개인정보 암호화 정책을 실행한 이후 개인정보 유출 사고가 지속적으로 발생하고 있다. 개인정보 유출 사고의 가장 큰 요인은 관리상의 실수이다. 일반적으로 우려하는 개인정보 유출 요인인 외부로부터 해킹, 관리 실수로 인한 유출, 내부자에 의한 고의 유출, 외부(아웃소싱) 업체에 의한 유출은 대부분 개별 건 별 보다는 대량으로 유출된다는 것이 심각한 요소이다.
이는 암호화 방식이 시스템 전체 통합키로 암호화되었기 때문이다. 이를 적절하게 보호할 방안으로 가장 강력한 방식인 개인별 PKI 기반 암호화 기능을 적용을 고려해야할 시점이다. 그동안 기기 성능 및 기술 수준을 고려해 시스템 전체 일괄 암호화 기능을 적용 가능하도록 하였으나 이 때문에 발생되는 대량 유출 문제가 시급히 해결해야 할 과제로 대두됐다.
분산 신원인증 기능은 자기 주권을 확보하는 방식 중의 하나로, 개인이 생성한 분산 ID와 공개키 및 개인키를 활용해 개인정보를 관리하는 방식으로 현재 직면한 가장 큰 위협인 대량 유출 문제를 해결할 수 있는 방법이다.
개인별로 암호화하게 되면 서비스 제공시스템의 관리자도 개인 데이터를 확인할 방법이 없어서 임의로 수행하는 마케팅 활동 등이 불가능다. 이에 보다 안전하게 개인정보를 관리할 수 있다. 블록체인 기반 분산 ID 관리를 통해서 권한없는 사용자의 접근 방지 등을 통해 위·변조 방지에 효과적일 수 있다.
그리고 사용자의 판단에 따라 키 변경 등 기능을 추가하면 개인정보 유출이 의심될 경우 암호화 키를 변경해서 신속하게 대응할 수 있다. 또한 용도별 복수의 키 사용을 통해 현재 범용 공동인증서 적용에 한계가 있는, 특정 업무에만 사용할 수 있는 분산 ID를 만들어 사용할 수 있다. 일부 공개키는 사용자만 접근할 수 있도록 설정해 사용자만이 분산 ID와 공개키, 개인키를 관리하는데 사용할 수 있도록 한다.
디지털 전환으로 촉발된 사회 전반의 변화가 코로나 시대로 오면서 비대면 시에 오프라인에서 처리하던 업무를 온라인으로 이동시키기 위해, 익명성을 보장하면서도 인증과 유통되는 데이터에 대한 전자서명이 가능한 기능이다.
특히 의료분야의 경우 전자 처방전을 발행하려면 의사가 서명한 처방 이력과 병원 시스템이 건강보험심사평가원 등과 중복 처방 검사 등 조정 작업을 거쳐 조정한 내역에 대해서 전자 서명작업을 수행해야만 한다.
현재는 두 가지 이상의 전자 서명이 한 문서에서 구현되는 것이 어려워 병원의 전자서명으로 모든 내용을 포괄 처리하는 방식으로 작업하고 있다. 이런 작업을 수행해야만 하는 사람이 본인이 작성한 부분만 전자서명을 통해 보장하는 방식이 분산 신원인증의 검증 가능한 자격 모델로 사용할 수 있다.
더불어 분산 신원인증 전자 지갑 기능을 통해 분산 ID를 통합하고 키 관리를 할 수 있는 기능을 구현, 지갑의 이동성과 신뢰성을 보장하는 방식이 글로벌하게 국제 표준화 작업과 함께 개발되고 있다.
현재 발생되는 개인정보 위·변조, 유·노출 등의 침해사고를 해결하기 위한 대안으로 개인별 암호화 기능이 적용된 분산 신원인증 기능의 적용이 필수라고 생각한다. 최근 급격하게 마이 데이터 관점에서 개인별 저장소를 구성하고 있는데, 이 저장소의 데이터도 개인의 인증서로 암호화하여 저장하는 방법을 적용할 수 있을 것으로 생각한다. 즉 개인이 생성해 별도 보관한 인증서로 암호화를 하기 때문에 침해사고 위험을 현저하게 낮출 수 있게 될 것이다.
분산 신원인증 기능이 블록체인 기반 분산 ID 모니터링에서 암호화 알고리즘 고도화 및 권한 설정, 문서 연계 전자서명, 이동성과 신뢰성을 보장한 전자지갑 등의 다양한 기능이 함께 개발되고 있다. 향후 2~3년 이내에 현장에서 실용적으로 사용할 수 있는 수준으로 개발될 것이기에 보다 안전한 시스템 도입을 위해 준비를 시작해야 할 시점이다.
한근희 한국정보통신기술협회(TTA) 스마트의료보안포럼 의장 khhan1@korea.ac.kr
안수민기자 smahn@etnews.com