SoK: Self-Sovereign Digital Identities

이 논문은 80 개의 자료와 47 편의 학술 논문, 12 개의 실제 애플리케이션을 분석하여 자기주권 디지털 신원 (SSDI) 의 채택을 저해하는 여섯 가지 주요 과제를 규명하고, 현재 연구가 블록체인 중심에 치우쳐 있으며 실제 자기주권성은 이분법적이지 않고 스펙트럼임을 밝힘으로써 SSDI 의 체계적 발전 방향을 제시합니다.

핵심

🏠 핵심 비유: "집 열쇠를 누가 가지고 있나요?"

지금까지 우리가 인터넷에서 로그인할 때의 상황을 상상해 보세요.

1. 과거 (중앙 집중형): 모든 건물의 열쇠를 **관리실 (구글, 페이스북, 정부)**이 가지고 있습니다. 우리가 집 (계정) 에 들어갈 때 관리실 직원에게 "저 사람 맞나요?"라고 물어봐야 합니다. 관리실이 망가지면 모든 사람이 집 밖으로 쫓겨나고, 관리실 직원이 내 정보를 훔쳐볼 수도 있습니다.
2. 현재 (연계형): 관리실이 하나 더 생겼습니다. **중개업소 (Identity Broker)**가 대신 열쇠를 확인해 줍니다. 편리하지만, 여전히 내 정보는 중개업소에 쌓여 있습니다.
3. 미래 (SSDI - 자주권 신원): 이제 내가 직접 열쇠 (개인 키) 를 가지고 다닙니다. 관리실이나 중개업소 없이, 내가 직접 "내가 나입니다"라고 증명할 수 있습니다. 내 정보는 내 지갑에 있고, 내가 원할 때만 필요한 부분만 보여줍니다.

이 논문은 **"왜 이렇게 좋은 '나만의 열쇠' 시스템이 아직 널리 쓰이지 않는가?"**를 파헤칩니다.

---

🔍 이 논문이 발견한 6 가지 큰 장벽 (난관)

연구진은 80 개의 자료를 분석하여 이 시스템이 현실에서 쓰이지 못하는 6 가지 이유를 찾아냈습니다.

1. 진짜 사람인지 확인하는 문제 (Identity Binding)
   • 비유: 인터넷상에서 가짜 계정을 100 개 만드는 것 (Sybil Attack) 을 막는 방법입니다. 중앙 관리자가 없으면, "이 열쇠가 진짜 '김철수' 씨의 것인지" 어떻게 증명할까요?
2. 열쇠 관리의 어려움 (Key Management)
   • 비유: 비밀번호를 잊어버리면 "비밀번호 찾기"로 해결되지만, SSDI 는 내 열쇠 (개인 키) 를 분실하면 영원히 문을 못 엽니다. 복구할 수 있는 방법이 아직 완벽하지 않습니다.
3. 사용하기 너무 어렵다 (Usability)
   • 비유: 일반인은 복잡한 암호학 용어와 지갑 앱을 다루기 힘듭니다. "이 정보를 보여줄까요?"라는 질문을 매번 받아야 하므로, 일반인에게는 너무 번거롭습니다.
4. 법과 규제의 공백 (Regulation)
   • 비유: "내 정보를 지워달라 (잊힐 권리)"고 해도, 블록체인에 기록된 정보는 지우기 어렵습니다. 또한 경찰이 범인을 찾을 때 내 정보를 요구하면, 내가 거부할 수 있는가? 같은 법적 딜레마가 있습니다.
5. 닭이 먼저냐 달걀이 먼저냐 (Critical-Mass Adoption)
   • 비유: 사람들이 이 시스템을 쓰려면 "사용할 곳"이 있어야 하고, "사용할 곳"이 생기려면 "사용하는 사람"이 있어야 합니다. 둘 다 없으니 아무도 시작하지 못합니다.
6. 하나의 기반에 의존하는 위험 (Single Infrastructure)
   • 비유: 대부분의 시스템이 '블록체인'이라는 하나의 거대한 기둥에 기대고 있습니다. 만약 그 기둥이 무너지거나 해킹당하면, 모든 사람의 신원이 위험에 처합니다.

