FIDO와 DID: 패스워드 없는 인증 vs 탈중앙화 신원

오늘날 디지털 신원 관리 분야에서는 **FIDO(Fast IDentity Online)**와 **DID(Decentralized Identifier)**가 뜨거운 화두입니다. 둘 다 사용자 인증과 신원 증명을 혁신하는 기술이지만 접근 방식에는 큰 차이가 있습니다. FIDO는 패스워드 없는 강력 인증에 초점을 맞춘 표준이고, DID는 탈중앙화된 자기주권 신원을 구현하는 개념입니다. 이번 포스트에서는 IT 지식을 갖춘 독자를 대상으로 FIDO와 DID의 개념부터 기술 구성, 보안/프라이버시, 중앙화 대비 분산화 특징, 산업별 활용 사례, 장단점 비교, 그리고 향후 전망과 상호 보완 가능성까지 폭넓게 살펴보겠습니다.

FIDO란 무엇인가?

FIDO는 온라인 환경에서 패스워드를 대체하기 위해 등장한 개방형 인증 표준입니다​pingidentity.com. FIDO 얼라이언스(Alliance)가 주도하여 개발한 규격으로, 지문이나 얼굴 인식, PIN 같은 다양한 인증 수단을 지원하며, 궁극적으로 웹과 앱 전반에서 암호 없이도 안전하게 로그인할 수 있도록 설계되었습니다​byline.network​pingidentity.com. FIDO의 핵심 아이디어는 공개키 암호방식을 이용해 사용자 기기에서만 비밀 정보를 관리하고 서버에는 비밀번호를 두지 않는 것입니다​pingidentity.com.

쉽게 말해, FIDO를 적용하면 사용자는 웹사이트나 앱에 로그인할 때 비밀번호를 입력하는 대신 본인 기기에 저장된 키로 인증하게 됩니다. 예를 들어 초기 등록(registration)을 통해 사용자 기기(스마트폰, 보안키 등)에서 공개키-개인키 쌍을 생성하고, 공개키는 해당 서비스에 등록해 둡니다. 이후 로그인 시 서비스가 챌린지(challenge)를 보내면, **사용자 기기의 FIDO 인증장치(Authenticator)**가 개인키로 서명하여 응답하고, 서버는 앞서 등록된 공개키로 이를 검증함으로써 사용자를 인증합니다​dev-mystory.tistory.com. 이 과정에서 사용자는 지문 터치, 얼굴 인식, PIN 입력 등 편리한 방식으로 기기 잠금만 해제하면 되고, 개인키 자체는 기기 밖으로 나가지 않아 유출 위험이 없습니다​pingidentity.com.

FIDO 표준은 진화해오면서 UAF(Universal Authentication Framework), U2F(Universal 2nd Factor), 그리고 FIDO2 등의 사양을 포함하게 되었는데, 특히 **FIDO2(WebAuthn + CTAP)**는 웹 브라우저와 운영체제에 통합되어 모바일/데스크톱 구분 없이 동작하는 패스키(Passkey) 기반 인증을 가능케 합니다​pingidentity.com​blog.avast.com. FIDO2 도입으로 애플, 구글, 마이크로소프트 등 주요 업체들이 동일한 패스워드 없는 로그인 표준을 지원하게 되었으며​pingidentity.com​blog.avast.com, 사용자는 하나의 기기에서 생성한 인증 정보를 클라우드 동기화 등을 통해 다른 기기에서도 사용할 수 있는 등 사용성도 크게 향상되고 있습니다​blog.avast.com. 정리하면, FIDO는 **“비밀번호 없는 편리하고 강력한 인증”**을 목표로 한 기술 표준이라 할 수 있습니다.

DID란 무엇인가?

**DID(Decentralized Identifier)**는 중앙 기관 없이 사용자 스스로 자신의 디지털 신원을 증명할 수 있게 해주는 탈중앙화 신원 체계를 뜻합니다​byline.network. W3C 표준으로 제정된 DID는 한마디로 개인이 소유하고 통제하는 디지털 식별자인데, 이 식별자의 발급과 검증을 위해 블록체인 등 분산원장 기술을 활용하는 것이 특징입니다​lgcns.com. DID를 도입하면 기존처럼 정부나 기업의 중앙 서버에 신원 정보를 모아두지 않고, **개인의 디바이스(스마트폰 등)**에 신원 데이터를 보관한 채 필요한 경우에만 선택적으로 제출하여 검증을 받게 됩니다​byline.network​lgcns.com. 다시 말해 현실에서 지갑에 신분증을 넣어 다니며 필요할 때 제시하듯, 디지털 지갑 앱에 내 신원 증명서를 보관해 두었다가 본인 확인이 필요할 때 해당 증명서를 꺼내 보여주는 방식입니다.

