불투명성, 기술만능주의, 기관의 영향력, 면역 증서에 블록체인을 적용함으로써 발생하는 리스크. ID2020의 기술자문 엘리자베스 르니에리스가 지난달 29일 사임 의사를 밝힌 이메일에서 꼽은 ID2020의 문제점들이다.
“이제 ID2020의 사명이 무엇인지 자신있게 이야기할 수 없게 되었다. 그저 탈중앙화 신원 솔루션을 띄우는 데만 열정적으로 매달려있는 것 외에는 관심이 없어 보인다.” – 엘리자베스 르니에리스, ID2020 전 기술 자문
르니에리스는 하버드대학교의 버크만 클라인 센터에서 근무하는 연구원이자 국경을 넘나드는 데이터 보호와 프라이버시 분야의 전문가다. 이전에 두 곳의 디지털 신원 스타트업에서 자문으로 근무했다.
팬데믹으로 인한 프라이버시 침해와 관련한 르니에리스의 우려는 지난달 중순에 발간된 백서에도 나타나 있다. 르니에리스는 바이러스에 항체가 있다는 걸 증명하는 면역 증서 도입이 사람들의 프라이버시, 집회 결사 및 이동의 자유를 침해할 수 있다고 주장했다.
“정부에서 블록체인 기반 코로나19 면역 증서나 면역 여권을 채택하면 시민들의 인권과 자유에 심각한 문제를 초래할 것이다.” – 엘리자베스 르니에리스
이번 불협화음으로 ID2020 내부에서 분산원장기술(DLT)을 어디에 사용할지, 그리고 적용했을 때 문제를 해결하기보다 더 많이 양산해낼 분야는 무엇인지에 관한 이견이 있다는 점이 드러났다. 특히 면역 증서 발행을 둘러싼 갈등은 첨예하게 이어지고 있다.
르니에리스는 마이크로소프트 등의 기업이 시스템 개발에 어떤 영향을 미칠지 우려한다.
“누가 개발하는지에 따라 심각한 취약성이 생겨난다. 기술적인 문제 만큼 중요한 사안이다. 이 문제에 블록체인이 적절하지 않은데도 억지로 끼워맞추고 있다.” – 엘리자베스 르니에리스
면역 증서
면역 여권이나 증서는 코로나19 항체 검사에서 양성이 나오면 개인이 받을 수 있는 디지털 또는 물리적인 문서다. 병을 겪고 나서 항체가 생기면 어느 정도 면역력이 생긴다. 그러나 코로나19에도 항체가 효과가 있는지, 면역이 얼마나 오래 지속하는지는 아직 연구 단계에 있다. 면역 여권은 사람들이 직장으로 돌아가고 더 큰 이동의 자유를 누릴 수 있게 해줄 수 있다.
4월 말 세계보건기구(WHO)는 면역 여권에 관해 “코로나19에 감염된 후 완치 판정을 받고 항체를 보유한 사람들이 다시 감염되지 않는다는 증거는 아직 없다”고 경고한 바 있다. 그러나 칠레 같은 국가는 WHO의 경고를 무시하고 증서를 도입하겠다고 밝혔다.
ID2020는 공공과 민간부문이 함께 만든 연합으로, 마이크로소프트, 액센추어, 하이퍼레저 등의 파트너들이 참여하고 있다. ID2020에서는 “디지털 ID 솔루션과 기술”의 설계, 투자, 보급을 위한 글로벌 모델을 개발하는 것을 목표로 하고 있다.
ID2020은 지난 4월 발간한 백서에서 정책 입안가, 기업, 시민사회단체에 디지털 건강 증서나 면역 증서는 프라이버시와 시민의 자유를 보호하기 위해 설계되었다며, 설계 취지에 맞게 사용될 수 있도록 함께 노력해줄 것을 촉구했다.
르니에리스의 말에 따르면, ID2020은 백서에서 코로나 증서 이니셔티브(Covid Credentials Initiative)와 마이크로소프트의 블록체인 작업을 언급하며 블록체인이 면역 증서를 둘러싼 프라이버시와 신원 문제를 위한 해결책이 될 수 있다고 주장했다고 한다. 그러나 르니에리스가 블록체인이 효용이 있을지에 관해 제기한 질문과 우려사항은 기록에서 삭제되었다. ID2020에서 이로 인해 발생할 기술적인 문제를 피하고자 했기 때문이었다.
