[경계불문 DX] 디지털백신여권 국제표준화 시동…DID '킬러앱' 되나

2021-08-14 08:00
염흥열 교수 "DID방식 백신증명서 표준화 필요 합의"
193개국 회원 둔 유엔 산하 기술총괄 국제기구 ITU-T
WHO까지 논의 참여…실제 표준화·실용화 영향 줄 듯
질병청 이달 중 증명서 여권정보 포함…상호인정 대비
KISA "보안·신뢰성·상호운용성, 국제표준화 선결과제"

[사진=게티이미지뱅크]


디지털백신여권 국제표준화 논의 자리에서 한국 질병관리청의 코로나19 전자 예방접종증명서와 이에 연동되는 네이버·카카오의 사설(민간)인증서가 소개됐다. 세계보건기구(WHO)와 국제전기통신연합(ITU) 등 주요 국제기구와 민간기업 소속 정보통신기술(ICT)·정보보호 전문가들의 이목을 집중시켰다. 질병청 접종증명서의 블록체인·분산신원증명(DID) 기술을 기반으로 디지털백신여권의 국제표준 기술규격과 각국의 상호인정(국제통용) 방안이 마련돼, 전 세계를 묶는 DID생태계 조성의 물꼬가 트일지 주목된다.

14일 염흥열 순천향대 교수는 "지난 12일 'ITU/WHO 백신접종증명서 워크숍'이 세계 260명의 전문가가 참석한 가운데 열렸다"라며 "ITU 전기통신표준화부문(ITU-T), WHO, 전기전자기술자협회(IEEE), 월드와이드웹컨소시엄(W3C), 세계이동통신사업자협회(GSMA), 질병관리청, 중국정보통신연구원(CAICT), IBM, 액센추어, 유로폴(Europol), 헬스케어기업통합(IHE) 등 주요 이해당사자 전문가들이 참석해 백신접종증명서에 대한 현황, 향후 추진방향, 표준화 추진 내용을 논의했다"라고 밝혔다.

그는 이어 "포용성을 고려한 WHO의 'COVID-19 증명서 디지털문서'와 상호연동성을 고려한 DID 방식의 디지털백신증명서에 대한 표준화가 필요하다는 합의가 이뤄졌다"라면서 "구슬이 서 말이어도 꿰어야 보물이란 말이 있듯이, 단·장기 목표로 국제표준화 활동이 요구된다"라고 말했다. 또 "정우진 질병청 과장이 우리 모바일 백신접종(증명)서비스의 우수성을 알리고, 박상환 한국인터넷진흥원(KISA) 블록체인진흥단장이 백신증명서의 향후 표준화 추진방향을 제시해 참석자들로부터 호응을 받았다"라고 전했다.

ITU는 193개국 700개 기업과 ICT 규제기관·학술단체 회원이 참여하는 유엔 지정 전기통신부문 총괄 국제기구다. ITU-T 차원에서 추진되는 ICT표준화 연구와 합의사항은 그 자체로 회원국 정부와 공공부문의 기술 정책에 반영되거나 협력을 유도할 수 있어, 개별 국가 또는 민간기구의 표준화 작업보다 파급력이 크다. WHO까지 참여한 점을 살피면, 완성될 디지털백신여권 규격은 각국 정부 지침에 반영될 공산이 크다. 이 표준에 기반한 코로나19 접종증명서가 블록체인·DID 기술 생태계의 킬러앱이 될 수도 있다.
 
WHO 백신접종증명서 규격, ITU-T 표준으로 제출되나

염흥열 순천향대 교수가 최근 ITU-T 정보보호연구반(SG17) 차원에서 마련한 디지털백신여권 표준화 워크숍에서 조정위원장으로서 모두발언을 하고 있다. [사진=ITU-T 웹사이트]


염 교수는 워크숍 모두발언으로 코로나19 예방접종증명서의 국제통용을 위한 기술 표준화의 필요성을 강조했다. 이 전자인증서로 여행자를 필요한 기준에 따라 확인하고 다른 국가에 입국시킬지 여부를 판단하는 용도로 사용해, 국가 간 이동의 재개를 촉진할 수 있다고 지적했다. 이 기술이 국가 간 상호운용 가능한 방식으로 운영돼야 하기에, 현재로선 ITU-T x.509 표준에 정의된 공개키인프라(PKI), 즉 한국의 '공동인증서' 기반기술과, 블록체인·DID 같은 신흥 기술을 모두 활용해 설계해야 한다고 설명했다.

