SNS 기업들, 인증 기술 관련성 있게 통합 고려해야 할 것

디지털ID 관리와 조회는 지속적으로 진화 중이다. 결론적으로, 신원 관리 및 확인은 SNS가 이용자의 일상 생활에서 보급되고 SNS 및 채팅 앱을 통해 전자상거래 활동에도 참여하기 시작한 이용자가 증가함에 따라 지속적이고 진화하게 되는데, 오프라인ID와 온라인ID가 융합하고 하고 있는 추세이다. 많은 이용자들이 자신들의 오프라인 생활을 온라인으로 공유하며, 여기에는 모바일폰 번호 및 위치 데이터 같은 정적 정보는 물론이고 개인 삶과 관심사와 관련된 정보도 포함된다. 

들어가면서

지난 해인 2016년 8월, 국내 과학기술정보통신부(구 미래창조과학부)는 ‘데이터 거래 중개 선도 시범사업’을 착수한 바 있으며, 2017년 3월 데이터진흥원이 민간기업 보유 고객 데이터 활용을 촉진하기 위한 법제도 개선 계획을 발표한 바 있다. 이처럼 데이터 거래 비즈니스 활성화에 대한 관심이 높아지는 가운데, 개인의 개인정보(Personal data) 보호에 대한 관심 또한 아울러 고조된다. 인터넷 서비스 이용을 위한 전제는 일정 수준의 개인정보 공개이며, 공개된 정보에 대해서는 서비스제공자가 언제든 이용 가능하다고 우려하게 된다. 서비스제공자는 이용 범위를 축소하거나 확대 가능하다. 하지만, 정작 회원 이용자는 스스로 그 공개 범위를 조정하는데 한계가 있어서 시장은 여전히 공급자 주도인 상황이다. 

이러한 가운데, 2014년 페이스북은 개인정보를 제공하지 않고도 자사 계정으로 다른 앱이나 인터넷 서비스에 로그인할 수 있는 ‘익명 로그인(Log in Anonymously)’ 정책을 도입하여 다른 앱들에게 제공하는 인증 플랫폼 역할을 수행하기 시작했다. 이러한 덕에 이용자는 개인정보를 모든 인터넷서비스에 제공하지 않고도 해당 서비스 이용이 가능하게 된 것이다. 이는 물론 페이스북에 대한 신뢰가 이미 형성되었다는 점을 전제로 한다. 소셜네트워크서비스(SNS)의 매월 활성 사용자(MAU) 수는 2017년 말까지 40억 개를 초과 할 것으로 예상되는 가운데, 페이스북이 그 절반인 20여억 개 MAU 수로 성장하고 있다. 

디지털 신원(Digital Identity; 이후 디지털ID) 및 이의 검증과 인증의 역할은 최근 모바일 퍼스트 고성장 시장을 비롯하여 세계 인구의 온라인 이용률이 증가하면서 최근 몇 년 동안 점점 더 중요 해지고 있다. 온라인 이용자는 SNS 및 채팅 앱에서 더 적극적으로 활동할 뿐만 아니라 결제 및 상거래를 위해서도 이들 플랫폼을 사용하고 있다. 이러한 환경에서 이용자가 자신의 디지털ID와 오프라인 신원(Offline ID; 이후 오프라인ID)과의 관계를 정의하는 방법과 SNS가 이 둘 사이의 격차를 해소하는 방법을 이해하는 것이 점차 중요해지고 있다. 

SNS는 관련 콘텐츠를 제공할 수 있도록 이용자에 대한 추가 정보를 수집하기 위해 노력하고 있으며, 아울러 플랫폼과 이용자가 악용되는 것을 방지하기 위해서도 이용자 관련 데이터를 수집하려 한다. 최근 SNS 등의 소셜 네트워크가 직면한 취약성은 사기, 가짜 뉴스 및 계정 탈취 등으로 이는 이용자 경험에 부정적인 영향을 미친다. 