르니에리스는 코로나 증서 이니셔티브가 블록체인 기반 접근방식이 불러올 기술적인 리스크는 인정하지 않고, 모든 기술적인 솔루션에 적용될 수 있는 전반적인 리스크만 강조하고 있다며 비판했다. 또한, 백서가 다코타 그루너 전무의 개인적인 의견임을 명시한 채로 발행될 것이라고 들었지만, 언론에서 이를 ID2020의 공식 입장인 것처럼 보도했다고 말했다.
“나는 인권은 등한시하고 상업적인 이익에 좌우되는 기관에서는 일할 수 없다고 판단했다. 현재로서 잃을 것이 너무 많다.” – 엘리자베스 르니에리스
ID2020과 마이크로소프트의 답변
그루너 전무는 기술이 만병통치약이 아니며, 윤리적인 도입과 투명성을 보장하기 위해 목적에 부합하는 탄탄한 신뢰 프레임워크와 법적인 방안이 마련되어야 한다고 말했다.
ID2020은 시민 자유와 디지털 프라이버시를 옹호하는 단체에 피드백을 구했다. 이를 증서 시스템의 기술적인 아키텍처에 반영하기 위해서다.
“많은 사안이 걸린 문제다. 우리에게 주어진 기회는 단 한번뿐이다. 보호장치가 마련돼 있다고 해도, 증서가 현재 우리가 당면한 문제를 해결하기에 역부족일 수 있다. 그러나 보호장치가 없다면, 문제가 해결되기보다는 오히려 양산될 것이다.” – 다코타 그루너, ID2020 전무
마이크로소프트는 이 문제에서 지나친 영향력을 행사하지 않으려 노력하고 있다고 답했다.
“마이크로소프트는 지난 2년간 탈중앙화 신원 재단(DIF, Decentralized Identity Foundation), ID2020 등의 산업 파트너와 협업하며 표준에 기반해 프라이버시를 강화해주는 신원 시스템을 위한 기초 작업을 해왔다. 이를 통해 사람들이 개인적인 정보를 어디에 저장하고 누구와 공유할 것인지를 선택하도록 해줄 수 있다. 핵심은 한 회사나 조직이 소유하거나 통제할 수 없는 시스템을 설계하는 것이다. 신뢰를 위해서는 시스템이 본질적으로 탈중앙화되어야 한다고 생각한다.” – 알렉스 시몬스, 마이크로소프트 신원 프로그램 관리 부사장
코인데스크가 전에도 보도한 바 있지만, 여러 단체와 기업들이 블록체인 기반 면역 증서를 적극적으로 검토하고 있다.
르니에리스는 지난 5월 인디애나대학교 의과대학의 글로벌 보건 연구원 셰리 부처와 프라이버시와 보안을 강화하는 첨단 기술을 연구, 개발, 설계하는 스트레인저 랩스(Stranger Labs)의 CEO 크리스찬 스미스와 논문을 함께 썼다.
이들은 논문에서 ID2020의 이니셔티브를 비판했다. ID2020의 이니셔티브는 비표준 탈중앙화 신원인증(DID, decentralized identifier)과 DLT를 갖춘 검증 가능한 자격증명(VC, Verifiable Credential)을 위해 월드와이드웹 컨소시엄(W3C, World Wide Web Consortium) 표준을 결합할 것을 제안하고 있다. 논문에서 저자들은 이니셔티브의 아키텍처가 미성숙한 표준, 실험적인 기술, 추측에 근거한 요건에 기초한다며, 이러한 솔루션이 면역 증서 같은 공공 보건 문제에 핵심적인 역할을 하는 데 의문을 표했다.
이들은 최종 소비자를 위한 확실한 개인 키 관리 방법도 없다고 비판했다. 특히 디지털 면역 여권은 오프라인 관리 예시를 포함해야 하며 검증 가능한 자격증명(VC) 사양이 단순히 “데이터 모델을 제공할 뿐 완전한 프로토콜이나 솔루션을 제공하지 않는다”고 주장했다.
· Translated by NewsPeppermint.
제보, 보도자료는 contact@coindeskkorea.com