디지털 정체성

3. 대상

디지털 정체성은 대부분 인간(개인)을 대상으로 하지만, 다음과 같은 비인적 실체(NPE: Non-Person Entity)도 대상이 될 수 있다.^[6]

• 그룹이나 조직(법인)
• 컴퓨터 서비스 (웹 API 등)나 디지털 자원 (파일 등)
• 센서나 장치 (IoT 등)

4. 관계와 속성 정보

디지털 정체성은 주체에 고유한 속성이라기보다는 "상호 관계에서 속성 정보가 결정된다"라고 이해하는 것이 적합할 때가 있다. 어떤 실체의 속성을 관찰자가 인식할 때는, 피할 수 없이 관찰자의 주관에 좌우된다. 어떤 실체의 속성을 디지털 표현·처리할 때, 속성을 판정하는 자(관찰자)는 그 표현이 그 실체에 실제로 부수하고 있다고 확증할 수 있는 것이어야 한다.^[5] 반대로, 그 실체는 관찰자에 대해 특정 속성 정보만을 제공하고 싶어 한다. 이처럼 디지털 정체성은 문맥 의존적인 성질을 갖는다.

5. 인증 (Authentication)

인증은 한 엔티티의 디지털 아이덴티티가 실제 주체에 대응하는지 확인하는 과정이다. 이는 디지털 신뢰의 핵심 요소로 꼽힌다.

일반적으로 기업 간 인증은 보안을, 사용자-기업 인증은 단순성을 우선시한다. 인증 방법에는 다음과 같은 것들이 있다.

• 고유 객체 제시: 은행 신용 카드와 같이 물리적으로 고유한 물건을 제시한다.
• 기밀 정보 제공: 비밀번호나 미리 정해진 질문에 답하는 등 비밀 정보를 제시한다.
• 소유권 확인: 이메일 주소로 메시지를 주고받아 소유권을 확인한다.
• 암호화 기술: 암호화를 사용하는 더 강력하지만 비용이 많이 드는 방법이다.
• 물리적 인증 (생체 인식): 홍채 스캔, 지문 인식, 음성 인식 등 신체적 특징을 이용하는 생체 인식 기술이다.

5. 1. 위험 기반 인증

6. 식별자 (ID/Identifier)

디지털 정체성은 특정 범위(전역 또는 특정 도메인, 커뮤니티, 디렉터리, 애플리케이션 내)에서 고유한 문자열 또는 토큰인 디지털 식별자를 필요로 한다.

식별자는 '전방향' 또는 '단방향'으로 분류될 수 있다.^[12] 전방향 식별자는 공개되어 쉽게 발견될 수 있는 반면, 단방향 식별자는 비공개로 특정 정체성 관계의 맥락에서만 사용되도록 의도된다.

식별자는 또한 '해결 가능' 또는 '해결 불가능'으로 분류될 수 있다. 도메인 이름 또는 이메일 주소와 같은 해결 가능한 식별자는 해당 식별자가 나타내는 개체 또는 해당 개체의 관련 속성을 제공하는 현재 상태 데이터로 쉽게 역참조될 수 있다. 사람의 실명이나 주제 또는 토픽의 이름과 같은 해결 불가능한 식별자는 동등성을 비교할 수 있지만 그렇지 않으면 기계가 이해할 수 없다.

디지털 식별자에는 다양한 방식과 형식이 있다. URI와 국제화된 버전인 IRI는 월드 와이드 웹 상의 웹사이트 식별자에 대한 표준이다. OpenID 및 Light-weight Identity는 표준 HTTP URI(종종 URL이라고 함)를 사용하는 두 가지 웹 인증 프로토콜이다. URN은 정의된 네임스페이스 내에서 할당된 지속적이고 위치에 독립적인 식별자이다.