또한, 온라인이용자가 자신이 사용하는 온라인 서비스와 신뢰 수준에 따라 디지털ID를 큐레이팅(또는 검열)하는 경향도 증가하고 있다. 이러한 추세는 SNS와 같은 온라인 서비스 제공업체들이 광고 목적으로 온라인 이용자들에 대해 수집하는 정보의 정확성에도 영향을 미칠 수 있다. 소셜 로그인은 온라인 서비스 제공업체가 고객이 제공한 정보의 신뢰성을 보다 쉽게 보장 할 수 있는 한 가지 방법인데, 온라인 이용자에게도 이는 소셜 로그인을 다른 유형의 온라인 서비스 공급자와 상호 작용 내지 거래할 수 있는 보다 편리하고 신뢰할 수 있는 방법으로 여겨지는 경향이 증가한다. 

디지털ID를 인증하고 검증하기 위한 기술은 수동 기능(사용자 입력이 없거나 거의 없는 신원 확인)과 능동적 기능(사용자 입력이 필요한 경우)을 포함하여 그 방법의 정교함이 계속해서 향상될 것으로 기대된다. 최근에는 블록체인이 발달하면서 블록체인을 활용한 디지털ID의 가능성에 대해서도 논의하기 시작했다. 딜로이트, IBM, 마이크로소프트 등 소수의 거대 인터넷기업들은 디지털 신원 관리를 위한 솔루션을 블록체인을 활용해 개발하고 있다. IBM은 시큐어키(SecureKey)와‘새로운 디지털ID 및 속성 공유 네트워크’를 구축하기 위해 협력을 체결했고, 딜로이트도 이더리움을 사용해 스마트 신원 플랫폼을 개발하고 있다고 한다. 본고는 보다 정교해지고 있는 디지털ID에 대해 개념을 정의하고, 디지털ID 생성을 위한 요구사항을 모바일 중심으로 간략히 살펴보고자 한다. 

디지털ID 개념과 분류

오범(OVUM)은 신원(Identity; 이하 ID)의 구성요소들을 오프라인ID, 디바이스ID, 디지털ID 등 세 가지로 구분하였다. 오프라인ID는 집주소, 전화번호, 주민등록번호, 은행계좌번호, 서면화된 사인, 여권, 운전면허증, 각종 ID 카드 등의 기존의 물리적 ID 정보를 말하며, 디바이스ID는 MSISDN/IMSI, IP 주소, 쿠키(Cookies), 디바이스 식별코드(Unique device identifier) 등의 소프트웨어적 ID 정보이고, 디지털ID는 이메일주소, 페이스북 페이지, 트위터 핸들, 왓츠앱ID, 링크드인 프로파일, e커머스 계정과 미디어, 게임 아바타 등의 서비스 상의 ID 정보를 말한다. 

이 세 가지 구성요소들 중 사람들이 생각하는 디지털ID는 오프라인ID 같은 실제 세계와 같을 수도 있고, 또한 다를 수도 있다. 즉, 온라인 이용자는 실제 세계에 연결되지 않은 ID(게임 아바타 등)에서 페이스북 프로필 같은 풍부한 개인정보를 포함한 ID에 이르기까지 디지털 신원 내지 정체성을 구축하기 위해 나름대로 소위 말하는“차등화(Sliding scale; 또는 계층화)”를 취하는 경향이 있다.  

그런데, 실제로 온라인을 넘어 모바일 사용이 범용화되면서 점차적으로 익명의 디지털ID 사용은 감소하는 추세이다. 그 이유는 다음과 같다. 

즉, 모바일 이용자들은 이제 제3자 개발자들에 의해 제공되는 다양한 앱들에게 제공한 자신의 데이터와 제공받게 되는 혜택(예: 특별 제공, 충성도 기반 프로모션 및 보다 타겟이 분명한 서비스)간의 상관성을 경험적으로 잘 알게 되었기 때문이다. 게다가, 이용자는 이제 자신의 디지털ID를 정의하는 데 있어서 계층화된(Layered) 접근도 취할 수 있게 되었다. 예를 들어, 처음 계층 (Layer)은 이메일 주소이고, 그 다음 계층은 선호하는 페이스북 같은 일반 SNS가 될 수 있으며, 또 그 다음 계층은 링크드인 같은 전문인들을 위한 SNS일 수도 있다. 다시 말해, 각 용도에 따라 온라인 내지 모바일 이용자는 이러한 디지털ID 중 하나(또는 ??그 이상)를 선택하게 된다. 

