디지털 시대, 우리는 스마트폰 하나로 금융거래에서 쇼핑까지 다양한 활동을 수행한다. 디지털 시대를 이끈 혁신은 생활의 편리함을 극대화했지만, 개인정보보호에 대한 우려의 목소리도 커졌다.
특히 디지털 환경에서 개인 및 정보주체의 표현 방식인 디지털 아이덴티티의 관리와 보호는 매우 중요한 이슈다. 디지털 아이덴티티는 사용자의 신원증명 정보와 인증 정보로 구성된다. 신원증명 정보에는 이름과 이메일, 전화번호 등이 포함되고, 비밀번호나 토큰, 생체인식 등은 인증 정보에 해당된다. 만약 신원이 도용되거나 데이터가 유출될 경우에는 상상하기도 싫은 막대한 위험을 야기할 수 있다.
이러한 위험을 최소화하기 위해 안전한 인증 방식과 정보보호 기술이 절대적으로 필요하다. 다중요소인증(Multi-Factor Authentication)은 가장 흔하게 사용되는 방법 중 하나다. 비밀번호 입력 이외에 지문이나 안면 인식 등 생체인식을 이용하거나 기기를 통한 다양한 추가 인증 절차를 요구한다.
인공지능(AI) 및 블록체인 기술도 개인정보보호에 중요한 역할을 한다. AI는 이상거래 탐지나 사용자 행동의 실시간 분석을 통해 위협을 사전에 감지하고 대응한다. 블록체인은 데이터를 분산 저장함으로써 중앙 집중화된 저장소의 취약점을 해결한다. 동시에 사용자는 자신의 데이터에 대한 권한을 직접 통제함으로써 위험을 최소화할 수 있다.
그러나 역설적으로 두 기술은 보안을 위협하는 양면성을 지니고 있다. 블록체인 기술이 안전하다고 하지만, 스마트 계약의 알고리즘 오류나 취약점을 이용해 공격당한 사례가 증가하고 있다. 미래 기술로 인식되는 생성형 AI도 해킹도구로 이용될 수 있고 민감한 정보의 노출과 결과물의 오남용 및 왜곡현상이 발생하고 있다.
이러한 위험을 보완하기 위한 대응책 중 하나로 암호학에 기반한 제로지식증명(Zero-knowledge Proof, ZKP)이 있다. 이는 정보에 대한 증명을 제공하지만, 해당 정보 자체는 노출하지 않는 기술이다. 예를 들면, 사용자가 금융거래를 위해 자산이나 신용을검증 받는다고 하자. 이때 신용 점수나 금전 보유 정보는 실제 노출되지 않고, 거래 능력을 증명함으로써 프라이버시를 효과적으로 보장할 수 있다.
또 다른 대응책으로 합성데이터의 생성을 들 수 있다. 이는 실제데이터를 기반으로 파생되거나 알고리즘을 통해 인위적으로 생성된 데이터다. 실제데이터의 특성과 구조를 모방하지만 개별적인 중요 정보가 드러나지 않는다.
한편, 팬데믹 이후 제로트러스트(Zero-Trust)가 디지털 보안의 핵심개념으로 부상했다. 제로트러스트란 기존에 신뢰하던 부분들을 더 이상 신뢰하지 않고 항상 검증한다는 의미다. 기존 보안 모델은 외부망과 내부망을 방화벽으로 구분해 내부망은 안전하다는 암묵적 신뢰를 전제로 한다. 이에 반해 제로트러스트는 내부망도 안전하기 않기 때문에 철저하고 지속적인 검증이 필요하다. 모든 사용자나 장치가 네트워크에 접근할 때마다 그들의 신원을 검증하고 실시간으로 엄격한 권한을 부여하는 것이다. 최소한의 권한 부여로 피해를 최소화하는 최선의 모델인 셈이다.
최근 국내는 개인정보보호법 개정으로 모든 산업에 마이데이터가 추진될 예정이다. 그 어떤 시기보다 정보보호에 대한 정책당국, 소비자, 기업 등을 망라한 사회적 공감대가 필요하다. 디지털 보안의 변화에 빠르게 대응하는 정책, 기업의 적극적인 참여, 그리고 소비자의 인식 개선이 함께 이뤄져야 디지털 사회의 정보보호가 강화될 것이다.
송민택 공학박사 pascal@apthefin.com