외부로 유출되지 않도록 하는 다중 보안 체계로, 단순한 칩셋 레벨의 보호를 넘어 제조 단계부터 전체 기기를 보호하도록 설계돼 모든 부품과 계층에 대한 보안을 제공한다. 또한 녹스 볼트는 정보를 자체 칩에 격리시켜 소프트웨어 기반 공격을 방지하고 하드웨어 침해로부터 보호한다. 애플리케이션의 암호화된 정보를 분리해 물리적 공격으로부터 민감한 데이터를 보호하고, 녹스 볼트 스토리지를 통해 데이터를 안전하게 격리하고 저장한다. 이런 보안성을 바탕으로 삼성은 독일 정부와 함께 디지털 신분증(ID)을 갤럭시 스마트폰에 저장하는 서비스를 선보이기도 했다.

출처 : AhnLab