DID의 내부 구성요소를 간략히 살펴보면, 우선 DID는 "did:메소드:고유값" 형식의 문자열 ID이며, 이에 연계된 **DID 문서(DID Document)**가 존재합니다. DID 문서에는 해당 DID 식별자의 공개키, 인증 방법, 서비스 엔드포인트 등이 기술되어 있는데, 개인정보는 전혀 포함되지 않으며 주로 공개키와 인증에 필요한 정보가 핵심입니다​velog.io. 이 DID 문서는 공개 분산원장(블록체인)에 등록되어 있어 위변조가 어렵고, 누구나 DID를 통해 이 문서를 조회할 수 있습니다. 예를 들어 어떤 사용자의 DID가 있다면, 검증자는 분산원장에서 그 DID 문서를 가져와서 거기 담긴 공개키로 해당 사용자가 제시한 서명을 검증함으로써 사용자가 DID의 소유자임을 확인할 수 있습니다​velog.io. 이러한 DID 기반 인증 절차를 DID Auth라고 부르며, 본질적으로 “내가 이 DID의 주인이다”를 증명하는 공개키 챌린지-응답 방식이라는 점에서 FIDO의 인증 방식과 유사한 면이 있습니다​volodymyrpavlyshyn.medium.com.

그러나 DID가 의미있는 것은 단순 로그인 용도에 국한되지 않고 **신원 증명서(Verifiable Credential)**를 통하여 다양한 속성 증명까지 할 수 있다는 점입니다​biometricupdate.com. DID 생태계에서는 주체(사용자), 발행자(예: 정부, 은행 등), 검증자(서비스 제공자)라는 세 가지 역할이 있습니다​byline.network. 예를 들어 정부가 주민에게 운전면허증 정보를 DID 기반 디지털 증명서로 발행해주면(발행자→사용자), 사용자는 그 증명서를 스마트폰에 저장해둡니다. 이후 편의점에서 성인 여부를 확인하거나 금융기관에서 실명 확인을 할 때(검증자 요청), 사용자는 해당 증명서에서 필요한 정보만 골라 제출하고​byline.network, 검증자는 증명서에 포함된 발행자의 전자서명을 블록체인에 등록된 발행자의 DID 공개키로 검증하여 신뢰할 수 있는 증명서인지를 확인합니다. 이 과정에서 사용자 자신도 DID로 서명하여 응답함으로써 증명서의 주체가 본인임을 입증할 수 있습니다​biometricupdate.com. 요약하면 DID는 **“사용자가 자기 신원 정보를 직접 소유·관리하면서 신뢰할 수 있는 방식으로 필요한 만큼만 증명”**할 수 있게 하는 기술인 것입니다​lgcns.com.

기술적 구성 요소와 작동 방식

FIDO의 기술 구성과 작동 원리

FIDO는 클라이언트-서버 아키텍처 위에서 작동하며, 크게 인증자(Authenticator), 클라이언트(Client), **서버(Server)**라는 구성 요소로 이루어집니다​dev-mystory.tistory.com. 일반적인 FIDO2(WebAuthn) 시나리오를 예로 들어 작동 방식을 설명해보겠습니다:

• 등록(Registration): 사용자가 FIDO를 지원하는 서비스에 최초 등록할 때, 우선 서비스 측(FIDO 서버)이 사용자 기기에 **등록 요청(challenge)**을 보냅니다. 사용자의 기기(예: 스마트폰 브라우저)는 FIDO 클라이언트 역할을 하여 이 요청을 FIDO 인증자에 전달합니다. 인증자는 보통 사용자의 디바이스 내에 있는 보안 모듈(예: 스마트폰 Secure Enclave, TPM, 또는 별도 보안키)로서, 이때 새로운 공개키-개인키 쌍을 생성하고 사용자에게 지문 터치나 PIN 입력 등의 **본인 확인 절차(사용자 검증)**를 요구합니다​dev-mystory.tistory.com. 사용자가 지문 등으로 본인임을 기기에서 확인하면 인증자는 생성한 공개키를 서버에 전송하여 등록합니다. 서버는 이 공개키를 해당 사용자 계정에 연계해 저장하고, 등록이 완료됩니다​dev-mystory.tistory.com. 이 과정에서 개인키는 기기 밖으로 유출되지 않으며, 또한 FIDO는 사이트별로 고유한 키쌍을 생성하므로 사용자가 여러 서비스에 등록해도 동일한 공개키를 쓰지 않습니다. 이는 한 서비스의 공개키 정보만으로 다른 서비스에서 그 사용자를 식별하거나 추적할 수 없게 하기 위한 프라이버시 배려이기도 합니다.
• 인증(Authentication): 등록 후 사용자가 로그인을 시도하면, 서버는 다시 한 번 해당 사용자에게 챌린지 데이터를 보냅니다. 클라이언트를 통해 챌린지를 받은 FIDO 인증자는 개인키로 챌린지를 전자서명하여 응답값을 보냅니다​dev-mystory.tistory.com. 이 때도 마찬가지로 사용자에게 지문인식이나 얼굴인식 등 로컬 인증을 요구하여 사용자가 실시간으로 기기를 소유하고 있음을 확인합니다. 서버는 도착한 서명값을 저장된 공개키로 검증하고 일치하면 해당 사용자가 본인임을 신뢰하게 됩니다. 이렇게 해서 비밀번호 한 글자 입력하지 않고도 로그인 인증이 완료됩니다. 서버 입장에서는 훔쳐갈 수 있는 비밀번호가 없고, 매 로그인마다 달라지는 서명값만 처리하므로 보안성이 높습니다​pingidentity.com. 또한 서명 시에는 도메인 정보가 포함되어 피싱 사이트에서의 인증 시도를 원천 차단하며, MITM 공격에도 중간자가 서명값을 임의로 재사용할 수 없습니다.
• 기기 변경 및 복구: 한편 FIDO의 과제로 지적되던 부분은 기기를 교체하거나 분실했을 때의 대비였습니다. 초기에는 새로운 기기에서 다시 등록을 해야 하는 불편이 있었으나, 최근 애플, 구글, MS 등이 협력하여 패스키의 클라우드 동기화를 지원함으로써 이 문제를 해결해가는 추세입니다​blog.avast.com. 예를 들어 아이폰에서 생성된 패스키가 아이클라우드를 통해 맥북이나 아이패드에 동기화되고, 안드로이드 폰의 패스키가 구글 계정으로 백업되어 새 폰에 복원되는 식입니다. 이를 통해 기기간 인증 정보 호환성과 백업이 가능해져 사용 편의성이 크게 늘었습니다.