Handle System은 인터넷과 같은 네트워크에서 사용하기 위해 효율적이고 확장 가능하며 안전한 식별자 및 해결 서비스를 제공하는 범용 분산 정보 시스템이다. 여기에는 개방형 프로토콜 세트, 네임스페이스, 그리고 프로토콜의 참조 구현이 포함된다. 이 프로토콜은 분산 컴퓨터 시스템이 임의의 리소스에 대한 핸들로 알려진 식별자를 저장하고, 해당 핸들을 리소스를 찾고, 액세스하고, 연락하고, 인증하거나 기타 방식으로 사용하기 위해 필요한 정보로 해결할 수 있도록 한다. 이 정보는 식별자를 변경하지 않고 식별된 리소스의 현재 상태를 반영하기 위해 필요에 따라 변경될 수 있으므로 항목의 이름이 위치 변경 및 기타 관련 상태 정보 변경에도 지속될 수 있다. Handle System 기술의 원래 버전은 방위 고등 연구 계획국의 지원을 받아 개발되었다.

새로운 OASIS 표준인 추상적이고 구조화된 식별자 XRI(확장 가능한 자원 식별자)는 디지털 신원 시스템에 특히 유용한 URI 및 IRI에 새로운 기능을 추가한다. OpenID 역시 i-name의 기반이 되는 XRI를 지원한다.

아이덴티티 정보는 식별자를 기반으로 관리된다. 식별자는 소정의 관리 도메인 내(특정 렐름/커뮤니티/디렉토리/애플리케이션 내나 글로벌 범위)에서 유일한 문자열이 할당되며, ID로 표기된다. 식별자는 그것이 나타내는 실체의 키로 사용된다.

7. 속성 정보의 구조화 및 표현

디지털 정체성의 속성은 획득되며, 의료 기록, 구매 행동, 은행 잔고, 나이 등 사용자에 대한 정보를 담고 있다. 선호도는 사용자가 선택한 신발 브랜드, 선호하는 통화와 같은 정보를 유지한다. 특성은 눈 색깔, 국적, 출생지와 같이 사용자 고유의 특징이다. 사용자의 속성은 쉽게 변경될 수 있지만, 특성은 거의 또는 천천히 변경된다.^[6] 디지털 정체성 속성은 온톨로지의 맥락 내에서 존재한다.

사람, 조직, 기기, 서비스 등 '''속성'''을 관리하는 단위를 '''엔티티(주체)'''라고 하며, 시스템에 등록된 엔티티에 관한 속성 정보의 집합을 '''아이덴티티 정보'''라고 한다. 아이덴티티를 전자적으로 표현한 것을 '''디지털 아이덴티티'''라고 한다.

속성 정보는 그 진정성에 따라 다음과 같은 3가지 종류로 분류할 수 있다.

• 권위 있는 원천으로부터의 속성 정보
• 검증된 속성 정보
• 미검증 속성 정보

8. 네트워크 상의 디지털 아이덴티티

인터넷과 같은 분산 네트워크에서는 각 실체 간의 관계와는 독립된 신뢰할 수 있는 관계가 존재하며, 이러한 개별 관계를 더 큰 단위로 통합하여 보증하는 수단이 필요하다.

ID 제공자(IdP)는 인터넷을 통해 여러 관리 도메인에 사용자 인증 기능과 속성 정보를 제공한다. ID 제공자가 제공하는 사용자 인증 기능과 속성 정보의 신뢰성을 보증하기 위해 트러스트 프레임워크를 제도 설계하려는 시도가 선진 각국에서 진행되고 있다.^[64][65]

개인 데이터 서비스(PDS)는 개인이 자신의 정체성 정보를 제어할 수 있는 기능을 제공한다. 한국에서는 마이데이터 사업을 통해 개인 데이터 서비스(PDS)를 활성화하여, 개인이 자신의 정체성 정보를 제어하고 관리할 수 있도록 지원하고 있다. 이는 더불어민주당의 정보 주권 강화 정책과도 관련이 있다.

