사용자 프라이버시와 보안을 강화하며 중앙화된 인증 시스템의 단점을 보완하고 분산된 신원 증명을 위해 OpenID Connect 프로토콜을 확장한 표준인 OpenID(OID4VCI, OpenID for Verifiable Credential Issuance)가 주목받고 있다. 이 프로토콜은 사용자가 자격 증명을 통제하고 다양한 플랫폼에서 안전하게 활용할 수 있는 유연성을 제공하며, 상호운용성과 보안성을 높일 수 있다는 장점이 있다.

OAuth(Open Authorization) 2.0과 OIDC(OpenID Connect) 구현 업체인 오쓰릿(Authlete)이 검증 가능한 자격 증명 발급을 위한 오픈ID(OID4VCI) 지원을 제공하는 ‘오쓰릿 3.0(Authlete 3.0)’을 출시했다. 이 새로운 기능은 정부, 금융 기관, 교육 기관을 포함한 조직들이 사용자 자격 증명을 발급하고 관리하는 방식을 혁신할 수 있도록 지원한다.

오쓰릿은 오쓰릿 3.0을 통해 OID4VCI를 준수하는 상호운용 가능한 검증 가능 자격 증명(VC)을 신속하게 발급할 수 있는 간단한 API 솔루션을 제공한다. 인증과 승인을 위한 검증되고 널리 사용되는 글로벌 표준인 OAuth와 OIDC를 기반으로 구축된 OID4VCI는 SD-JWT VC와 mdoc/mDL을 포함한 다양한 자격 증명 형식을 지원한다.

VC는 저작권이 암호화 방식으로 검증될 수 있는 변조 방지 디지털 자격 증명이다. 이러한 디지털 증명 메커니즘은 VC를 물리적 문서나 카드에 비해 더욱 안전하고, 검증 가능하며, 신뢰할 수 있고, 휴대가 용이하게 만든다. 또한 VC는 보유자가 필요한 정보만을 선택적으로 공개할 수 있고 물리적 자격 증명을 소지할 필요성을 없애 유연성과 사용자 중심성을 높인다.

오쓰릿의 SD-JWT VC와 mdoc/mDL 형식에 대한 OID4VCI 지원은 EU 디지털 신원(EUDI) 지갑의 포텐셜 프로젝트, 일본의 트러스티드 웹 이니셔티브, GAIN POC(Global Assured Identity Network Technical Proof of Concept)을 포함한 여러 글로벌 시범 프로젝트를 통해 이미 그 효과가 입증되었다.

일본의 트러스티드 웹 이니셔티브는 개인과 조직의 데이터 통제를 강화하고 특정 서비스에 대한 과도한 의존 없이 데이터 검증 메커니즘을 구축하는 새로운 신뢰 프레임워크를 만드는 것을 목표로 한다. 재사용 가능한 KYB/KYC와 디지털 검증을 통해 기업 은행 계좌 개설을 위한 기업 실사(KYB)/고객 확인(KYC) 프로세스의 효율성을 개선하는 것을 목표로 하는 이 프로젝트에서, 오쓰릿은 덴츠 소켄(DENTSU SOKEN)이 개발한 디지털 지갑에 SD-JWT VC를 성공적으로 발급했다.

높은 신뢰도의 신원 보증을 위한 전 세계적 상호 운용 네트워크를 구축하기 위한 GAIN POC에서 오쓰릿은 탈라오(Talao), 미코(Meeco), 다테브(Datev)가 제공하는 디지털 지갑에 OID4VCI를 준수하는 SD-JWT VC를 성공적으로 발급했다.

VC는 여권과 운전면허증 같은 정부 발행 신분 증명서에서부터 은행 업무를 위한 재사용 가능한 KYC 검증, 학업 인증서에 이르기까지 광범위하게 활용될 수 있다.

오쓰릿 3.0은 OID4VCI 지원 외에도 다음과 같은 기능과 이점을 제공한다.

⦁강화된 FAPI(Financial-grade API) 준수 설정: 부인 방지를 가능하게 하는 FAPI 2.0 메시지 서명을 포함하여 FAPI 준수 수준을 세분화하여 구성할 수 있다. FAPI 준수는 금융 서비스에서 보안과 데이터 보호 강화를 위해 OpenID 재단이 개발한 표준을 따르는 것을 의미한다. 이를 통해 API 기반의 금융 데이터와 서비스를 안전하게 제공하며 인증, 권한 부여 프로세스의 보안성을 극대화하여 사용자의 민감 정보를 보호한다.

⦁다중 테넌트 조직 관리: 단일하고 직관적인 관리 콘솔 내에서 여러 조직과 서비스를 설정할 수 있다.

⦁다중 지역 지원: 대시보드에서 직접 미국, 일본, 브라질 또는 유럽연합의 서버 위치를 선택할 수 있다.

⦁소셜 로그인과 다중 인증(MFA): 편의성과 보안성을 높이기 위해 MFA가 적용된 구글이나 깃허브 자격 증명으로 로그인할 수 있다.

⦁세분화된 접근 제어: 각 팀원의 특정 접근 수준에 맞춰 권한을 조정함으로써 규정 준수를 보장한다.

오쓰릿의 공동 설립자인 카와사키 타카히코(Takahiko Kawasaki)는 “오쓰릿은 조직들이 안전하고, 사용자 중심적이며, 상호 운용 가능한 디지털 신원 인프라를 구축할 수 있도록 지원한다.”고 말했다.

[알림] ‘GTT KOREA’와 ‘전자신문인터넷’이 공동으로 주최하는 “NSWS(Next Smart Work Summit) 2024”에서는 글로벌 스마트워크 솔루션 선도 기업들이 참여하여 최신 기술과 시장 동향, 그리고 기업이 당면한 문제의 해결 방안을 심도 있게 다룰 예정이다. 이번 서밋에서는 AI와 스마트워크를 활용한 혁신적인 업무 환경 구축 및 활용 전략 공유와 함께 전시 부스를 통해 기업에 필요한 다양한 스마트워크 활용법을 구체적으로 체험해 볼 수 있는 장도 마련된다.