기업이 보관하던 개인정보
인터넷 시대에 중요성 높아지고 있어
개인이 관리하고 기업은 열람하는 방식으로 변화
메타디움이 글로벌 표준 이끌 것
“다른 프로젝트를 하겠다는 블록체인 기업들이 많았지만 결국 '분산 아이디(DID)' 프로젝트로 돌아오고 있습니다. 사업을 하다가 신원인증이 블록체인의 핵심 기능임을 깨달은 것이죠.”
최근 한경닷컴과 만난 박훈 메타디움 대표(사진)는 “지난해 ID 프로젝트를 시작한다고 발표했다. 당시만 해도 ID의 중요성을 외치는 블록체인 기업이 거의 없었다”면서 블록체인은 결국 DID로 귀결될 것이라고 강조했다.
인터넷 세상에서 개인정보의 중요성은 갈수록 커진다. 자신의 신원을 증명하는 것부터 시작해 자신이 어떤 사람들과 교류하고 무슨 게시물에 호감을 표시하는지 모든 정보가 기업에 수집되고 맞춤형 광고로 이용된다. 구글과 페이스북과 이를 활용하는 대표적 기업이다.
중요성에 비해 관리는 소홀히 이뤄졌다. 기업들은 이용자 개인의 정보를 수집, 활용하면서도 상응하는 대가는 지급하지 않는다. 서비스 품질을 높이기 위해 더 많은 정보를 요구할 뿐이다.
보관하던 개인정보를 대규모로 유출하는 피해 사례도 적지 않다. 이 경우에도 이용자 피해에 대한 적절한 보상은 이뤄지지 않는 게 대부분. 국내에서도 3500만명의 피해자를 낸 네이트와 싸이월드의 개인정보 유출사건이 있었지만 법원은 기업에 배상 책임이 없다고 판단했다. 11번가, 인터파크, KT 등도 대규모 개인정보 유출 사태를 겪었고 최근에는 네이버가 2000명의 개인정보를 유출하기도 했다.
이러한 사건들은 2013년 설립된 블록체인 기술 기업 코인플러그가 DID 프로젝트 메타디움을 추진하는 계기가 됐다. 박훈 대표는 "기업을 어떻게 믿고 개인정보를 통째로 넘겨줄 수 있느냐"고 반문한다. 각종 개인정보를 요구하면서도 보관이 철저하지 못한 데다 유출 사태를 빚어도 책임을 지지 않는 기업에겐 개인정보를 전적으로 제공하면 안 된다는 얘기다.
그는 “유럽의 일반개인정보보호법(GDPR)을 보더라도 선진국은 개인정보는 개인이 보관하고 기업은 필요한 부분만 열람하는 방식으로 변경되고 있다”며 “이에 발맞춰 개인정보를 개인이 직접 관리하도록 DID를 제공하고, 기업은 개인 동의를 받아 DID 데이터를 검증·활용하는 플랫폼과 인프라를 제공하자는 게 메타디움 프로젝트”라고 설명했다.
메타디움이 활용되면 기업은 필요한 개인정보만 받아 사용할 수 있게 된다고 했다. 메타디움은 성별, 연령대, 자격증명 등 신분증 기반의 정적 개인정보부터 최근 온라인 활동이나 관심사, 인맥 등 동적 개인정보까지 관리할 수 있다. 기업들은 개인 동의 하에 각자 필요한 개인정보를 이용하고 이에 대한 비용도 지불하는 구조다.
새로운 신원인증 방식인 DID는 중앙시스템에 의해 통제되지 않는다. 사용자 개개인이 자신의 개인정보를 보관하며 온라인상에서 스스로를 증명하는 인증 절차만 거친다. 결국 각 사이트의 회원가입 절차는 사라지고 로그인(인증) 방식만 남게 될 것으로 박 대표는 내다봤다.
이같은 개인정보 관리방식 변화는 불편함도 있을 수 있다. 기존에는 기업이 개인정보를 관리하고 개인은 편의만 누리는 방식이었던 데 반해 개인이 개인정보를 직접 관리하면 관리 책임도 개인에게 돌아오기 때문이다.
박 대표는 “변화가 불편할 수 있다”고 인정하면서도 “개인정보에 대한 사람들의 인식 변화가 중요하다”고 지적했다. 많은 이들이 전화번호, 사진 등의 개인정보를 인터넷에 모두 공개하는데, 이러한 정보를 바탕으로 일상에서 ‘신상털이’를 당하는 사례가 늘어나는 만큼 개인정보 관리의 중요성을 더 민감하게 느낄 것이라는 기대감이다.
글로벌 표준화 작업도 이뤄지고 있다. 국제 웹 표준화 단체(W3C), 탈중앙화 아이덴티티 재단(DIF)이 메타디움과 협력하고 있다. 마이크로소프트, IBM, 컨센시스, 소브린, 유포트, 시빅, 온톨로지 등의 기업들도 함께한다.
어준선 코인플러그 대표는 이와 관련해 “DID 기반으로 개인들이 기업에 데이터 열람권을 판매하는 시장을 구축하면 기존 신원인증 시장을 빠르게 대체할 수 있을 것”이라며 “물론 시간은 걸릴 것이다. 하지만 현재도 존재하고 앞으로는 더욱 커질 시장”이라고 강조했다.
박 대표도 “당장 추진하는 DID는 개인 신원인증이지만 개별 사물인터넷(IoT) 기기 인증에도 응용 가능하다. 상대를 식별하는 메타디움의 활용 범위는 갈수록 확대될 것”이라고 덧붙였다.
오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com
뉴스