9. 개인 정보 보호 (Privacy)

디지털 정체성과 관련하여 여러 개인 정보 보호 문제가 논의되고 있다.^{[1][2][3][4][5]}

탈식별화(De-identification)는 축적된 속성 정보로부터 개인 식별 정보를 제거하여 실체를 식별하기 어렵게 만드는 정보 가공 처리 기술이다.^[6]

GDPR은 유럽 연합(EU)이 EU 시민의 개인 정보 보호에 대한 우려를 해결하기 위해 2018년에 도입한 규정으로, 개인 정보 보호 문제를 해결하기 위한 대표적인 법적 규제이다. GDPR은 EU 내 사용자를 처리하는 위치에 관계없이 모든 회사에 적용된다. EU 시민의 데이터를 수집, 저장 및 사용하는 모든 회사는 해당 데이터 관리에 대한 주요 세부 정보를 EU 개인에게 공개해야 하며, EU 시민은 수집된 데이터의 특정 측면을 삭제하도록 요청할 수 있다.^[7] EU는 GDPR 시행을 돕기 위해 EU 시민의 데이터를 사용하지만 규정을 준수하지 않는 회사에 벌금을 부과한다.^[8]

많은 시스템은 디지털 정체성과 연결된 데이터를 분석할 때 개인 정보 보호 관련 완화를 제공한다. 예를 들어 암호화 해시 함수를 사용하여 사용자 식별자를 해싱하는 데이터 익명화나, 차등적 프라이버시에서와 같이 식별 가능성을 줄이기 위해 데이터 세트에 통계적 노이즈를 추가하는 기술이 있다.

디지털 정체성은 소비자가 어디에서나 거래하고 다양한 ID 카드를 더 쉽게 관리할 수 있게 하지만, 악의적인 해커가 모든 개인 정보를 훔치는 데 사용할 수 있는 잠재적인 단일 공격 지점도 제시한다.^[9] 따라서 사용자를 보호하기 위해 여러 가지 계정 인증 방법이 개발되었다.

• 2단계 인증: 2단계 보안 프로세스로, 첫 번째 단계는 계정 비밀번호를 요구하고, 두 번째 단계는 사용자에게 그들만이 접근할 수 있는 이메일, 전화번호로 전송되는 일회성 보안 코드 입력이나, 얼굴 스캔, 지문, 음성 지문과 같은 생체 인식 또는 보안 질문을 요구한다.^[10][11]
• 인증서 기반 인증: 디지털 인증서(운전 면허증, 여권 등)를 전자 문서 형태로 사용하여 사용자를 식별한다. 서버는 암호화를 통해 인증서의 신뢰성을 확인하고 개인 키가 인증되면 인증이 완료된다.^[12]

• 고전적 사생활 권(right to be let alone)
• 자기 정보를 통제할 권리

• 개인 데이터 서비스(PDS)
• 관리 도메인을 넘어 개인의 속성 정보를 전송할 때, 개인으로서의 실체 본인의 허가를 구하는 것 (SAML의 어설션, OpenID의 ID 토큰 등)
• 식별자(ID)를 제시하지 않고 가명만 제시해도(가명성) 사용자 인증이 가능한 시스템

10. 사회적 측면

디지털 정체성은 사회 여러 측면에 영향을 미치고 있다. 법적인 문제, 비즈니스 측면, 그리고 디지털 사망과 같은 현상들이 나타나고 있다.

10. 1. 법적 문제

10. 2. 비즈니스 측면

• ISO 17442 표준을 기반으로 한 20자리의 영숫자 코드.
• 전 세계적으로 사용되고 인식되도록 설계되었다.
• 디지털 거래에 참여하는 법인의 식별자.
• 분산형이며, 식별 데이터를 누구나 접근할 수 있는 개방형 데이터 시스템에서 사용된다.
• 프로세스의 각 부분에 심층적인 검증 서비스를 통합한다.

10. 3. 디지털 사망 (Digital Death)

11. 국가별 디지털 신원 시스템

인터넷의 보편화로 인해 디지털 신원의 많은 측면이 보편화되었지만, 특정 법률, 관행 및 정부 서비스로 인해 일부 지역적 변동이 존재한다. 예를 들어, 운전 면허증, 여권 및 기타 실물 문서를 온라인으로 검증하는 서비스를 사용하여 디지털 신원의 질을 향상시킬 수 있다. 또한, 자금 세탁 방지 정책은 자금 이체와 같은 일부 서비스에서 더 엄격한 수준의 디지털 신원 검증을 요구한다. 국가적 의미의 디지털 신원은 단일 로그인 및/또는 신뢰할 수 있는 기관(일반적으로 정부)의 주장에 대한 검증의 조합을 의미할 수 있다.