FIDO 기술 스택에는 이 외에도 **CTAP(Client to Authenticator Protocol)**과 **WebAuthn(Web Authentication API)**이라는 표준이 있으며, 전자는 외부 보안키(USB/NFC 등)와 플랫폼 간 통신을, 후자는 웹 브라우저 자바스크립트 API를 통해 웹사이트가 FIDO 인증을 사용할 수 있도록 해줍니다​pingidentity.com. 예컨대 노트북의 웹 브라우저에서 사이트 로그인을 할 때 스마트폰의 지문을 사용할 수 있는 기능도 이러한 표준 덕분에 가능합니다. 또한 FIDO 인증자는 인증자별 고유 attestation 서명을 제공해 기기 유형을 식별할 수도 있는데, 서비스는 이를 활용해 보안 등급을 판단하거나 특정 인증기기만 허용하는 정책을 적용할 수 있습니다. 종합하면, FIDO의 작동 원리는 로컬 디바이스에서 사용자 인증 → 공개키로 원격 서버 인증이라는 단순하지만 강력한 구조이며, 다양한 기기와 브라우저에서 쓸 수 있도록 표준화되어 있습니다.

DID의 기술 구성과 작동 원리

DID 시스템은 중앙 서버가 아닌 분산된 네트워크와 **사용자 애플리케이션(지갑)**으로 구성됩니다. 기본 흐름은 다음과 같습니다:

