2) 비바톤 구조
비바톤은 블록체인을 기반으로 한 익명 사용자 인증 플랫폼으로 기존의 서버-클라이언트 체계의 인증 시스템에 블록체인을 접목하여 인증유무만을 블록체인으로 분리한 구조를 가지고 있습니다. 좀 더 쉽게 설명하면 누군지 알 수 없는 사용자의 인증유무(성인인지, 학생인지 등)만을 블록체인에 저장하고 필요시 이를 전달하는 플랫폼입니다. 이는 블록체인상의 특정 지갑에 암호화폐가 얼마가 들어있는지는 알 수 있지만 그 지갑의 주인이 누구인지는 모르는 것과 같은 원리입니다.
현재 개인정보는 사용자가 이용하는 플랫폼(예. 웹서비스, 휴대폰, 어플리케이션, 컴퓨터, 클라우드 등) 곳곳에 존재하고 있으며 이들을 해당 플랫폼이 경제적 이익을 위해 무단으로 사용하거나 해킹 등으로 유출되어 사회적으로 문제가 되고 있습니다. 그리고 이를 위한 해결책으로 DID가 대두되고 있습니다. 하지만 앞서도 언급했듯이 DID의 상용화를 위해서는 근본적으로 해결해야 할 과제들이 존재하며 DID 역시 본인인증 서비스로써 사용자의 신원을 확인하는 서비스이기 때문에 개인정보의 공유는 필연적입니다. 이에 대한 대안으로 기획된 것이 비바톤입니다. 비바톤은 본인인증(사용자가 특정인 인지 아닌지에 대한 증명)이 아니라 사용자가 특정 인증/자격을 가지고 있는지 없는지에 대해 증명하는 서비스로 해당 사용자가 누구인지는 알 수 없는 블록체인의 익명 구조를 가지고 있습니다.
비바톤이 활용할 첫번째 증명은 성인증명으로써 이는 기존의 본인인증 서비스 OAuth2.0 프로토콜로부터 확인되는 사용자의 성인여부를 블록체인 저장하고 필요시 이를 클라이언트에게 Open API 로 전달하는 것입니다. 이러한 비바톤 익명인증의 구조는 기존의 개인정보(본인인증 서비스를 통해 확인되는 정보)를 가명 혹은 익명처리(성인여부만을 추출)하여 본인임을 밝히지 않고 특정 인증을 증명할 수 있는 구조를 가지고 있습니다.
또한, 이미 상용화된 본인인증 프로토콜을 활용하기 때문에 호환성이 높고, 블록체인 기술은 사용자의 증명을 저장하는 DB서버의 용도로만 활용되어 기존 회사의 거버넌스, 구조, 법률 등을 그대로 적용할 수 있다는 장점이 있습니다. 블록체인으로 구성된 비바톤의 서버는 기존의 서버-클라이언트 체계와는 다르게 서버의 변경내역이 모두 로그로 남게 되어있고, 이런 기록들은 위변조가 불가능한 구조를 가지고 있습니다. 이는 비바톤 인증값의 완전성과 무결성에 중요한 역할을 하며 블록체인을 통한 익명사용자 인증 플랫폼으로써의 핵심 요소라고 할 수 있습니다. 또한 성인인증 시장은 개인정보에 민감한 특수시장으로 판단되는바 사용자의 익명성이 보장되는 비바톤 서비스의 특징과 더불어 서로 보완재 역할을 할 수 있을것으로 기대하고 있습니다.
OAuth2.0 이란?
OAuth2.0은 자신이 소유한 리소스(e.g. 서비스 사용자의 인증값)에 소프트웨어 애플리케이션이 접근할 수 있도록 허용해 줌으로써 접근 권한을 위임해주는 프로토콜입니다. OAuth2.0 인가 프레임워크는 리소스 소유자를 대신해 리소스에 대한 직접적인 접근 요청 승인을 조정하거나 서드파티(Third party) 애플리케이션(모바일 클라이언트, 웹 클라이언트)에게 리소스에 대한 접근을 허용해주는 방식으로 이루어집니다. OAuth2.0 세계에서 클라이언트 애플리케이션은 리소스 소유자를 대신해 리소스 소유자의 보호된 리소스에 대한 접근 권한을 얻고 해당 리소스를 사용할 수 있는 권한을 위임 받게 됩니다.
비바톤의 블록체인 서버가 가지게 되는 정보는 1) 사용자가 회원 가입시 입력하는 아이디 및 패스워드, 그리고 2) 기존 인증 서비스를 통해 얻게 되는 사용자의 특정 인증 여부 및 개인 식별 고유키 입니다. 개인 식별 고유키는 기존 인증 서비스로부터 수령하는 암호화된 시크릿키(Secret key)로써 시크릿키 자체로는 특정 개인을 식별할 수 없습니다. 다만, 법령에 따라 개인에 대한 확인을 필요로 하는 특별한 경우에는 인증을 제공한 기존 인증 서비스 회사에 해당 시크릿키의 복호화를 요청하여 특정인을 확인할 수 있습니다.
비바톤 블록체인 서버안의 정보는 임의로 변경할 수 없을뿐더라 만에 하나 변경/수정이 발생하더라도 해당 사항은 불변하는 로그에 남게 되므로 이에 대한 추적이 가능합니다. 비바톤은 초기 사용자 개인과 인증요청 회사의 서비스 접속 히스토리를 체이닝(Chaining)으로 저장하고 있기 때문에 정상 경로를 통해서 인입되지 않은 데이터를 분류하고 관리 할 수 있습니다. 또한 구조상으로 개인정보를 저장하지 못하도록 설계되었으나 블록체인내 정보의 완정성과 무결성을 위해 사업 초기부터 블록체인 서버 로그의 주기적인 내부통제 및 내부감사를 시스템화하여 실시하도록 설계 되었습니다.