여러 국가에서 공식 또는 비공식 디지털 신원 시스템을 운영하거나 도입을 추진하고 있다.

• 미국에서는 2021년, 제117차 의회 회기는 디지털 ID 개선을 위한 정부 차원의 접근 방식을 수립하기 위해 H.R. 4258 (2021년 디지털 신원 개선 법안)을 발의했다.^[47] 이 법안은 정부 감독 및 개혁 위원회로 넘겨졌다.^[49] 2022년 10월, 미국 상원의원인 키르스텐 시네마(민주, 애리조나)와 신시아 루미스(공화, 와이오밍)는 상원 국토 안보 및 정부 업무 위원회의 S. 4528 (2022년 디지털 신원 개선 법안)을 통해 추가 노력을 지시했다.^[50] 이 법안은 운전 면허증, 여권 및 출생 증명서와 같은 디지털 신원 자격 증명을 개발하기 위해 연방, 주 및 민간 부문의 노력을 조정하기 위한 태스크 포스(task force)를 설립하려는 것이다.^[51]
• 2019년, 콜로라도주는 myColorado 앱을 통해 디지털 ID를 수락한 최초의 주가 되었다. myColorado 앱은 Google Play 스토어 또는 Apple App Store를 통해 다운로드할 수 있으며, 100만 명 이상의 사용자를 확보했다.^[52]
• 2022년, 미국 캘리포니아주는 디지털 정부 서비스에 대한 접근을 위해 자국 시민을 위한 디지털 ID 프로그램을 시범 운영하기 시작했다.^[53]
• 캐나다는 비영리 단체인 캐나다 디지털 ID 및 인증 협의회(DIACC)와 협력하여 시민들에게 디지털 ID 형태를 제공하기 위해 적극적으로 노력하고 있다. DIACC는 팬캐나다 신뢰 프레임워크에 따라 디지털 ID 서비스 제공업체를 인증하기 위한 방법으로, 특히 ISO 표준을 준수하는지 검증하는 Voila Verified Trustmark 프로그램을 감독할 것이다.^[55] 2023년 현재, 전국적인 디지털 ID 프로그램은 없지만, 앨버타주는 자체 버전의 디지털 ID를 지원한다. 온타리오주와 퀘벡주는 디지털 ID를 출시할 계획이었지만, COVID-19 팬데믹으로 인해 연기되었다.^[56]
• 캐나다 공공 부문은 [https://github.com/canada-ca/PCTF-CCP/tree/master/Version1_4 팬캐나다 신뢰 프레임워크의 공공 부문 프로필]을 개발했다.^[57] 이 프레임워크는 캐나다 정부가 앨버타주와 브리티시 컬럼비아주를 평가하고, 연방 정부 서비스에서 사용할 수 있는 신뢰할 수 있는 디지털 신원으로 해당 프로그램들을 승인하는 데 사용되었다. 지방 거주자는 [https://www.canada.ca/en/employment-social-development/services/my-account.html 내 서비스 캐나다 계정]에 자신의 지방으로 등록하고 로그인할 수 있다.
• 공인 표준 개발 기관인 [https://dgc-cgn.org/ 디지털 거버넌스 위원회]는 국가 표준인 [https://dgc-cgn.org/standards/find-a-standard/standards-in-digital-trust/digital-trust-fundamentals/ CAN/CIOSC 103:2020 디지털 신뢰 및 신원]을 발표했으며, 공공 부문 및 규제 프로그램에 대한 적합성 평가 제도를 개발하고 있다.

