후안 파블로 가르시아 카이레요(AGESIC 디지털 신원 관리자) 작성

 

작성자: Juan Pablo García Cairello

보도일자: 2025년 7월 4일

출처: Biometricupdate.com

 

2023년, G20 정상들은 디지털 공공 인프라(DPI, Digital Public Infrastructure)를 “사회적 규모에서 공공 및/또는 민간 서비스에 공평하게 접근할 수 있도록 공유되고, 안전하며, 상호운용 가능한 디지털 시스템을 개방형 기술에 기반해 구축한 것”으로 정의했다. DPI는 2015년 모든 유엔 회원국이 채택한 ‘2030 지속가능발전의제(Agenda for Sustainable Development)’의 일환으로 설정된 17개의 지속가능발전목표(SDGs)를 달성하기 위한 촉진제로 간주된다.

 

디지털 신원, 데이터 상호운용성, 결제 수단이라는 세 가지 축을 기반으로 한 핵심 디지털 기술, 시스템, 표준 및 서비스를 포함하는 DPI의 발전은 사람들의 삶의 질을 향상시키는 데 중요한 요소다.

 

핀데믹 동안 우루과이에서 부동산이나 사업 문제를 해결해야 했던 외국인 재산 소유자나 사업가들은 직접 우루과이에 올 수 없었다. 디지털로 서비스를 제공하려 해도, 신뢰할 수 있는 우루과이 디지털 신원(Digital ID)이나 신원 확인 수단이 부족해 어려움을 겪었다. 이것은 디지털 신원의 활용 방식을 수십 년간 사용해 온 전통적 신원 방식 수준으로 발전시켜야 할 필요성을 드러냈다. 즉, 외국인이 우루과이 신원 제공업체를 통해 계정을 발급받아야 하는 대신, 자국에서 발급받은 신뢰할 수 있는 디지털 ID를 활용해 우루과이의 디지털 서비스를 이용할 수 있어야 한다는 것이다. 이러한 상황을 토대로, 디지털 공공 인프라를 규율하는 개념 아래 이 방향으로 나아가기 위한 계획이 수립되었다.

 

우루과이의 디지털 신원 생태계

수년 전부터 다양한 인터넷 디지털 서비스들이 ID 제공업체를 통합하기 시작하며 사용자 식별을 이들에게 위임하고 있다. 마찬가지로, 대규모 사용자 자격증명 허브들도 디지털 신원(ID) 제공업체로서 자리잡기 시작했다. 오늘날 우리는 Google, Apple, LinkedIn, Facebook 계정(ID)으로 Spotify, Booking 및 수많은 디지털 포털과 서비스에 접속할 수 있다. 이러한 추세는 디지털 환경에서 절차를 단순화하고 위험을 줄여준다.

 

일부 국가는 국가 디지털 신원 시스템이라는 비전을 가지고 통합 디지털 ID 서비스, 이른바 “싱글 계정(single account)” 서비스를 개발 중이다. 우루과이와 브라질에서는 EU와 NIST(미국)에서 추진하는 규제 체계와 모범 사례를 참고하여 국가 디지털 ID 생태계 구축을 향해 나아가고 있다. 이렇게 해서 이 지역에 디지털 ID 브로커가 등장했으며, 대표적으로 ID Uruguay가 있다.

 

디지털 ID 브로커는 디지털 시스템과 그 생태계에 적합한 디지털 ID 제공업체 사이에 위치하는 플랫폼이다. 아래 도표는 이를 단순화해 보여주고 있다.

이 생태계 내 디지털 서비스에 접근하려는 시민은 브로커를 통해 ID 제공업체를 선택, 해당 제공업체로 디지털 신원 확인을 진행한 뒤 다시 서비스로 돌아가 본인의 정보를 이용한다. 서비스들은 개인의 디지털 식별(또는 인증)을 브로커와 통합된 ID 제공업체에 위임한다. 이로써 전통적 신분증과 마찬가지로, 개인의 디지털 ID는 생태계 전반에서 고유하게 작동한다. 또한 브로커는 싱글 사인온(SSO) 역할을 수행해, 모든 통합 서비스에서 세션을 유지하므로 사용자가 각 서비스마다 따로 신원을 확인할 필요가 없다.