이렇게 이용자에 의핸 선택된 디지털ID의 서로 다른 계층들은 서로 연결되어 있거나, 또는 연결되어 있지 않을 수도 있다. 그러나 모바일 환경이 되면서 SNS에 이메일이 있는 경우와 같이 다양한 디지털ID를 서로 연결하는 경향이 점차 증가하고 있다. 게다가 이미 젊은 층들은 이메일 우선에서 점차 디지털ID 사용을 위해 SNS 우선으로 옮겨가고 있는 추세이다. 

구글에서 페이스북으로 옮겨가고 있다는 말이다. 또한, 이용자가 자신의 디지털ID를 온라인 세계에만 국한시킬 수 있다고 생각할 수도 있겠지만, 실제로는 자신이 사용하고 있는 디바이스 자체와 IP 주소, SNS 사이트의 쿠키와 같이 실제로 서비스 상에서 인식하지 못하는 실제세계로의 다양한 커넥터들이 있다. 요즘 부상하는 블록체인(Blockchain)도 그 중 하나이다. 

미래 신기술로 각광받고 있는 블록체인은 이미 금융권 중심으로 기존의 비즈니스 프로세스를 바꿀 새로운 패러다임으로 등장하였으며, 2016년 초 세계경제포럼(World Economic Forum, WEF)에서 제4차 산업혁명 시대를 이끌 핵심기술 중 하나로 블록체인이 선정되면서 더욱 주목받기 시작한다. 블록체인은 공공 및 사설 네트워크에서 일어나는 거래정보가 암호화되어 해당 네트워크 구성원 간 공유되는 디지털 원장(ledger)을 말하는데, 거래 원장 복사본이 각 네트워크 구성원에게 ‘분산되어(distributed)’새로운 거래 발생 시 구성원들의 동의를 통해 해당 거래가 인증된다는 개념이다.

블록체인 기반 거래정보는 임의로 변경 불가능하므로 거래의 신뢰성이 높아지고 정보 추적이 용이하다. 이러한 블록체인 기술 적용분야 중 하나로 주목받는 것이 바로 디지털 인증인 디지털신원, 즉 디지털ID 조회이다. 네트워크 참여자들이 공동으로 거래 정보를 검증, 기록 및 보관하며, 주소나 전화번호 같은 기존의 오프라인 개인정보 외에 생체 정보까지도 추가한 디지털ID로 보다 간편하고 안전한 인증이 가능해진다. 

디지털ID 생성에 필요한 대표적 요구사항들

모바일시대가 본격화되기 이전인 PC 시대에는 디지털ID 생성을 위한 요구사항으로 기껏해야 가입시 필요한 이름과 주소, 집 전화번호를 입력하는 것이었다. 하지만, 모바일시대가 발달하면서, 특히 모바일 SNS가 일반화되면서, SNS들은 이용자 확인 및 인증을 위해 모바일폰(휴대폰) 번호에 가장 먼저 의존하는 경향이 더욱 강해지고 있다. 모바일 전화번호가 첫번째 요구사항이다. 그 이유는 모바일폰 번호가 온라인 및 오프라인 신원을 연결하는 핵심 구성요소이기 때문이다. 

