가짜 판치는 코로나19 백신 여권…DID 거론되는 이유

세계 각국에서 코로나19 백신 접종이 본격화되면서 공공시설 이용이나 해외 출국 등이 재개될 수 있을 거란 기대감이 커지는 상황입니다.

그러나 코로나19로 막혔던 하늘길이 열리기 전 필요한 것이 있습니다. 바로 코로나19 백신 접종 여부를 확인할 수 있는 증명서 발급 시스템입니다. 백신 접종이 시작됨과 동시에 이런 시스템을 준비하는 움직임도 곳곳에서 포착되고 있습니다.

이런 상황을 주시하는 건 각국 정부뿐만이 아닙니다. 사이버범죄자들도 항상 사회 트렌드를 반영해 범죄 기회를 모색합니다. 코로나19 백신 접종 증명서도 이들의 눈에 띄었습니다.

글로벌 보안 기업 체크포인트는 지난 22일 다크웹과 해킹 포럼에서 가짜 코로나19 백신과 백신 접종 증명서가 유통되고 있다고 보고했습니다. 회사가 가짜 증명서 판매자에게 접촉한 결과, 200달러(약 22만6천원)만 내면 증명서를 구입할 수 있었습니다. 다크웹에 등록된 코로나19 백신·백신접종 증명서 판매글 수도 지난 1월 대비 세 배 이상 증가해 1천200건 이상을 기록하는 등 시장 규모도 증가하는 양상입니다.

어둠의 경로로 구입한 가짜 코로나19 백신 접종 증명서가 걸러지지 못하고 실생활에서 사용될 가능성이 있다면, 증명서를 발급하는 의미도 없습니다. 증명서 발급 시스템이 해킹으로 인한 정보 유출이나 조작을 방지하면서도, 개별 증명서의 정상 발급 여부를 확인할 수 있도록 구축돼야 하는 이유입니다.

백신 접종률이 세계에서 가장 앞선 국가인 이스라엘의 경우 백신 접종자를 대상으로 QR코드를 활용해 증명서를 발급하고 있습니다. 중국도 마찬가지로 QR코드 기반 코로나19 백신 여권을 최근 시범적으로 출시했습니다.

그러나 QR코드 증명서는 100% 안전한 방식으로 보긴 어렵다는 게 보안업계의 진단입니다.

실제로 타임스오브이스라엘은 보안 메신저 텔레그램을 통해 위조된 백신 접종 증명서를 판매하는 움직임이 포착됐으며, 해당 채팅방에 참여한 사람이 10만명 이상이라고 보도했습니다. 현지 보안 전문가인 랜 바르직은 "QR코드 기반 백신 접종 증명서가 암호화되지 않은 채로 개개인의 개인정보와 연동돼 있어 위조하기 쉽다"고 지적했습니다.

사이버범죄자들이 세계 곳곳에서 가짜 백신 접종 증명서를 돈벌이 수단으로 이용하려는 가운데, 분산ID(DID)가 기술적 대안으로 등장했습니다. DID는 블록체인을 통해 정보 주체가 필요한 정보를 유통하는 기술입니다.

중앙 서버에 정보를 모아두는 방식이 아니라 해킹에 따른 대량의 정보 유출 사태를 막을 수 있고, 블록체인 기술 특성상 위·변조도 차단할 수 있습니다. 이런 특성을 활용해 백신 접종 여부처럼 개인의 건강 상태에 해당하는 민감 정보를 안전하게 활용한다는 구상입니다.

실제로 국내 보안 기업인 라온시큐어는 미국 헬스케어 기업에 코로나19 백신 면역 증명 시스템을 시범적으로 제공하고 있다고 밝혔습니다. 직원이 격리 후 회사로 복귀하기 전 코로나19 면역 증명서를 제출해야 할 때 DID 기반 시스템을 활용하고 있고, 향후 기업 고객 대상으로도 서비스가 확대될 예정입니다.

DID 업계 관계자는 "탈중앙화된 방식으로 정보를 저장하는 DID를 접목하면 백신 접종 증명 시스템 관련 서버가 해킹되더라도 정보가 대량으로 유출되지 않는다"며 "백신 접종 증명서도 여타 개인정보들이 모두 담길 필요 없이 백신 접종 사실만 제출할 수 있기 때문에 정보 주체의 정보 통제권이 강화될 수 있다"고 강조했습니다.

국내에서도 DID 접목을 꾀하는 움직임이 나타나고 있습니다. 관련 업계에 따르면 한국인터넷진흥원(KISA)에서 추진하는 블록체인 시범사업에 일부 사업자가 코로나19 백신 접종 증명 시스템을 사업 과제로 제출한 상황입니다.