---

📊 연구진이 찾아낸 놀라운 사실들

1. 블록체인 중독증: 학계에서 SSDI 를 연구하는 논문 47 개 중 83% 가 '블록체인'에만 집착하고 있습니다. 블록체인이 아닌 다른 방법 (예: 친구끼리 신뢰하는 방식) 은 거의 연구되지 않았습니다.
2. 실제 사용 사례는 드물고: 전 세계에 실제로 운영 중인 SSDI 앱은 12 개뿐이며, 그중 절반 가량은 이미 망했거나 작동하지 않습니다.
3. '주권 세탁 (Sovereignty Washing)' 현상: 많은 회사가 "우리는 자주권 신원입니다!"라고 홍보하지만, 실제로는 여전히 회사가 내 정보를 통제합니다. 마치 "친환경"이라고 광고하지만 실제로는 오염을 유발하는 제품과 같습니다.
4. 완벽한 자주권은 없다: 현재 존재하는 시스템 중 어느 것도 100% 완벽하지 않습니다. 정부 시스템은 통제력을 중요시하고, 민간 시스템은 편의성을 중요시합니다. 자주권은 '있거나 없거나'가 아니라, '얼마나 많이' 가지고 있는가의 스펙트럼입니다.

---

🚀 앞으로의 전망: 무엇을 해야 할까?

이 논문은 미래 연구를 위해 5 가지 방향을 제시합니다.

1. 더 강력한 암호 기술: 제로지식증명 (ZKP) 기술을 써서 "내가 20 세 이상이다"라고 증명하되, "생년월일"은 알려주지 않는 기술이 필요합니다.
2. 웹3 와의 결합: 암호화폐, NFT, DAO(탈중앙화 조직) 같은 웹3 세상과 자연스럽게 연결되어야 합니다.
3. 사물 (IoT) 의 신원: 사람뿐만 아니라 자동차, 센서 같은 기계들도 스스로 신원을 증명할 수 있어야 합니다.
4. 규제 통일: 각 나라마다 법이 달라서 국경을 넘을 때 문제가 생깁니다. 전 세계 규정을 조율해야 합니다.
5. 사용자 중심 디자인: 기술이 먼저가 아니라, 사람이 편하게 쓸 수 있게 만드는 것이 가장 중요합니다.

💡 결론

이 논문은 **"자주권 디지털 신원은 멋진 비전이지만, 아직 기술적, 법적, 사회적 장벽이 너무 많다"**고 말합니다. 하지만 이 장벽들을 하나씩 넘기 위해 블록체인에만 매몰되지 말고, 사용자 경험, 법제도, 다양한 기술을 종합적으로 연구해야 한다고 강조합니다.

우리가 모두 내 정보의 주인이 되는 날이 오려면, 기술자, 법률가, 그리고 일반 사용자 모두가 함께 고민해야 할 시점입니다.

기술 요약

논문 개요

이 논문은 자주주권 디지털 신원 (Self-Sovereign Digital Identity, SSDI) 에 대한 포괄적인 지식 체계화 (Systematization of Knowledge, SoK) 를 제시합니다. SSDI 는 사용자가 중앙 집중식 또는 연방식 시스템에 의존하지 않고 자신의 신원 데이터와 주장을 직접 통제할 수 있게 하는 패러다임입니다. 하지만 실제 채택이 더디고 연구가 체계화되지 않았다는 문제를 인식하고, 채택을 방해하는 핵심 장애물을 식별하고 분석하여 향후 연구 방향을 제시합니다.