 

우루과이에서는 브로커 ‘ID Uruguay’가 2018년부터 운영되고 있으며, 현재 전자인증기관(UCE)의 규제를 받는 4개의 디지털 ID 제공업체가 3가지 신뢰 또는 보안 수준으로 디지털 ID를 관리하고 있다.

• 기본(Basic): 사용자가 온라인에서 가입 후 이메일로 계정을 검증하고, 시스템에서 간단한 검사를 거치지만 실제 그 사람이 맞는지는 확인되지 않은 상태다. 디지털 신원 확인 시 사용자 이름과 강력한 비밀번호를 사용한다.
• 중간(Intermediate): 처음에는 기본 사용자로 등록한 뒤, 대면, 얼굴 생체인식을 통한 화상통화, 디지털 서명을 통한 인증 등 허가된 방법으로 신원을 검증한 사용자다. 디지털 식별 시 사용자 이름, 강력한 비밀번호, 그리고 두 번째 인증 요소를 사용한다.
• 고급(Advanced): 제공업체에서 대면으로 등록하고, 공공등록부에서 지문을 생체적으로 대조해 검증한 사용자다. 이 등록은 유효기간이 있어 주기적으로 갱신해야 한다. 디지털 식별 시에는 국가 공개키 기반구조(PKI)가 인정하는 디지털 인증서를 사용, 고급 전자서명으로 신원을 증명한다. 우루과이 규정에 따르면 이 수준은 대면 접근과 동등하게 간주된다.

 

현재 ID Uruguay에는 190개 이상의 서비스, 포털, 공공기관, 시민 및 정부 내부 관리용 디지털 시스템이 통합되어 있다. 평일 기준 하루 평균 9만 건 이상의 식별이 수행되고 있다. (우루과이 인구는 350만 명). 지난 1년간 고급 수준 사용이 기본 수준을 넘어서는 등, 생태계 전반에서 더 높은 보안과 신뢰를 확보하게 되었다.

 

ID Uruguay 생태계는 최근 몇 년 동안 빠르게 성장했다. 2021년에는 ID Uruguay를 통해 600만 건의 인증이 이루어졌고, 2022년에는 50% 이상 증가해 900만 건을 기록했으며, 최근 2024년에는 1,700만 건의 디지털 인증이 수행되었다. 이 중 30%가 고급 수준 인증을 사용해, 서비스 제공자와 사용자 모두에게 완전한 신뢰를 제공했다.

 

이 지역에서의 초기 통합 경험

라틴아메리카 및 카리브 전자정부 네트워크(Red Gealc)의 지원을 받아, 이 지역에서 디지털 ID 통합을 위한 최초의 파일럿 프로젝트들이 시작되었다. 2023년에는 ID Uruguay가 이를 위해 개발된 아르헨티나의 디지털 ID 브로커 Autenticar와 테스트 단계에서 통합되었다. 곧이어 ID Uruguay와 동일한 표준을 적용하되 훨씬 더 대규모로 운영되는 브라질의 브로커 GOV.br(월 3억 건 접속, 4,500개 디지털 서비스 통합)와의 작업도 시작됐다.

 

세 나라의 팀들은 협력과 토론, 학습의 과정을 함께 거치면서, 만약 브로커 간의 직접 연결하면 각 브로커가 상대방을 ID 제공업체 그룹으로 간주하게 된다는 결론에 도달했다. 즉, 브로커는 단순히 국가 디지털 ID 생태계를 구축하는 역할에 그치지 않고, 지역 차원의 신원 확인 표준화를 보장하는 핵심 요소라는 점이 확인되었다. 그리고 2024년 10월, 역사적인 이정표가 세워졌다. ID Uruguay와 GOV.br의 통합으로 라틴아메리카 및 카리브에서 최초의 디지털 ID 통합 서비스가 실제 운영(프로덕션) 단계에 들어간 것이다. 이를 통해 브라질 국민들은 자국의 신뢰받는 디지털 ID를 이용해 우루과이의 40개 디지털 서비스에 접근할 수 있게 되었다. 이는 과거 수십 년 동안 브라질인이 우루과이를 직접 방문해 신분증이나 여권으로 각종 절차를 처리해온 것과 같은 방식이지만, 디지털 환경에서 제공되는 모든 혜택을 누릴 수 있게 된 것이다.