참조

_[1] 웹사이트 What is a data double? https://datadoubles.[...] 2018-05-01
_[2] 논문 The surveillant assemblage https://www.uio.no/s[...] 2000-12
_[3] 웹사이트 The battle for digital privacy Is reshaping the internet https://www.bizjourn[...] 2023-05-10
_[4] 논문 A Review of Identity, Identification and Authentication https://infonomics-s[...] 2018
_[5] 웹사이트 What is a digital twin? {{!}} IBM https://www.ibm.com/[...] 2021-08-05
_[6] 웹사이트 Digital Identity: What is it & What Makes up a Digital Identity? {{!}} Jumio https://www.jumio.co[...] 2022-06-17
_[7] 웹사이트 Bank Secrecy Act / Anti-Money Laundering Examination Manual https://www.ffiec.go[...] 2006-07-28
_[8] 간행물
_[9] 웹사이트 Anti-Money Laundering and Counter-Terrorism Financing Act 2006 http://www.comlaw.go[...] 2013-06-29
_[10] 웹사이트 AML/CFT Act and Regulations http://www.dia.govt.[...] 2013-10-01
_[11] 웹사이트 Data Exchange Mechanisms and Considerations https://enterprisear[...] 2023-09-19
_[12] 뉴스 The Laws of Identity http://msdn.microsof[...] Microsoft 2005-05
_[13] 뉴스 A Framework for Distributed Digital Object Services http://www.cnri.rest[...] Corporation for National Research Initiatives 1995-05-13
_[14] 웹사이트 The Forrester Wave™: Risk-Based Authentication, Q3 2017 https://www.forreste[...] 2017-07-17
_[15] 간행물 Digital Identity – A New Legal Concept http://dx.doi.org/10[...] University of Adelaide Press
_[16] 웹사이트 Right to be Informed https://gdpr-info.eu[...] 2023-05-10
_[17] 웹사이트 Art. 83 GDPR – General conditions for imposing administrative fines https://gdpr-info.eu[...] 2023-05-10
_[18] 웹사이트 What is Two-Factor Authentication (2FA) and How Does It Work? https://www.techtarg[...] 2023-05-10
_[19] 웹사이트 What Is Two-Factor Authentication (2FA)? https://authy.com/wh[...] 2023-05-10
_[20] 뉴스 What is Certificate-Based Authentication https://www.yubico.c[...] 2023-05-10
_[21] 웹사이트 PDF.js viewer https://library.oape[...]
_[22] 논문 "Self-discrepancy: a theory relating self and affect" 1987
_[23] 논문 "The moral career of the mental patient" 1959
_[24] 논문 "The past, present, and future of an identity theory" 2000
_[25] 서적 Body on >body<: Coding subjectivity University of Minnesota Press 2010
_[26] 웹사이트 Online Identity https://tiara.org/wp[...] 2023-09-06
_[27] 논문 "Ghosts in the machine" 1995
_[28] 서적 Digital Identity The University of Adelaide 2010
_[29] 웹사이트 The vital role to be played by Digital identity and the Legal Entity Identifier in the future of global business http://www.lei-world[...] 2023-05-10
_[30] 웹사이트 What happens to my Facebook account if I pass away {{!}} Facebook Help Center https://www.facebook[...] 2023-05-10
_[31] 웹사이트 China to introduce digital ID cards nationwide {{!}} Biometric Update https://www.biometri[...] 2023-01-21
_[32] 웹사이트 China to roll out digital ID cards nationwide https://www.nfcw.com[...] 2023-01-21
_[33] 뉴스 On biometric IDs, India is a 'laboratory for the rest of the world' https://www.csmonito[...] 2023-01-21
_[34] 웹사이트 Iran unveils new e-government components as digital ID importance grows {{!}} Biometric Update https://www.biometri[...] 2023-01-21
_[35] 웹사이트 Singapore to roll out measures to help its people better navigate digital services: Josephine Teo https://www.straitst[...] 2023-01-21
_[36] 논문 Estonian electronic identity card and its security challenges https://dspace.ut.ee[...] University of Tartu 2021-03-03
_[37] 웹사이트 Der Online-Ausweis http://www.personala[...] 2021-05-29