• DID 생성 및 등록: 사용자가 처음 DID를 만든다면, 선택한 DID **메소드(method)**에 따라 DID 네트워크에 자신의 DID를 등록합니다. 예를 들어 did:example:abcdef 같은 DID가 생성되면 이에 대한 DID 문서가 블록체인 등에 기록됩니다. 이 문서에는 해당 사용자가 통제하는 공개키 정보와 인증 및 서비스에 관한 메타데이터가 포함됩니다​velog.io. 경우에 따라 사용자는 DID를 스스로 생성하여 상대에게 직접 제공할 수도 있고(did:key 같은 자기생성 DID), 공공 블록체인에 트랜잭션을 발생시켜 등록할 수도 있습니다. 중요한 점은 DID 문서에 개인키는 물론 개인정보도 포함되지 않으며, 오직 검증에 필요한 공개 정보만 담긴다는 것입니다​velog.io​velog.io.
• 신원 증명서 발급(Credential Issuance): DID 자체는 단순 식별자이므로, 실제 유용한 신원 정보(예: 이름, 나이, 자격증 등)는 검증가능 증명서(Verifiable Credential, VC) 형태로 따로 발급됩니다. 발급자는 신뢰할 만한 기관으로, 예를 들어 대학은 졸업증명 VC를, 정부는 운전면허 VC를, 병원은 예방접종 VC를 사용자의 DID를 주체로 하여 발행해줄 수 있습니다. 이 증명서에는 관련 속성 정보와 함께 발급자의 전자서명이 포함되어 위변조를 방지합니다. 발급된 VC는 사용자의 DID 지갑 앱에 저장되며, 사용자는 여러 기관으로부터 받은 다양한 증명서들을 자신의 디바이스에 보관합니다​lgcns.com. 이때 각 VC에는 발급자의 DID가 명시되어 있어서, 누구나 나중에 그 DID의 공개키로 발급자 서명을 검증할 수 있게 합니다.
• 신원 인증 및 검증(Authentication & Verification): 이제 어떤 서비스(검증자)가 사용자에게 신원 확인을 요청한다고 가정해봅시다. 사용자는 자신의 DID와 관련 증명서를 이용해 응답하게 됩니다. 일반적인 DID 인증 흐름은 (1) 검증자가 사용자에게 "DID를 알려주세요 또는 서명해주세요"라고 요청하고, (2) 사용자가 자신의 DID로 해당 요청에 전자서명하여 보냅니다. (3) 검증자는 **DID 해석(Resolve)**을 통해 분산원장에 있는 DID 문서를 찾아 사용자의 공개키를 얻고, (4) 사용자 서명을 검증하여 해당 DID의 소유자임을 확인합니다​velog.io. 이 과정을 DID Auth라고 하며, 사용자 측은 FIDO와 마찬가지로 지갑 앱에서 개인키로 서명하므로 내부적으로는 챌린지-응답 형태의 암호 인증입니다. 하지만 DID Auth만으로는 사용자 식별자(DID)만 확인될 뿐 구체적인 속성 정보(예컨대 "이 사람이 만 19세 이상인가?")는 알 수 없습니다. 따라서 (5) 검증자가 추가로 어떤 증명서를 요구했다면, 사용자는 지갑에서 해당 VC를 선택해 제출합니다. VC 제출 시에도 전체 증명서를 주는 대신 **증명서 내 일부 속성만 골라서 제시(선택적 공개)**하거나, 프라이버시 강화를 위해 영지식 증명(ZKP) 기법으로 필요 최소한의 정보만 증명할 수 있습니다​byline.network. 예를 들어 편의점에서 성인인증을 할 때 나이 정보만 제공하고 이름이나 주민번호 등은 주지 않을 수 있다는 것입니다​byline.network. 검증자는 VC에 포함된 발급자 서명을 해당 발급자의 DID를 통해 검증함으로써 증명서의 진위를 확인합니다. 이때 발급자의 DID 문서(공개키)는 동일한 또는 별도의 분산원장에 호스팅되어 있을 수 있습니다. 마지막으로 (6) 검증자는 사용자에게 필요한 서비스 접근 권한을 부여하거나 인증 절차를 마무리합니다.

요약하면 DID 기반 신원 인증은 발급자→사용자(DID)→검증자로 이어지는 신뢰 체인을 형성하며, 블록체인은 이 체인의 신뢰 기반(infrastructure) 역할을 합니다. 중앙 기관 없이도 발급자의 신뢰를 검증자가 확인할 수 있는 것은 모두가 참조하는 공용 분산 원장에 발급자의 신원(DID)이 등록되어 있기 때문입니다​velog.io​velog.io. 또한 사용자도 자신의 DID를 증명함으로써 **“증명서의 주체=나 자신”**임을 보장하므로, 전체적으로 보면 자기주권 신원(SSI) 모델이 구현됩니다. 참고로, 현재 다양한 DID 메소드(예: did:ion(비트코인 기반), did:ethr(이더리움 기반), did:sov(하이퍼레저 기반), did:web(웹서버 기반) 등)가 존재하며, DID Resolver를 통해 어느 네트워크의 DID든 통합 조회할 수 있도록 표준화가 진행되고 있습니다​velog.io. 다만 DID 방식 간 아직 완전한 상호운용성이 확보되지 않아 표준 통합이 과제로 남아 있습니다​lgcns.com.

보안성과 사용자 프라이버시 측면에서의 차이점

FIDO와 DID 모두 보안과 프라이버시를 개선하기 위한 기술이지만, 적용 범위와 방식의 차이로 인해 강조점에 차이가 있습니다. 아래에서는 두 기술의 보안성 및 프라이버시 특징을 비교합니다.

FIDO의 보안 및 프라이버시 특징

FIDO의 가장 큰 보안적 강점은 비밀번호를 없앰으로써 생기는 취약점들을 제거한다는 점입니다. 사용자 계정 인증에 비밀번호 대신 디바이스의 개인키 서명을 쓰기 때문에, 서버 데이터베이스에 더 이상 해커가 노릴만한 비밀번호 해시가 존재하지 않습니다​pingidentity.com. 설령 서버가 해킹당해도 저장된 것은 공개키뿐이어서, 공격자는 그것만으로 사용자 행세를 할 수 없습니다. 이로써 대규모 정보 유출 사고의 위험이 줄어들고, 사용자는 사이트마다 서로 다른 복잡한 암호를 기억할 필요도 없어집니다​pingidentity.com. 또한 FIDO는 피싱 공격에 매우 강인한 구조를 가집니다. 사용자가 진짜 사이트가 아닌 피싱 사이트에 접속하더라도, FIDO 클라이언트는 서명 시 해당 사이트의 도메인 정보를 함께 포함하므로​engadget.com, 공격자가 서명값을 훔쳐 진짜 사이트에 보내도 인증에 실패합니다. 이러한 도메인 바인딩과 챌린지-응답 기반 인증 덕분에 구글의 경우 2017년 직원들에게 FIDO 보안키를 의무화한 이후 피싱으로 인한 계정 탈취 사례가 한 건도 발생하지 않았다는 보고도 있습니다​engadget.com. 요컨대 FIDO는 암호학적 기법으로 피싱, 중간자 공격, 서버 해킹 등 다양한 위협을 차단하여 기존 비밀번호 대비 압도적으로 향상된 계정 보안을 제공합니다.