그는 ITU-T 산하 정보보호연구반(SG17) 의장으로, 지난 3개월간 조정위원회 공동의장을 맡아 이 워크숍의 개최를 주도한 인물이다. 이 워크숍에 조정위 위원 25명, 발표자 9명, 토론자 6명이 참여했다. 단일 연구반이 주도적으로 구성·운영하는 일반적인 ITU 워크숍과 달리, SG17뿐 아니라 멀티미디어연구반(SG16)과 사물인터넷·스마트시티연구반(SG20)의 두 의장도 함께 참여했다. 염 교수는 개최 준비 과정에서 "확인이 필요하지만, 3개의 ITU-T 연구반 의장이 직접 참여하는 첫 ITU 워크숍일 것"이라고 언급했다.

그만큼 이번 워크숍은 다양한 분야 ICT 전문가들의 관심이 크다. 염 교수의 설명에 따르면 워크숍에 참석한 전문가들은 이번 논의뿐 아니라 후속 활동을 통해 코로나19 예방접종증명서를 비롯한 여러 전자인증서로 다양한 사용사례를 검토하고, 이런 인증서의 구현과 통합 시 나타날 수 있는 문제를 파악한다. 국제통용 가능한 코로나19 예방접종증명서를 고려할 때, ITU와 WHO 간에 필요할 수 있는 잠재적 협업 수요 조사와 관련 그룹·국가 간의 활동 공유, 미래에 ITU-T와 WHO가 나아갈 방향성을 파악한다.

염 교수는 "나는 SG17 의장으로서, WHO가 그들의 '코로나19 백신 상태 인증서 전자문서(Digital Documentation of COVID-19 Certificates: Vaccination Status)'를 제출해 ITU-T 표준으로 채택되도록 할 것을 제안한다"라며 "ITU-T 표준은 전 세계적 활용을 더욱 촉진할 수 있다"라고 권고했다. 그는 또 "우리가 모두 사용자 친화적이고 상호운용 가능한 코로나19 전자인증서 서비스를 연구할 기회를 갖기를 희망한다"라고 덧붙였다.
 
질병청 증명 앱 쿠브, 여권정보 포함된 인증서 발급한다

정우진 질병관리청 과장이 ITU-T 디지털백신여권 국제표준화 논의 워크숍에서 한국의 코로나19 접종증명 앱 쿠브가 국제표준화에 적합한 기반 기술로 운영되고 있다고 소개했다. [자료=ITU-T 웹사이트]


정우진 질병청 과장 겸 코로나19 예방접종대응추진단 시스템관리팀장은 올해 4월 15일부터 대국민 서비스를 시작한 코로나19 예방접종증명서 발급시스템과 증명서 보관용 전자지갑 앱인 '쿠브(COOV)'를 소개했다. 코로나19 예방접종을 받은 국민들은 앱스토어와 구글플레이를 통해 스마트폰에 쿠브 앱을 내려받아 설치하고 본인확인 절차를 거쳐, 예방접종증명서를 발급받을 수 있다. 쿠브 앱은 발급된 증명서를 식당·병원 등에 입장할 때 제시하고, 검증자가 역시 쿠브 앱으로 그 진위를 확인할 수 있다.

정 과장은 "쿠브 이용자들은 이해관계자에게 증명서를 제시하거나 QR코드 스캐닝을 통해 타인의 증명서를 검증할 수 있다"라며 "우리가 나서서 이 검증 기능을 사용하라고 한 적은 없지만, 기업·기관들이 스스로 내부 업무와 마케팅·영업에 공식 활용하기 시작했고, 이게 입소문을 타 일반인들의 홍보물·활용영상 제작을 유도했다"라고 설명했다. 쿠브 이용 실적을 보면 지난달 말 기준 457만명이 앱을 내려받았고, 1475만명이 접종증명서를 발급받았으며, 1억2400만건의 증명서 검증이 처리됐다.

