‘백신여권 기술사 선정 논란’ 국회 질의서 단독 입수
질병청 "코인 발행사, 수수료 부담 문제 이유로 제외"
과기부 등에 설명했다 vs 기술평가서 구경도 못해
블록체인에 DID 저장 안해…전문가들 "검증 어찌 하려고"

질병관리청의 블록체인 기반 백신여권(접종증명 앱, 쿠브)의 해외 상용화는 사실상 불가능한 것으로 확인됐다. 핵심 기술인 분산신원증명(DID, 블록체인 기술로 신원을 증명하는 기술) 기술이 제대로 적용되지 않았기 때문이다. 이로 인해 증명서의 효용성 논란이 크게 일 것으로 보인다. 신종 코로나바이러스 감염증(코로나19) 백신 공급도 원활하지 못한 가운데 백신여권 마저 제 구실을 하지 못할 수 있어 우려가 제기된다.

/쿠브 웹사이트 갈무리
/쿠브 웹사이트 갈무리
12일 IT조선이 노웅래 더불어민주당 의원실로부터 단독 입수한 질병청의 ‘블록체인랩스와 맺은 업무협약 관련’ 답변서에 따르면 질병청은 블록체인에 DID를 저장하지 않는 것으로 확인됐다. DID를 블록체인에 저장하지 않으면 자격검증이 사실상 불가능하다.

엇갈린 답변…질병청 "논의했다" vs 과기부·KISA "기술평가서 구경도 못해"

우선 백신여권에 블록체인 기술을 제공하는 기술사 선정 배경과 관련해 질병청과 과학기술정보통신부·KISA 등의 답변이 엇갈린다.

질병청은 ‘과기정통부 및 인터넷진흥원(KISA)과의 협의 여부’ 관련 질의에 "지난 3월 별도로 설명한 사실이 있다"면서 "개별 정부부처에서 전자증명서 발급을 위해 과기부나 인터넷진흥원에 별도로 협의절차를 의무화하지는 않는다"고 했다. 회의록 제출 여부와 관련해서는 "별도 회의 일정을 잡지 않고 수시 보고로 진행했다"며 대답을 피했다.

반면 과기부와 KISA 답변은 다르다. 질병청이 자체적으로 사업을 추진하고 있어 관련 기술평가서나 검토보고서 등을 본 적이 없다고 밝혔다. 과기부와 KISA는 "질병청이 자체 백신접종증명 사업을 추진하고 있어 블록체인랩스 선정과 관련한 검토보고서나 기술평가서를 갖고 있지 않다"고 했다.

또 "블록체인 시범사업을 통해 민간 사업자로부터 백신 접종증명서 과제를 제안 받았고, 우선협상 대상자를 선정해 협상 중에 있다"며 "이를 추진하기 위해선 질병청의 데이터 개방이 필요해 해당 내용을 논의했지만, 질병청으로부터 아직 데이터를 개방하기 어렵다는 입장을 전달 받았다"고 밝혔다.

업체 선정 배경과 관련해 질병청은 ‘선정이 아닌 업무협약’이라는 점을 강조하며 "블록체인 내 가상자산을 두는 경우 블록체인 활용 시 가상자산으로 수수료를 부담할 수 있기 때문에 검토 대상에서 제외했다"고 설명했다. 이어 "타 국가와 블록체인을 공동 활용할 수 없으면 한국 내 접종자가 국외에서 인증이 어려운 점도 고려했다"고 덧붙였다.

이와 관련해 과기부·KISA 관계자는 "DID 업체 중 코인 발행사들은 이미 수년 간 정부 공공과제를 수행하면서 공공과제와 코인과의 연결고리를 끊어냈다"며 "블록체인을 활용한다고 해서 코인으로 수수료를 부담하지 않는다는 의미다. 이 점은 질병청에도 여러번 설명했다"고 말했다.

실제 가상자산에 대해 부정적 기조를 유지하는 금융위도 지난 몇 년간 일부 코인 발행 업체에 금융위 금융혁신서비스 인가를 내줬다. 공공과제와 코인 활용 연결고리를 끊어내면서 문제를 원천차단했기 때문이다.

여실히 드러난 부족한 기술 이해도…전문가들 "상용화·효용성 0점"

질병청의 답변서는 블록체인 기술 이해도가 부족하다는 점을 여실히 드러냈다. 전문가들은 특히 백신 접종증명 앱의 상용화 및 효용성 부분에 있어 심각한 우려를 제기했다.

우선 질병청은 ‘블록체인에 저장된 DID를 누구든 열람 가능하느냐’는 질의에 "DID는 단말기에서 생성·보관되며, 블록체인에는 저장되지 않는다"며 "DID는 특정 개인의 고유식별자로 제3자가 확인 불가능하도록 구현했다"고 답했다.