프라이버시 면에서도 FIDO는 배려된 설계를 취하고 있습니다. 우선, FIDO 인증에 사용되는 생체정보(지문, 얼굴 등)는 절대 서버로 전송되지 않고 오직 사용자 기기 안에만 저장됩니다​lgcns.com. 서버는 사용자의 지문 이미지나 템플릿을 전혀 받지 않고, 기기가 서명한 결과값만 받으므로 생체정보 유출 우려를 줄여주며, 기업 입장에서도 민감정보를 보관하지 않아 법적 위험이 감소합니다​lgcns.com. 이 때문에 FIDO 도입 초기에 “내 생체정보를 기업이 가지고 있지 않다”는 사실이 사용자들의 심리를 편안하게 해 주어 기술 확산의 요인이 되었다고 분석되기도 했습니다​lgcns.com. 또한 앞서 언급했듯 FIDO는 서비스별로 서로 다른 키쌍을 사용하므로, A 사이트와 B 사이트에서 동일인이 FIDO 인증을 쓰고 있어도 두 사이트 간에 사용자를 추적할 방법이 없습니다. 이는 중앙 시스템이 없는 **비연계성(unlinkability)**을 확보하여 사용자 활동의 교차 추적을 어렵게 만드는 장점입니다. 요약하면, FIDO는 **“서버에 남는 개인정보 최소화”**를 통해 인증 과정에서의 프라이버시를 보호합니다.

다만 FIDO는 개별 서비스의 계정 단위로 작동하기 때문에, 사용자의 전체적인 신원 프로필에 대한 제어권을 주는 기술은 아닙니다. 예를 들어 어떤 웹사이트에 가입하여 프로필 정보(이름, 이메일 등)를 입력하고 FIDO로 인증했다면, 그 프로필 데이터는 여전히 해당 웹사이트의 DB에 있습니다. FIDO는 그 계정 로그인만 안전하게 해줄 뿐, 사용자가 자신의 정보를 직접 관리하거나 제3자에게 제공을 통제하는 구조는 아닙니다. 결국 프라이버시 측면에서 FIDO의 역할은 **"인증 정보 자체는 유출되지 않게 하고, 서비스 간 연계되지 않도록 하는 것"**으로 볼 수 있습니다. 계정 생성 시 제공된 개인정보의 관리 권한은 여전히 각 서비스에 남아 있다는 한계가 있습니다. 또한 사용자 측면에서는 FIDO 인증 수단(예: 폰, 보안키)을 분실하면 복구 절차를 사전에 마련해 두어야 한다는 점도 고려해야 합니다. 최근에는 패스키 동기화로 기기 분실 대응이 좋아지고, 백업용 2차 인증 장치 등록도 권장되고 있지만, 전통적 이메일/비밀번호는 어디서든 기억만 하면 로그인할 수 있었던 것과 비교하면 일정 부분 편의성 트레이드오프가 있습니다. 그럼에도 전반적으로 FIDO는 보안과 프라이버시를 크게 개선하면서 사용자 편의도 높인 균형 잡힌 인증 기술로 평가받고 있습니다​pingidentity.com​pingidentity.com.

DID의 보안 및 프라이버시 특징

DID는 신원 정보의 저장과 공유 방식을 탈중앙화함으로써 보안성과 프라이버시를 높입니다. 가장 큰 특징은, 개인정보를 담은 신원 증명서(VC)를 중앙 서버에 두지 않고 사용자 개인이 소유하므로, 과거처럼 하나의 데이터베이스 해킹으로 수백만 명의 주민번호·패스워드가 유출되는 사태를 방지할 수 있다는 점입니다​lgcns.com. 공격자가 DID 체계에서 대량의 신원 정보를 훔치려면 각 사용자의 개별 기기를 일일이 해킹해야 하므로 현실적으로 난이도가 훨씬 높아집니다​lgcns.com. 이는 마치 귀중품을 은행 금고 하나에 모두 보관하는 대신 각자의 집 금고에 나눠 보관해 도둑맞기 어렵게 만드는 것에 비유할 수 있습니다. 또한 블록체인에 기록된 DID와 증명서 해시(hash) 등은 위·변조가 불가능하므로, 증명서의 진본 여부를 빠르게 판별하여 신원 사칭이나 문서 위조를 막을 수 있습니다. 예를 들어 종이 신분증은 위조할 수 있지만, DID 기반 디지털 신분증은 위조 시도시 블록체인 검증을 통과할 수 없으므로 신뢰성이 높습니다.