_[38] 웹사이트 Die "Digitale Identität" löst den Ausweis ab https://www.security[...] 2021-05-04
_[39] 웹사이트 Italy's digital identity system: What is SPID and how do I get it? https://www.wantedin[...] 2021-11-05
_[40] 웹사이트 Digital identity in Monaco / Identité Numérique / Nationality and residency / Public Services for Individuals- Monaco https://en.service-p[...] 2023-01-21
_[41] 웹사이트 Ukraine makes digital passports legally equivalent to ordinary ones {{!}} KyivPost - Ukraine's Global Voice https://www.kyivpost[...] 2021-03-30
_[42] 웹사이트 Cabinet of Ministers of Ukraine - Ministry of Digital Transformation: Ukraine is the first country in the world to fully legalize digital passports in smartphones https://www.kmu.gov.[...] 2021-03-30
_[43] 웹사이트 Gov.UK Verify: Late, unnecessary and finally launching this week https://www.computin[...] 2016-05-25
_[44] 웹사이트 Australian Taxation Office defaults agent log in to myGovID from Saturday https://www.zdnet.co[...] 2023-01-21
_[45] 웹사이트 AIA Australia adapts, then adopts Digital iD via DocuSign https://www.itnews.c[...] 2023-01-21
_[46] 웹사이트 Consent-Based Social Security Number Verification Helps to Reduce Synthetic IDs https://www.pymnts.c[...] 2021-09-10
_[47] 웹사이트 H.R.4258 - 117th Congress (2021-2022): Improving Digital Identity Act of 2021 | Congress.gov | Library of Congress https://www.congress[...] 2023-06-25
_[48] 웹사이트 Titles - H.R.4258 - 117th Congress (2021-2022): Improving Digital Identity Act of 2021 | Congress.gov | Library of Congress https://www.congress[...] 2023-06-25
_[49] 웹사이트 Actions - H.R.4258 - 117th Congress (2021-2022): Improving Digital Identity Act of 2021 | Congress.gov | Library of Congress https://www.congress[...] 2023-06-25
_[50] 웹사이트 US senators introduce bipartisan Improving Digital Identity Act https://iapp.org/new[...] 2023-06-25
_[51] 웹사이트 Congressional Budget Office, Cost Estimate: S. 4528, Improving Digital Identity Act of 2022 https://www.cbo.gov/[...] 2023-06-25
_[52] 웹사이트 myColorado Digital Identification App https://appitventure[...] 2020-07-25
_[53] 웹사이트 Digital Identity Project | CDT https://cdt.ca.gov/d[...] 2023-06-25
_[54] 웹사이트 How some countries are using digital ID to exclude vulnerable people around the world http://theconversati[...] 2021-08-03
_[55] 웹사이트 DIACC launches certified trustmark program for Canadian digital ID services https://www.biometri[...] 2022-10-18
_[56] 웹사이트 The state of Digital ID in Canada https://www.itworldc[...] 2022-05-17
_[57] 웹사이트 Public Sector Profile of the Pan-Canadian Trust Framework (PSP PCTF) https://www.idlab.or[...] 2023-06-25
_[58] 웹사이트 "Information at your fingertips"- National Digital Identity Project http://www.bbs.bt/ne[...] 2021-10-13
_[59] 웹사이트 European Digital Identity https://ec.europa.eu[...] 2021-06-04
_[60] 웹사이트 Press corner https://ec.europa.eu[...] 2021-06-04
_[61] 웹사이트 NIDS Bill still problematic despite being passed in both Houses — JFJ {{!}} Loop Jamaica https://jamaica.loop[...] 2023-01-21
_[62] 웹사이트 One Caribbean digital ID and card announced, another faces political opposition https://www.biometri[...] 2022-12-05
_[63] 웹사이트 ISO/IEC 24760-1: A framework for identity management - Part 1: Terminology and concepts http://www.iso.org/i[...] ISO 2011
_[64] 웹사이트 National Strategy for Trusted Identities in Cyberspace (NSTIC) http://www.nist.gov/[...] NIST null
_[65] 서적 認証連携普及のために～信頼フレームワークの構築～ https://www.nttdata.[...] NTT DATA 2013-12-19
_[66] 문서 しばしば用いられている「匿名化（anonymize）」という用語が多義的になってしまっている現状を踏まえて用いている用語