따라서, SNS 업체들은 디지털ID를 모바일폰 번호에 연결하려 한다. 디지털ID를 모바일폰 번호에 연결하면 오용될 경우에 추가 확인이나 경고가 용이하기 때문이다. 또한, 이는 위치 추적 등 보다 정교한 형태의 검증도 아울러 가능하게 해준다. 지속적인 인증을 통해 SNS는 일정한 간격으로 신원을 확인할 수 있다. 이것은 새로운 위치정보를 확인하거나, 다른 디바이스에서의 타이핑 속도 및 로그인의 변경을 추적하거나, 심지어는 의류 같은 시각적 단서를 모니터링함에 의해서도 수행된다. 모바일 앱들은 구글이나 애플 계정에 의존하며, 앱의 특성에 따라 SMS나 이메일 등을 통한 인증 내지 검증을 추가할 수 있다. 트위터와 페이스북 같은 기업들이 검증된 계정과 페이스북 페이지를 사용할 수 있게 함으로써 실제 신원과 일치하는 디지털ID를 인증하는 경향이 증가하고 있다. 

두 번째 요구사항은 소셜 로그인을 사용한 싱글사인온(Single sign-on; 이후 SSO)이다. 이는 SNS와 제3자 앱 간 통합을 의미하는 것이다. 즉, SSO를 통해 이용자는 오픈 아이디(OpenID)나 페이스북 커넥트(Facebook Connect), 페이스북 로그인(Facebook Login) 같은 기술들을 기반으로 하는 SNS 로그인 정보를 사용해 SNS가 아닌 타 웹사이트 및 제3자 앱에 쉽게 로그인할 수 있다. 즉, SNS가 여러 타사 사이트나 앱에 대한 기본 인증 및 확인으로 이용자에 의해 사용되는 것이다. 이를 통해 이용자들이 얻게 되는 이점은 로그인 절차의 간소화이다. 이는 개인식별정보(Personally Identifiable Information; 이후 PII) 제공 대신 제공된다. 한편, 제3자 웹사이트나 앱이 갖는 장점도 있다. 즉, 이들은 콘텐츠나 광고를 타겟팅 할 수 있는 이용자의 SNS 프로필 데이터나 소셜 그래프(예: 이름, 이메일, 고향, 관심 분야, 활동 및 친구)에 쉽게 액세스할 수 있다. 그러나 장점만 있는 것은 아니며, 단점도 상존한다. 

이는 SNS 백엔드 시스템의 안정성에 달려 있는데, 만약 로그인 세부 정보가 해킹되면, 해커는 잠재적으로 여러 웹 사이트에 액세스 할 수 있게 된다. 2017년 5월 현재 소셜 로그인이 되는 기업들은 국가마다 다양하지만, 글로벌 시각에서 보면 페이스북이나 트위터, 구글플러스(Google+), 링크드인(LinkedIn), 야후(Yahoo), 페이팔(PayPal) 같은 인터넷 기업에서 사용한다. 이러한 소셜 로그인(ID 관리) 기술을 공급하는 업체로는 기기야(Gigya), 잰레인(Janrain), 로그인래디우스(LoginRadius), 오쓰지로(Auth0) 등이 있다. 2017년 3월 기준으로 오픈 아이디(OpenID) 라이브 웹사이트 수는 1.25백만, 2016년 3월 기준으로 오픈ID 사용 계정 수는 10억 개로 파악되었다. 

디지털ID가 보급됨에 따라 사용자 확인 및 인증 기술은 더욱 정교해진다. 왜냐하면 인증된 디지털ID가 다양한 서비스에 추가됨에 따라 데이터 프라이버시 및 보안을 보장하는 주요 요인이 되기 때문이다. 

예를 들어 스냅챗(Snapchat)의 2014년 데이터 유출은 스냅챗 설립자인 에반슈피겔(Evan Spiegel)을 포함한 약 460만 명 이용자 이름과 전화번호를 노출하게 했다. 따라서, 이러한 해킹을 막기 위해 ID를 확인하는 새로운 방법들이 등장하기 시작한다. 지문인식이나 디바이스ID, 위치기반 등이 대표적이다. 얼굴인식 및 음성인식도 서서히 추진력을 얻고 있지만 아직 주류는 아니다. 여하튼, 세번째 요구사항은 “이중 요인(Two-factor)”인증이다. 이는 개인정보와 실제 속성, 또는 오프라인 속성[예로 비밀 암호 질문 및 오프라인 접속(예로 전화로 전송된 SMS 등)]을 함께 결합한다. 오프라인 속성은 강력해야 하고 SNS 이용자에게 실용적이어야 한다. 예컨대, 생체인식의 경우에 디바이스 제조업체는 결제 플랫폼에서 사용할 수 있는 지문 데이터에 액세스할 수 있게 한다. 