프라이버시 관점에서 DID의 장점은 정보주체인 사용자가 자신의 데이터 공개 범위를 통제한다는 것입니다​lgcns.com. 필요한 때 필요한 정보만 골라 제출할 수 있으므로, 기존 중앙화 ID 시스템처럼 과도한 개인정보 수집에 노출되지 않습니다. 앞서 살펴본 편의점 예시처럼, 나이를 증명하면서 내 이름이나 고유식별번호는 밝히지 않을 수 있는 식입니다​byline.network. 이처럼 선택적 공개와 최소 정보 원칙이 구현되어 프라이버시 친화적입니다. 더 나아가, **프라이버시 강화 기술(PET)**도 접목될 수 있는데, Zero-Knowledge Proof를 활용하면 “나이가 19세 이상임”이라는 사실만 증명하고 실제 나이는 숨기는 것도 이론적으로 가능합니다. DID 생태계에서는 이러한 프라이버시 보호를 위해 상황별로 다른 DID를 사용하는 것도 권장됩니다. 예를 들어 A은행과 B병원에 각각 다른 DID를 쓰고, 두 기관이 사용자의 DID를 서로 공유하지 않으면 사용자 활동이 연결되지 않습니다. 이를 **페어와이즈 DID(pairwise DID)**라고 부르며, 사용자 지갑이 자동으로 상대 서비스별 DID를 생성하여 쓰는 식으로 프라이버시를 최대화할 수 있습니다. 요컨대 DID는 **“필요한 데이터만, 필요한 곳에, 사용자가 직접 제공”**함으로써 개인정보 자기 결정권을 높여줍니다.

DID의 잠재적 단점이나 보안 과제로는 사용자 책임의 증가를 들 수 있습니다. 자신의 신원 증명 데이터를 직접 보관한다는 것은 분실이나 훼손에 대비도 직접 해야 한다는 의미입니다. 만약 사용자가 DID 지갑의 키를 잃어버리면(예: 휴대폰 분실 및 백업 미비) 증명서 복구가 어려울 수 있습니다. 중앙 관리자에게 “내 계정 비밀번호를 재설정해달라”고 요청할 곳이 없으므로 키 복구체계(백업 암호, 사회적 복구 등)를 잘 마련해야 합니다. 기술적으로는 지갑 업체들이 여러 장치를 동기화하거나 클라우드 백업 기능을 제공함으로써 해결을 시도하고 있습니다. 또한 모든 신원이 분산화된다는 것은 반대로 사이버 공격 표면이 분산된다는 뜻이기도 합니다. 블록체인 자체는 안전하더라도, 사용자 개별 디바이스 보안이 중요해집니다. 만약 스마트폰이 악성코드에 감염되어 지갑의 개인키가 탈취당하면, 공격자는 사용자의 증명서를 도용하거나 신원 사칭을 할 수 있습니다. 따라서 사용자 측 보안 교육 및 디바이스 보안 강화도 필수입니다. 이 부분은 사실 FIDO도 유사한 이슈를 갖지만, FIDO는 보통 TPM 같은 하드웨어 보안모듈을 활용하는 반면 DID 지갑은 구현에 따라 그 강도가 달라질 수 있습니다.

마지막으로, DID는 생태계 측면의 보안과 신뢰 이슈도 존재합니다. 분산 환경에서는 누가 신뢰할 만한 증명서 발급자냐를 별도의 **신뢰 프레임워크(trust framework)**로 정해야 합니다. 예를 들어 아무나 정부 DID를 사칭해 발급자로 나설 수 없도록, 발급기관에 대한 인증과 거버넌스가 필요합니다. 이러한 체계가 제대로 갖춰져야만 검증자들이 안심하고 DID 증명서를 받아들일 것입니다. 현재 여러 국제 표준 단체와 연합(예: Trust over IP 재단, DID Alliance 등)에서 신뢰모델 정립과 상호운용성을 위한 노력을 기울이고 있습니다. 상호운용성 부족도 프라이버시 측면의 위험이 될 수 있는데, 만약 통일된 표준 없이 여러 DID 플랫폼이 난립하면 사용자는 여러 개의 DID 앱을 써야 하고, 오히려 관리 부담이 늘어날 수 있습니다​lgcns.com. 이는 DID 도입 취지를 떨어뜨리고 사용자 경험을 해칠 수 있으므로 해결이 시급한 과제입니다. 다행히 W3C DID Core 표준이 2022년에 권고안으로 확정되었고, 각 나라 정부와 기업들이 이를 준수하는 방향으로 움직이고 있어 점차 단일 표준 위주의 생태계로 수렴할 것으로 전망됩니다.

