금융보안원, 'DID' 금융보안표준 제정

신원확인 프레임워크·서비스 간 상호연동·보안 사항 제시

컴퓨팅입력 :2020/04/01 11:59

금융보안원은 분산ID(DID) 기반 금융 서비스의 기술 명확성 제공과 상호운용성, 보안성 확보를 위해 '분산ID를 활용한 금융권 신원관리 프레임워크'를 금융보안표준으로 제정했다고 1일 밝혔다.

DID는 주민등록증, 운전면허증 등 실생활의 신분증처럼 온라인 환경에서 정보 주체가 자신의 신원정보를 관리, 통제하는 디지털 신원관리 체계다.

최근 금융권은 DID 기반 본인확인 서비스 개발이 확대되는 추세다. 신원인증, 관리 유형이 중앙 집중형에서 사용자가 직접 신원관리 서비스를 선택, 분산 원장으로 공유되는 분산형으로 빠르게 변화하고 있는 것.

DID는 특히 이해 관계자 간 긴밀한 협력이 요구되는 인증 인프라다. 서비스 활성화를 위해서는 관련 용어 정의, 구현 서비스 모델, 정보보호 요구사항 등에 대한 표준이 중요하다. 금보원은 DID 표준 마련이 금융 산업 외 국내 다른 산업계, 해외 서비스와의 상호 운용성 확보에 기여할 것으로 예측돼 선제적으로 추진하게 됐다고 설명했다.

금보원은 분산ID표준개발그룹에서 개발한 표준(안)을 금융보안표준전문위원회의 검토를 거쳐 금융보안표준화협의회에서 의결, 금융보안표준으로 제정했다. 이 과정에서 은행, 증권, 보험, 카드 등 금융회사, DID 사업자, 스마트폰 제조사 및 표준 전문가가 참여했다.

DID 표준은 ▲신원관리 프레임워크 구성과 모델을 다루는 제1부 ▲제2부 신원증명 및 상호연동 방법 ▲제3부 정보보호 요구사항으로 구성된다.

제1부는 DID 프레임워크의 기술적, 관리적 요소에 따라 구분된 계층별 구성 요소의 생명 주기와 이를 구현하기 위한 모델을 제시해 상호 독립성과 활용성을 극대화했다.

제2부는 DID 신원증명의 유형, 기능, 보증 수준을 정의하고 DID와 다른 본인확인 수단과의 상호연동 방법을 기술해 금융소비자의 편의성과 금융회사의 업무 효율성을 높였다.

제3부는 관계 법령과 가이드라인, 국내외 표준을 참고해 정보보호 요구사항을 추가했다.

DID 구현 방식(출처=금융보안원)

이번 표준에서 규정된 DID를 통한 신원 검증 과정을 살펴보면, 신원증명 단계에서는 정보 소유자가 발급자에게 신원정보 발급을 요청하고, 발급자가 발급 요청자와 소유자가 동일인임을 검증한 뒤 정보를 발급, 소유자가 발급받은 정보를 저장, 관리하게 된다. 발급자는 신원정보 발급 검증 정보를 DID 신뢰 저장소에 등록하고, 소유자는 서비스 이용 시 신원정보를 서비스 제공자에게 제출한다. 서비스 제공자는 DID 신뢰 저장소를 이용해 제출된 정보를 검증하고 소유자의 신원을 확인하게 된다.

관련기사

금보원은 올해 중 DID 표준을 한국정보통신기술협회(TTA)에 제안해 보다 공신력을 갖춘 표준으로 널리 활용할 수 있도록 국내 정보통신 단체표준 등록을 추진할 예정이다. 또 금보원과 한국인터넷진흥원(KISA) 등이 참여하는 '분산ID 협의체'를 구성하여 이번 표준의 확산 방안을 논의할 계획이다. 정부의 새로운 본인확인·인증 관련 정책과 DID 관련 신기술의 등장 등에도 부합할 수 있도록 지속적으로 기술표준을 수정, 보완할 방침이다.

김영기 금융보안원 원장은“금융권이 공동 이용할 수 있는 DID 표준을 개발했단 점에서 그 의의가 크며, 더욱 공신력을 갖춘 표준으로 널리 활용될 수 있도록 국내 정보통신 단체표준으로 등록을 추진할 계획”이라며 “DID가 금융권의 신인증 인프라로 확대, 발전할 수 있도록 금융권의 DID 관련 정책, 기술 이슈에 적극적으로 대응해 편리하고 안전한 DID 생태계 조성에 기여해 나갈 것"이라고 밝혔다.