일부 글로벌 SNS 기업들은 이미 개인정보를 거의 제공하지 않으려는 이용자를 확인하고 인증하는 것을 비즈니스모델화 했다. 온라인 가입에 필요한 기본적인 세부 정보는 통상적으로 이름이나 연령(증명 필요 없음) 및 이메일 주소인데, 쿠키를 저장할 수 있는 기능을 통해 SNS는 이용자의 브라우징 동작과 검색 내역 및 관심사를 이해할 수 있고, 모바일 앱으로 이동하면 위치 기록과 모바일폰 번호 같이 SNS에 더 많은 개인정보가 제공 가능하다. 또한, SNS 기업은 의심스러운 활동에 대해 이용자를 지속적으로 모니터링하여 로그인하는 데 사용되는 디바이스, IP 주소 및 심지어 시간까지도 확인할 수 있다. 페이스북 같은 SNS 기업들은 위치 분석 업체들과도 제휴해 다른 앱의 이용자 데이터를 페이스북 등의 이용자 프로필과 매칭시켜 콘텐츠 선호나 이동정보 같은 더 정확한 정보들을 그들에게 제공한다. SNS 기업들은 처음에는 더 많은 정보를 요구하지 않으나, 상거래가 포함되면 이용자는 결제 정보를 요청 받게 된다. 결제 정보는 실제 신원과 연결해 인증 과정을 돕는다. 페이스북은 이용자에게 모바일폰 번호를 추가하도록 요청하는 확인 문자를 보내고, 확인된 페이지인지 확인하도록 인증 콜을 보낸다. 만약 계정이 부정 행위와 관련되면 확인과정은 심화된다. 예를 들어, 인스타그램(Instagram) 이용자가 의도적으로 또는 비의도적으로 인스타그램 사용 규칙을 위반할 경우에 등록된 모바일폰 디바이스로 일회용 패스워드인 OTP(one-time password) 전송과 함께 계정 소유자의 사진까지도 제공하도록 요구함으로써 재확인 작업이 이루어진다. 

나가면서

이상의 세 가지 대표적인 요구사항들과 관련되는 이슈 또한 존재한다. 일반 SNS 및 채팅 앱들이 디지털ID의 이용자 큐레이션을 도와줄 수는 있지만, 다른 한편으로는 이용자 데이터의 정확성에 대한 의문이 제기될 수도 있다. SNS 이용자들은 자신이 공유하는 콘텐츠를 검열하거나 큐레이션하여 자신들의 디지털ID를 실제와 다른 디지털페르소나(Digital Persona)로 만들 수도 있다. 즉, 이용자들은 자신들이 원하는 최상의 버전을 만들거나, 자신들이 원하는 사람을 만들거나, 심지어 완전히 다른 성격과 개성을 지닌 그 누군가를 만들 수도 있다. 또한, 이용자들은 SNS 사이트들을 비롯한 여러 웹사이트들에 개인 데이터를 어떻게 제출할 까 관심 갖는다. 즉, 어떤 이용자는 의도적으로 본인의 신원과 전혀 다른 출생일 등 부정확한 정보를 제출할 수도 있다. 이는 SNS 기업에게는 예컨대 타켓광고에 활용되도록 광고주 브랜드들에 제공하는 이용자 데이터의 정확성 이슈에 직면하게 한다.