1. 문제 정의 (Problem)

• 중앙 집중식 신원의 취약점: 기존 디지털 신원 관리 (중앙 집중식 및 연방식) 는 구글, 페이스북 등 소수의 기업에 방대한 개인 데이터를 집중시켜 대규모 데이터 유출과 내부 남용의 위험을 초래합니다.
• SSDI 의 현실적 격차: SSDI 는 사용자에게 데이터 소유권을 부여하고 최소한의 정보만 공유하게 함으로써 보안과 프라이버시를 강화하지만, 실제 세계에서의 채택은 매우 제한적입니다.
• 연구의 부재: 기존 연구들은 특정 기술 계층 (DID, VC 등) 이나 특정 도메인 (의료, IoT) 에만 집중하거나, 기술적 측면만 다루며 사회경제적, 규제적, 사용성 문제를 체계적으로 연결하지 못했습니다.

2. 연구 방법론 (Methodology)

저자들은 SSDI 의 현황을 파악하기 위해 5 단계의 체계적인 방법론을 적용했습니다 (그림 2 참조):

1. 기존 설문 분석: 2018~2023 년간 발표된 8 개의 주요 SSDI 설문 논문을 분석하여 기존 지식의 한계와 체계화 부재를 확인했습니다.
2. 주요 장애물 식별: 학술 논문, 산업 프로젝트, 표준 기구 보고서, 그리고 시퍼펑크 (Cypherpunk) 운동 관련 자료 등 80 개의 다양한 출처를 분석하여 SSDI 채택을 방해하는 6 가지 주요 과제를 도출했습니다.
3. 과학 문헌 분석: SSDI 시스템을 제안, 설계 또는 평가한 47 편의 학술 논문을 구조적으로 분석하여 연구 경향성 (블록체인 편향 등) 과 간과된 분야를 파악했습니다.
4. 실제 적용 사례 평가: 생산 환경이나 대규모 파일럿 단계에 도달한 12 개의 SSDI 시스템을 식별하고, 자주주권의 5 가지 차원 (키 제어, 허가 없는 발급, 이식성, 선택적 공개, 일방적 취소 저항성) 에 따라 평가했습니다.
5. 연구 최전선 (Frontiers) 제시: 위 분석 결과를 종합하여 향후 연구와 표준화가 필요한 5 가지 주요 방향을 제시했습니다.

3. 주요 기여 (Key Contributions)

가. 장애물 분류 체계 (Challenge Taxonomy)

SSDI 채택을 가로막는 6 가지 근본적인 과제를 식별하고 심층 분석했습니다:

1. 신원 바인딩 (Identity Binding): 중앙 권한 없이 한 명의 실체 (개인/기관) 에 디지털 신원을 어떻게 신뢰성 있게 연결할 것인가? (시빌 공격 방지 문제).
2. 키 관리 및 프로토콜 (Key Management & Protocols): 사용자가 암호화 키를 직접 관리해야 하는 부담과 키 분실/복구의 어려움, 그리고 표준화되지 않은 프로토콜 (DID 방법의 파편화) 문제.
3. 사용성 (Usability): 복잡한 암호화 개념과 키 관리가 일반 사용자에게는 진입 장벽이 되며, 현재 대부분의 연구가 이를 간과하고 있음.
4. 감독 및 규제 (Oversight & Regulation): GDPR 의 '잊힐 권리'와 불변의 블록체인 간의 충돌, 그리고 법 집행 기관의 접근 권한과 개인 주권 간의 갈등.
5. 임계점 채택 (Critical-Mass Adoption): 사용자, 발급자, 검증자 간의 '닭과 달걀' 문제 (콜드 스타트 문제) 와 네트워크 효과 부재.
6. 단일 인프라 의존성 (Single Infrastructure Dependence): 대부분의 SSDI 가 특정 블록체인에 의존하여 발생하는 메타-중앙 집중화 (Meta-centralization) 위험과 확장성 문제.