 

Autenticar와의 테스트 경험, 그리고 GOV.br와의 실제 운영 경험은 디지털 ID 브로커가 ‘디지털 정부 플랫폼의 빌딩 블록’ 구조 속에서 국경을 넘는 디지털 ID를 가능하게 하는 핵심 요소임을 입증했다. 이를 통해 DPI(디지털 공공 인프라) 내 디지털 ID 축을 표준화된 방식으로 발전시키는 중요한 진전을 이루게 되었다.

 

이러한 국가 간 공동 창출(co-creation) 과정은 최초의 국경 간 디지털 ID 사례를 실현했을 뿐만 아니라, 지역 전체에 국경 간 디지털 ID를 확산하기 위한 표준을 설계하고 검증하는 데에도 기여했다. 여기에는 각국 팀 간의 협력적 환경과 국제기구들의 지원이 매우 중요한 역하을 했다.

 

브로커는 국경 간 디지털 ID를 가능하게 한 뿐 아니라, 국가 디지털 ID 생태계를 구축함으로써 여러 중요한 장점을 제공한다:

• 하나의 국가에서 복수의 공공 및 민간 디지털 ID 제공업체를 둘 수 있어 혁신을 촉진하고 더 넓은 커버리지를 달성할 수 있다.
• 브로커를 지능형 사이버보안 서비스와 통합하면 생태계 전체에 걸쳐 모든 디지털 ID를 강화할 수 있어, 위험을 줄이고, 효율성을 높이며, 보안 투자도 최적화할 수 있다.
• 신뢰할 수 있는 대규모 통계 정보를 생산해 정책 결정이나 오픈데이터 생성에 활용할 수 있다.
• 국가 생태계와 국제 생태계를 분리하면서도, 두 영역 간 필요한 데이터 변환 및 검증을 수행할 수 있다.
• 탈중앙화 ID(Decentralized ID), 검증가능 자격증명(Verifiable Credentials) 같은 새로운 혁신적 디지털 ID 방식을 OIDC3VC(Open ID Connect for Verifiable Credentials)로 디지털 서비스에 적용할 때도, 단순히 이를 브로커에 통합하기만 하면 된다.

 

DPI 핵심 축으로서 디지털 신원 구축을 표준화·지속가능·안전하게 확장하기 위한 모델

이 경험을 바탕으로, 우리는 GEALC 네트워크 회원국들과 함께 모델 브로커(model broker)를 구체화하기 위한 작업을 진행했다. 이 과정에서 미주개발은행(IDB)과 미주기구(OAS)(네트워크 출범 초기부터 지원), 그리고 최근에는 세계은행(World Bank)과 코디벨롭(Co-Develop)의 지원을 받아 프로젝트를 설계하고 개발 자금을 확보할 수 있었다. 이 이니셔티브는 디지털 공공 인프라(DPI) 개발에 관여하는 글로벌 주요 기관들의 폭넓은 관심을 불러일으켰는데, 여기에는 디지털 공공 인프라 센터(CDPI), 추후 개발이 완료되면 해당 모델 브로커를 공식적으로 인증하려는 목표를 가진 디지털 공공재 연합(Digital Public Goods Alliance), 그리고 50 in 5 등이 있다.

 

현재 개발이 진행 중이며, 올해 말까지 디지털 ID 브로커의 최소 실행 가능 제품(MVP)을 선보일 계획이다. 이 모델 브로커 개발 프로젝트는 이 지역에서 여러 과제를 동반한다:

• 브로커 MVP를 개발해 파일럿 국가에서 구현을 시작하는 것. 각국에서 이러한 구현은 상당한 도전 과제인데, 규제 프레임워크, 인프라, 거버넌스를 포함해 국가 디지털 ID 생태계를 구축해야 하기 때문이다.
• 동시에, 각국에서 외국인이 자국 ID를 활용해 이용할 수 있는 관심 서비스(사용 사례)를 조율 중이다. 이와 관련해 대외무역, 세무 행정, 이민, 관광 등 다양한 분야를 포함시키기 위한 진전이 이루어지고 있다.
• 올해 말까지 일부 국가에서 모델 브로커를 실제 구현하고, 이를 ID Uruguay 및br와 통합해 주요 사용 사례에서 활용하는 것이 목표다.

 

미래 비전

2026년 동안, 브로커는 더욱 발전하고 무엇보다 사용하는 국가 수를 늘려, 각국에서 국가 디지털 신원 생태계를 구축하고 이를 서로 연계해 국경을 초월한 디지털 신원 확인을 가능하게 하는 것을 목표로 할 것이다.

