모바일 여권 위조·변조 차단
[정보통신신문=김연균기자]
모바일 여권 플랫폼 기업 ㈜로드시스템(대표 장양호)이 외국인 대상의 관광·금융 플랫폼 '트립패스(Trip.PASS)‘의 보안성 강화를 위해 블록체인 DID 기반의 모바일 여권 인증 절차를 고도화했다.
트립패스(Trip.PASS)는 실물 전자여권을 모바일 여권으로 생성해 외국인 관광객과 유학생, 근로자 등 체류 외국인을 대상으로 신원인증과 선불카드 기반의 금융 서비스를 제공하는 비즈니스 모델로 올해 CES(Consumer Electronics Show) 2024에서 금융기술부문 최고혁신상과 사이버보안 개인정보 부문에서 혁신상을 수상했다.
이번에 진행된 트립패스 고도화는 모바일 여권의 인증 과정에서 개인정보의 유출을 원천 차단하고 모바일 여권의 위변조를 막는 것이 핵심이다.
모바일 여권의 인증 절차는 사용자가 실물 전자여권의 전자 칩 인식과 안면 인증을 통해 생성한 모바일 여권 정보를 사용자의 여권 정보가 보관된 원천 서버의 데이터와 비교해 유효성을 판단하는 방식으로 진행된다.
사용자는 트립패스 플랫폼을 통해 사용자 아이디(DID)를 생성하고 전자여권에 담긴 특정 데이터를 해시(Hash) 값으로 암호화해 원천서버에 인증서(VC, Verifiable Credential)발급을 요청한다. 이때 블록체인 DID 서버에는 원천서버의 인증(VC) 발급 정보와 사용자 아이디(DID)를 안전하게 분산 저장한다.
이후 사용자가 트립패스의 서비스 이용 시 사용처에 인증서(VC)와 사용자 아이디(DID)가 담긴 검증 가능한 자료(VP, Verifiable Presentation)를 제출하고, 블록체인 DID 서버에 분산 저장된 인증서(VC)의 해시(Hash) 값과 사용자 아이디(DID)를 비교 검증해 모바일 여권의 최종 유효성을 판단한다.
이러한 보안 구조는 모바일 여권 인증이 이뤄지는 블록체인 DID 서버가 해킹된다 해도 모바일과 원천 서버에만 저장된 사용자의 개인 정보에는 접근할 수 없다. 또한 인증서 발급 과정에 여권 정보의 암호화된 해시(Hash) 값이 사용되기 때문에 실물 여권 없이 습득한 사용자의 여권 정보, 위조여권, 복사된 사본으로 모바일 여권을 생성하거나 위변조하는 것이 불가능하도록 설계했다.
트립패스에 적용된 로드시스템의 ’블록체인 DID 인증 시스템‘은 2021년 한국인터넷진흥원(KISA) 신기술 비대면 보안 시범 사업(외국인 신원인증분야)에 적용해 기술성과 사업성을 검증했다.
이어 이번 고도화로 트립패스의 보안성 강화뿐 아니라 블록체인의 성능 향상과 확장성을 고려한 표준화도 진행됐다.
블록체인 DID 서버의 성능지표를 나타내는 초당 트랜잭션 처리량(TPS) 값을 2800TPS 이상으로 기존에 비해 2배 이상 개선하고 국제 표준인 W3C에 맞춰 설계해 소프트웨어 분야의 국제 공인 시험 기관인 한국인정기구(KOLAS)로부터 기능과 성능 평가를 거쳐 적합성에 대한 인증을 획득했다.
트립패스 운영사 ’로드시스템‘ 장양호 대표는 ”이번 보안성 고도화로 사용자의 개인정보가 모바일과 원천서버에만 저장되는 탈중앙화를 구현했고, 여권 정보의 해시 암호화와 블록체인으로 이중 암호화해 보안의 신뢰성을 높였다“며 ”국가간 모바일 여권 인증시에도 개인정보가 국외로 이전되지 않는 구조로 설계해 글로벌 확장도 고려했다“고 설명했다.
트립패스는 외국인 관광객뿐 아니라 단기 체류 외국인을 대상으로 200만원 한도의 모바일 선불카드 발급, NFC 기반의 모바일 교통카드, CU, GS25 등 편의점에서 부가세 없이 결제되는 즉시 환급(Tax-Free) 서비스, 제휴 의료기관을 통해 미용성형 시 부가세를 즉시 환급하는 도심환급서비스 등 관광·금융을 연계한 서비스를 제공하고 있다.