나. 문헌 체계화 (Literature Systematization)

• 블록체인 편향: 분석된 47 편의 논문 중 83% 가 특정 블록체인 플랫폼을 기반으로 하고 있으며, P2P 나 레저 무관 (Agnostic) 접근법은 소수 (9%) 에 불과함.
• 기술적 편향: 표준 공개키 암호화 (PKC) 가 주류이며, 제로지식증명 (ZKP) 등 고급 암호 기술은 17% 만 사용됨.
• 평가 방법의 부족: 사용자 연구 (User Study) 를 포함한 실증적 평가는 4% (2 편) 에 불과하며, 대부분 구현 벤치마크나 형식적 증명에 의존함.
• 간과된 분야: 사용성 (Usability) 과 단일 인프라 의존성 (Single Infrastructure) 과 같은 비기술적/시스템적 과제는 연구에서 거의 다루어지지 않음.

다. 실제 적용 사례 평가 (Real-World Evaluation)

• 자주주권의 스펙트럼: 12 개의 실제 시스템 (Sovrin, EU 디지털 신원 지갑, Ping Identity 등) 을 평가한 결과, 완전한 자주주권을 달성한 시스템은 하나도 없었음.
• 주권 세척 (Sovereignty Washing): 많은 상업적 시스템이 SSDI 라벨을 사용하지만 실제로는 중앙 집중식 인프라에 의존하거나 사용자의 통제권을 제한함.
• 상태: 2026 년 2 월 기준, 조사된 프로젝트 중 25% 만 활성 상태이며, 약 42% 는 중단되거나 비활성화됨. 이는 기술적 이상과 실제 배포 간의 큰 격차를 보여줌.

라. 연구 로드맵 (Research Roadmap)

SSDI 의 미래를 형성할 5 가지 최전선 (Frontiers) 을 제시했습니다:

1. 프라이버시 강화 암호학: 제로지식증명 (ZKP) 과 동형암호 (HE) 를 통한 선택적 공개 및 프라이버시 보호 기술의 실용화.
2. Web3 통합: DeFi, NFT, DAO 와의 결합을 통한 신원 레이어로서의 활용 및 상호운용성 확보.
3. IoT 및 머신 신원: 수십억 개의 기기를 위한 경량 프로토콜, 자동화된 키 관리, 그리고 자율 에이전트 신원 문제 해결.
4. 규제 조화: EU eIDAS 2.0, 캐나다, 미국 등 각국의 상이한 규제 프레임워크 간의 상호 인정 및 표준화.
5. 사용성 중심 설계 (Usability-First Design): 기술 중심이 아닌 사용자 요구와 인지 모델을 기반으로 한 인터페이스 및 경험 설계 (User Research 및 벤치마크 개발).

4. 결과 및 시사점 (Results & Significance)

• 핵심 통찰: SSDI 는 이분법적 (완전 자주주권 vs 아님) 인 것이 아니라 스펙트럼 (Spectrum) 으로 이해해야 합니다. 현재 존재하는 시스템은 모두 실용적인 타협을 통해 자주주권의 일부만 구현하고 있습니다.
• 연구 방향의 전환 필요: 현재 연구가 지나치게 블록체인과 기술적 구현에 치중되어 있으며, 사용성, 규제, 경제 모델, 그리고 대체 인프라에 대한 연구가 시급히 필요합니다.
• 실용적 기여: 이 논문은 연구자에게 SSDI 의 전체적인 지형도를 제공하고, 실무자에게는 기술의 성숙도와 한계를 평가할 수 있는 기준을 제시하며, 정책 입안자에게는 규제와 기술 간의 균형을 모색하는 데 기여합니다.

결론

이 논문은 SSDI 가 중앙 집중식 신원에서 자주주권 신원으로의 진화를 위한 필수적인 단계임을 강조하지만, 이를 실현하기 위해서는 기술적 난제뿐만 아니라 사회적, 규제적, 경제적 장벽을 종합적으로 해결해야 함을 역설합니다. 특히 사용성 중심의 설계와 블록체인 중심의 편향 탈피가 SSDI 의 대중화를 위한 핵심 열쇠라고 결론지었습니다.