전문가들은 탈중앙화 신원 관리에서 블록체인을 사용하는 목적을 제대로 알고 있다면 이러한 답변이 나올 수 없다고 입을 모은다. DID를 블록체인에 저장하지 않으면 증명서 검증자는 증명서 제출자가 증명서 상의 개인과 동일인인지 확인할 수 없기 때문이다.

익명을 요구한 한 보안업계 전문가는 "질병청 답변은 DID 데이터 포맷에 따른 전자문서만 활용하고, 블록체인을 활용한 DID 기술은 부재를 고백한 것이나 마찬가지다"라고 꼬집었다.

질병청은 또 답변서에 구체적인 활용처가 없다는 이유로 쿠브 앱에 본인확인 기능을 별도로 마련하지 않았다고 고백했다. 이를 두고 블록체인 업계 한 전문가는 "W3C 표준(Decentralized Identifiers v1.0)에서 정의한 DID를 본인인증 증명 및 예방접종증명 용도에 맞게 개발하지 않았다"며 "증명서 원본 검증은 가능하지만, 증명서 제출자가 증명서 상의 개인과 동일인인지 확인할 수는 없는 ‘팥소 없는 찐빵’과 같은 양상이다. 아무나 증명서를 도용할 수 있다는 의미다"라고 지적했다.

그는 이어 "DID 개인키는 단말기에만 저장되는 것이 맞지만, 증명을 위해서는 공개키가 포함된 DID문서 만큼은 블록체인에 저장돼야 한다"며 "증명서 검증자가 특정 개인을 식별하는 수단으로 사용돼야 하기 때문이다"라고 설명했다.

상용화 여부도 빨간불이 켜졌다는 평가다. 질병청은 "블록체인 노드를 국가 간 공유하는 방식으로 구현하겠다"며 "증명서 원본 검증을 위한 킷 값만 블록체인에 저장하도록 합의 알고리즘을 구현했다"고 설명했다. 특히 해외 기관에서 인증하는 경우엔 접종자 개인 단말기 내 인증서를 해외기관 인증용 단말기에 직접 제공토록 하되, 제공된 정보는 수초 후 삭제되도록 설계한다고 덧붙였다.

국가 간 노드를 공유한다는 것은 곧 블록체인랩스와 협약을 맺은 국가가 블록체인랩스 기술을 받아들인다는 의미다. 전문가들은 "특정 국가의 기술을 채택해 사용하는 일은 거의 없다"며 "각자 자신의 블록체인으로 운영하고, 신원증명이나 자격검증시 DID 리졸버처럼 서로 다른 블록체인이라도 DID 단계에서 호환이 가능하고, 플랫폼간 DID 검증으로 신원을 확인할 수 있는 서비스를 통해 해당 국가의 블록체인에 접근하는 식이 일반적이다"라고 말했다.

정부기관에서 마련해야 할 것은 민간 사업자들과의 블록체인 상호 연동 방안이라는 것이다. 표준화된 보안요구사항을 마련해 상용화 준비에 나서야 한다는 의미다.

기존 DID 개발사 고려해야

전문가들은 DID 기술을 기존에 연구하던 기업에 관련 데이터를 개방해야 한다고 입을 모은다. KISA 우선협상자로 꼽힌 SK텔레콤 컨소시엄(SKT·라온시큐어·코인플러그·아이콘루프)만 해도 정부 블록체인 사업을 다수 수행하며 수년간 관련 기술을 축적해온데다가 TTA를 통해 기술 검증을 받고 있기 때문이다. 컨소시엄 내 일부 기업은 국내 최대 수준의 블록체인 특허도 보유하고 있다.

익명을 요구한 국제표준화기구 한 관계자는 "질병청 답안으로 비춰볼 때 한국의 블록체인 백신 접종증명서 앱에 DID 기술이 적용됐다고 보기는 어렵다"며 "증명서 발행자 검증과 제출자 검증 등이 제대로 이뤄지지 않는 것이다"라고 지적했다. 그는 이어 "백신을 접종받는 이들이 많아질수록 증명서의 효용성에 문제가 생길 것이다"라고 우려했다.

이 관계자는 또 "보안성이나 가용성이 검증되지 않은 합의 알고리즘을 갖춘 블록체인을 단독 운영하는 현 정책을 고수한다면 타 국가와의 연동 및 확장성에 걸림돌이 될 수밖에 없다"며 "코인 발행을 이유로 DID 기술을 축적한 기업을 마다하기 보다는 확장성을 위해서라도 데이터를 개방하고 협업할 수 있는 구도로 가는 것이 현명하다"고 말했다.

김연지 기자 ginsburg@chosunbiz.com