 

또한, OIDC4VC를 통한 검증가능 자격증명(Verifiable Credentials) 활용이나 FIDO2와 같은 비밀번호 없는 인증(passwordless) 등 더 안전하고 사용하기 쉬운 식별 방법을 통합하려는 시도도 이어질 것이다. 이는 수십 년 전에 만들어진 “사용자 이름과 비밀번호” 모델이 이제는 점점 구식이 되고 다양한 형태의 공격(피싱, 유출, 브루트포스, 사전 공격, 악성코드 등)에 취약해지고 있기 때문이다. 따라서 이를 지속적 인증(continuous authentication)이라는 개념 아래 발전시킬 예정이다.

 

브로커가 개발되면, GEALC 네트워크가 조정자가 되어 관련 이해관계자들과 함께 거버넌스를 논의하고, 더 많은 국가를 통합하기 위한 작업을 이어가야 한다. 라틴아메리카 및 카리브 전체로 보다 지속가능하게 확장하기 위해서는, 각국이 한 번만 연결하면 되는 “브로커 허브(broker hub)”로 진화해야 할 필요가 있다. 이를 위해 허브의 거버넌스와 아키텍처, 그리고 분산형 모델을 추구할지 중앙집중형 모델을 추구할지를 결정하기 위해 기술적·규제적 토론의 장을 열어야 한다.

 

이 모델 브로커는 여러 국가가 사용할 수 있는 디지털 공공재(DPG, Digital Public Good)로 접근하고 있다. GEALC 네트워크가 개발하는 이 DPG는 디지털 신원 생태계를 구축하고자 하는 국가들이 활용할 수 있으며, 앞서 언급한 다양한 국제기구를 통해 다른 대륙으로 확산해 유사한 생태계 도입 가능성을 탐색하는 데도 사용될 수 있다.

 

영향

라틴아메리카 및 카리브 지역에서 국경을 초월한 디지털 신원 확인을 달성하기 위한 이 전체 계획에서 가장 중요한 점은 항상 우리가 이루고자 하는 ‘영향(임팩트)’을 염두에 두는 것이다. 우리가 추구하는 것은, 사실 이미 수십 년 동안 전통적인 신원 방식으로 자연스럽게 이루어져 온 것을 ICT가 제공하는 모든 혜택을 활용해 디지털로 실현하는 것이라는 점을 잊지 않아야 한다. 즉, 어느 나라 사람이든 자국에서 발급받은 신뢰할 수 있는 디지털 ID를 이용해 다른 나라의 디지털 서비스에 접근할 수 있어야 한다. 이 단순한 행위 하나로 이 지역 내 모든 디지털 서비스를 국경 밖 다른 나라에서 원격으로 제공받을 수 있게 되며, 이는 디지털 공공 인프라(DPI) 발전에 있어 상당한 진전을 의미한다.

 

대외무역, 관광, 교통, 이민, 세무 해정 같은 분야에서 외국인이 안전하고 간단하게 서비스에 접근할 수 있게 될 것이며, 반대로 사람들은 자택에서 매우 간단하고 신뢰성 높은 방식으로 다른 나라의 서비스를 최소 비용으로 이용해 자신의 필요를 충족할 수 있게 된다. 아직 갈 길은 멀지만, 대형 국제기구들과 무엇보다도 다양한 관점과 역량을 가진 각국의 뛰어난 전문가들이 힘을 모으고 있다는 사실은 이 여정을 훨씬 더 수월하고, 즐겁고, 매력적으로 만들어 라틴아메리카 및 카리브 지역의 디지털 공공 인프라(DPI)에서 ‘디지털 신원(Digital Identification)’ 축을 지속가능하고 표준화된 방식으로 발전시켜 나가겠다는 도전에 기꺼이 나서게 만든다.

 

이 기사는 디지털 공공 인프라 센터(Centre for Digital Public Infrastructure)에서 제공했다.

 

저자 소개

후안 파블로 가르시아 카이레요(Juan Pablo García Cairello)는 라틴아메리카에서 20년 이상 ICT 분야 경력을 쌓은 컴퓨터 공학자이자 정보보안 전문가로, 현재 우루과이 AGESIC의 디지털 서명 및 신원 관리 책임자이자 전자 인증 기관(UCE) 기술 고문으로 활동하고 있다.