중앙화 vs 분산화 관점에서의 특징

FIDO와 DID를 비교할 때 핵심적인 차이는 신원 관리의 중앙화 정도입니다. FIDO는 기존 계정 기반 인증 모델을 따르면서 비밀번호만 없앤 형태이고, DID는 신원 자체를 탈중앙화한 형태입니다. 이를 몇 가지 측면에서 정리하면 다음과 같습니다:

구분FIDO (기존 계정 기반)DID (탈중앙화 신원)

신원 주체	서비스 제공자 (사이트별 계정) – 각 서비스가 사용자 신원 관리 (사용자는 각 사이트에 가입)	개인 (사용자가 자기 신원ID 소유) – 전역적으로 고유한 DID 사용 (사용자는 하나의 DID/지갑으로 여러 곳 증명)
인증 방식	패스워드 대신 공개키 인증 (사이트별 키 등록)​dev-mystory.tistory.com – 로그인 중심	DID 소유 증명 + 증명서 제시 (블록체인 등록) – 신원 증명 중심
데이터 저장	서비스별 DB에 프로필 저장, 기기에 인증용 키 저장​lgcns.com (기업이 개인정보 보유)	사용자 기기에 신원 증명서 저장, 블록체인에는 해시/공개키만 기록​lgcns.com (사용자가 개인정보 보유)
신뢰 모델	서비스가 자체적으로 사용자 신원 확인 및 관리 (필요시 OAuth 등 중앙 IdP 활용)	분산원장에 기반한 Web of Trust – 발행자 증명을 통한 신뢰 (중앙 중개 없음)
중앙화 정도	계정 관리 면에서는 중앙화: 각 서비스가 권한 통제 인증 정보 자체는 분산: 키는 사용자 디바이스에 분산 보관	신원 관리 면에서 탈중앙화: 사용자-발행자-검증자 간 P2P 검증 블록체인 네트워크 합의로 신뢰 확보 (중앙 서버 없음)
상호운용성	글로벌 표준 통일 (FIDO2/WebAuthn) – 어디서나 동작​lgcns.com	W3C 표준이나 메소드마다 구현 상이 – 호환성 과도기​lgcns.com
예시	각 사이트별 로그인 (구글 계정, 은행 앱 등 개별 로그인)	하나의 디지털 신원으로 다중 서비스 활용 (모바일 운전면허증으로 편의점 연령확인 등)​byline.network

위 표에서 보듯이, FIDO는 분산된 기기 인증을 활용하지만 최종 계정 관리는 여전히 개별 서비스에 의해 중앙화되어 있습니다. 예를 들어 FIDO로 은행 앱에 로그인하면, 사용자는 본인 디바이스의 키로 인증할 뿐 그 계정의 권한과 데이터는 은행 서버가 전적으로 통제합니다. 반면 DID는 신원 주체가 사용자인 자기 자신이며, 신원 증명에 필요한 데이터도 중앙 서버가 아닌 **분산 인프라(블록체인+개인 디바이스)**에 흩어져 있습니다. 서비스 제공자는 필요할 때만 사용자로부터 증명서를 제출받아 진위를 확인할 뿐, 평소에 이용자 정보를 보관하거나 통제하지 않습니다​byline.network. 이러한 구조 차이 때문에 FIDO는 기존 중앙화 신원 체계(예: 국가가 발급한 신분증을 각 기관이 보관·조회하는 체계)를 직접 바꾸지는 않지만, DID는 궁극적으로 신원에 관한 중앙 권위의 의존을 줄이고 개인에게 주권을 돌려주는 방향을 지향합니다​lgcns.com. 물론 현실적으로는 정부나 신뢰할 기관들이 증명서 발급자 역할을 하기에 완전한 탈중앙 자율이라고 보기는 어렵지만, 데이터 관리 주체가 중앙→개인으로 이동했다는 점이 혁신적입니다.

중앙화 vs 분산화의 또 다른 측면은 책임성과 편의성입니다. 중앙화된 계정 모델(FIDO 포함)에서는 사용자가 로그인을 못 하게 되면(예: FIDO 키 분실 등) 최후 수단으로 서비스 운영자에게 도움을 청할 수 있습니다. 반면 분산 신원(DID)에서는 그러기 어려워 개인이 자기 신원을 책임져야 하는 부담이 증가합니다. 이것은 탈중앙화의 양날의 검이라고 할 수 있습니다. 따라서 앞으로도 완전 탈중앙화만 고집하기보다는, 분산 신원을 지원하되 **편의성을 위해 일정 부분 중앙 지원(예: 클라우드 백업이나 소셜 복구)**을 혼합한 모델이 현실적으로 나타날 것으로 보입니다.