질병청은 네이버앱·카카오톡의 다중이용시설 입장을 위한 'QR코드 체크인' 같은 대중적인 IT플랫폼의 방문이력 기록서비스와 쿠브의 기능을 통합해, 이 서비스 이용자를 늘렸다. 앞으로 정부가 계획한 예방접종 인센티브를 부여할 때, 이 서비스가 검증시스템 역할을 하게 된다. IT플랫폼과의 통합 이후 증명서 총발행·이용량이 기하급수적으로 증가했는데, 이는 질병청에 제공된 '블록체인랩스'의 초당 2000건의 트랜잭션을 처리하는 기술과 암호화폐 없이 돌아가는 합의알고리즘이 원활하게 소화하고 있다.

정 과장은 "이 블록체인은 어떤 개인식별정보·의료정보도 저장하지 않고, 신뢰성을 갖춘 예방접종 프로세스의 검증용 저장소로 활용될 수 있다"라고 말했다. 이어 "쿠브의 DID 시스템은 W3C의 표준을 엄격하게 따르고, 다른 국가·플랫폼 간 상호운용성을 제공해 이 시스템이 국제통용되도록 해준다"고 덧붙였다. 또 "쿠브는 처음부터 상호운용성을 고려해 설계됐다"라며 "이달 업데이트를 통해 외교부의 이용자 여권정보(영어이름·여권번호)가 담겨, 국제적으로 사용가능한 증명서가 발급될 것"이라고 언급했다.
 
"국제표준화 선결과제는 증명서 보안·신뢰성·상호운용성"

박상환 KISA 블록체인진흥단장이 최근 ITU-T 워크숍에서 디지털백신여권 국제표준화를 위한 기술·정책적인 선결과제를 제시했다. [사진=ITU-T 웹사이트]


코로나19 예방접종증명서의 발급 단계까지는 질병청의 소관 업무지만, 발급된 증명서를 이용하는 단계에선 쿠브·네이버·카카오톡 등 여러 공공·민간 기술이 'QR체크인' 또는 '전자지갑서비스' 형태로 연계될 수 있다. 일례로 국내 DID플랫폼 4대 진영이 뭉친 연합체의 접종증명서 관련 서비스가 현재 개발되고 있다. 이 연합체에 SKT가 주도하는 '이니셜얼라이언스', 아이콘루프가 주도하는 '마이아이디얼라이언스', 라온시큐어가 주도하는 '옴니원', 코인플러그가 주도하는 '마이키핀얼라이언스'가 참여 중이다.

박상환 KISA 단장은 국내 DID 4대 진영이 질병청과 협력 중인 접종증명서 프로젝트를 포함해, 19건의 신규 과제가 과학기술정보통신부와 KISA 차원에서 2018년부터 추진된 블록체인 지원사업으로 진행되고 있다고 밝혔다. 그는 또 "KISA는 '신뢰원점기관(trust anchor)'을 운영하는 것을 포함해, 이 분야 서비스 활성화를 위한 DID 정책연구를 수행하고 있다"라고 언급했다. 이 신뢰원점기관은 코로나19 예방접종증명서가 국제통용 디지털백신여권으로 발전하기 위해 박 단장이 제시한 선결조건 중 하나였다.

선결조건으로 우선 접종증명서 발급자 전자서명이 하드웨어보안모듈(HSM) 안에서 쓰이고, 관련 소프트웨어가 시큐어코딩으로 개발되고 화면캡처방지를 지원하며, 이용자 개인키를 보안영역에 보관해야 한다. 또 증명서 이용자의 비대면 신원증명·본인확인 방법이 신뢰성을 갖춰야 하고, 증명서 유효성 수명주기(생성·읽기·갱신·철회·정지·기타) 기능 악용이 방지돼야 한다. 더불어 상호운용성 측면에서 중앙화(PKI)와 탈중앙화(블록체인·DID) 인증체계를 함께 수용할 수 있는 신뢰원점기관 운영을 검토해야 한다.

박 단장은 "우리는 어느 누구에게도 접종증명서를 특정한 유형의 기술로 사용하도록 강제할 수 없기 때문에, 서로 다른 두 유형의 기술 간 신뢰와 상호운용성을 제공하고 여러 증명서 발급자가 연계되도록, 신뢰받는 제3자가 운영하는 발급자 공개키의 목록을 뜻하는 신뢰원점기관의 운영을 검토할 수 있다"라며 "대부분의 접종증명서가 전달되는 QR코드 형식의 페이로드(payload·보조 정보를 포함해 전송되는 데이터 중 원래 보내고자 하는 정보)와 증명서 프로파일의 표준화를 고려할 수 있다"라고 덧붙였다.