SNS 사이트의 또 다른 잠재적 이슈는 가짜 이용자 프로필을 만들어 악의적 목적으로 사용될 수도 있다는 우려이다. 그렇게 되면, 점차적으로 가짜 뉴스나 잠재적인 사기성 사례들을 퇴치하기 위해 SNS 기업들은 더욱 책임을 안게 된다. 믿을 만한 것에서부터 완전히 사실이 아닌 것에 이르기까지 다양한 뉴스 기사를 발표하는 경우 종종 심각한 결과를 초래할 수도 있기 때문에 가짜 뉴스는 점점 더 이슈화되고 있다. 이용자를 악의적인 사이트로 유도하는 클릭 미끼 형태로 위장된 뉴스는 이용자의 계정을 손상시킬 수도 있기 때문에 상당히 위험하다고 하겠다. 

최근 SNS 선두 주자들에 의해 가짜 뉴스 문제를 해결하려는 노력이 시작되었다. 가장 최근 예로, 페이스북이 1,400만 달러의 창립 자금을 제공한 컨소시엄인 “뉴스 무결성 이니셔티브(News Integrity Initiative: NII)”이다. 이 이니셔티브의 목표는 “사람들이 읽고 서로 공유하는 뉴스에 대해 정보에 근거한 판단을 내릴 수 있도록 돕는 것”이다. 구글도 가짜 뉴스와 싸우기 위해 광고네트워크인 애드센스(AdSense)의 광고 게시자 200명을 금지시키는 조치를 단행했다. 이 광고게시자들은 실제 뉴스 조직 사이트를 가장한 사이트들이다. 더블베리파이(DoubleVerify)나 인테그랄애드사이언스(Integral Ad Science) 같은 서비스들은 SNS 기업들이 설정한 가이드라인에 맞는지 광고들을 스크리닝한다.

디지털ID 관리와 조회는 지속적으로 진화 중이다. 결론적으로, 신원 관리 및 확인은 SNS가 이용자의 일상 생활에서 보급되고 SNS 및 채팅 앱을 통해 전자상거래 활동에도 참여하기 시작한 이용자가 증가함에 따라 지속적이고 진화하게 되는데, 오프라인ID와 온라인ID가 융합하고 하고 있는 추세이다. 많은 이용자들이 자신들의 오프라인 생활을 온라인으로 공유하며, 여기에는 모바일폰 번호 및 위치 데이터 같은 정적 정보는 물론이고 개인 삶과 관심사와 관련된 정보도 포함된다. 

인증 플랫폼 역할을 시작한 SNS는 이용자가 해킹 당하거나 다른 방식으로 악용되는 것을 방지하고 이용자가 사용할 수 있는 도구와 기술을 알 수 있도록 하는 도구를 지속적으로 제공해야 한다. 

물론, 복잡한 신원 확인 프로세스가 SNS 성장을 저해 할 수도 있다는 우려도 제기될 수 있다. 초기 신원 확인 프로세스가 간단하고 직관적이어야 하며 이용자 노력이 거의 필요하지 않아야 비즈니스가 발전할 수 있기 때문이다. 따라서, SNS들은 이용자의 모바일폰 번호에 OTP를 보내 이용자를 확인하기도 한다. 

특히 많은 이용자가 신용카드 정보와 은행계좌 정보를 계정에 연결하면 보안 및 개인정보 보호 이슈는 더욱 중요해진다. 위챗(WeChat)이나 라인(LINE) 같은 채팅 앱들에는 이미 이용자의 재무 정보가 기록되어 있다. 행동 분석 및 생체 인식을 포함해 SNS에서 사기 및 계정 도용을 탐지하는 새로운 기술이 끊임없이 개발되고 있는데, 채팅 앱을 포함한 다양한 유형의 SNS 기업들은 이러한 기술을 관련성 있게 잘 통합하는 것을 고려해야 할 것이다. 

---------------------------

본고는 2017년도 정부(과학기술정보통신부)의 재원으로 정보통신기술진흥센터의 지원을 받아 수행된 연구의 일부임[R0190-15-2027, 고신뢰 사물지능 생태계 창출을 위한 TII(Trusted Information Infrastructure) S/W 프레임워크 개발].

송민정 교수 한세대학교 미디어광고학과