결국 중앙화 vs 분산화 관점에서 FIDO와 DID는 지향점이 다르지만, 서로 장단점이 보완될 수 있습니다. 다음 장단점 비교에서 이를 계속해서 알아보겠습니다.

적용 사례 및 산업별 활용 예시

FIDO와 DID는 모두 다양한 산업 분야에서 활용될 수 있습니다. 아래에서는 금융, 의료(헬스케어), 공공 분야를 중심으로 각각의 적용 사례를 살펴보겠습니다.

금융 분야

금융업은 보안이 생명인 만큼 인증 기술 도입에 가장 적극적인 분야 중 하나입니다. 많은 은행과 핀테크 기업들이 이미 FIDO를 활용하여 모바일 뱅킹 로그인이나 결제 승인 절차를 강화하고 있습니다. 예를 들어 대부분의 국내 은행 앱에서 볼 수 있는 지문 로그인/얼굴인증 기능은 사실상 FIDO UAF/2 표준에 기반한 것입니다. 사용자가 은행 앱에 지문으로 로그인하면, 내부적으로는 등록된 공개키로 사용자의 서명을 검증해 계정 접근을 허용합니다. 해외 사례로 구글은 자사의 전자결제 서비스에 FIDO를 적용해 비밀번호 없이 결제 승인을 할 수 있도록 하였고, 마스터카드 등 카드사들도 FIDO 기반 생체인증으로 온라인 결제 시 추가 인증을 대체하는 시도를 하고 있습니다. 2채널 OTP나 SMS 인증을 FIDO 보안키로 대체하는 흐름도 나타나고 있어, 사용자는 번거로운 일회용 코드 입력 없이 보안키 터치 한 번으로 거래를 승인하게 될 전망입니다. 규제 측면에서도 유럽 PSD2 등의 강력고객인증(SCA) 요건을 충족하기 위해 금융권에서 FIDO2 도입을 고려하는 경우가 늘고 있습니다​pingidentity.com. 정리하면, 금융권에서 FIDO는 고객 로그인 및 거래 인증의 보안성과 편의성을 높이는 기술로 폭넓게 채택되고 있습니다.

금융 분야에서 DID의 활용도 활발히 모색되고 있습니다. 대표적인 예가 디지털 신원증명 및 KYC 간소화입니다. 전통적으로 은행들은 새로운 계좌를 개설할 때마다 신분증 확인과 본인 인증을 반복해야 했는데, DID를 도입하면 한 번 발급된 디지털 신원 증명서를 여러 기관이 공유할 수 있으므로 프로세스가 단축됩니다. 예컨대 A은행이 발급한 KYC 증명서를 고객이 DID 지갑에 받아두었다가, B증권사에 계좌 개설 신청 시 제출하면 B사는 추가 확인 없이 A은행의 검증을 신뢰하고 바로 계좌를 열어줄 수 있습니다. 한국에서도 2019년 금융규제 샌드박스를 통해 블록체인 기반 DID 금융서비스가 등장하여, 은행 연합이 공동으로 신원증명 앱을 운영한 사례가 있습니다​lgcns.com. 또 다른 사례로, 보험 청구나 여신 심사 과정에서도 DID 증명서로 필요한 서류를 대체해 편의성을 높일 수 있습니다. 보험금 청구에 병원 진단서 DID 증명서를 쓰거나, 대출 심사에 소득증빙 DID 증명서를 제출하는 식입니다. 이러한 서류 없는 디지털 금융이 구현되면 사용자 경험이 크게 개선될 뿐 아니라 서류 위조나 부인 방지도 자연스럽게 해결됩니다. 다만 금융권에서 DID를 광범위하게 활용하려면 각 기관 간의 신뢰 네트워크 구축과 표준 통일이 전제되어야 합니다. 국내 은행연합이나 글로벌 컨소시엄들이 DID Alliance 등을 통해 협력하고 있는 이유도 상호 호환되는 DID 생태계를 만들기 위해서입니다​lgcns.com. 결제 분야에서도 DID가 쓰일 수 있는데, 예를 들어 신용카드 정보를 담은 DID 토큰을 쓰면 상점은 고객의 실제 카드번호를 몰라도 결제가 가능합니다. 이는 프라이버시 보호 결제(Payment DID) 같은 개념으로 연구되고 있습니다. 전반적으로 금융권에서 DID는 신원확인의 효율화와 사용자 주권 강화를 위한 인프라로 주목받고 있습니다.

헬스케어 분야

의료 및 헬스케어 영역에서도 안전한 인증과 신원확인이 중요합니다. 병원 정보시스템, 원격의료, 건강보험 등에서 FIDO와 DID가 각기 활용될 수 있습니다.

먼저 FIDO의 의료 분야 활용을 보면, 의사나 간호사가 전자의무기록(EMR)에 접근할 때 비밀번호 대신 지문이나 보안키 인증을 사용함으로써 의료정보 접근 관리를 강화하는 사례가 있습니다. 의료진들은 바쁜 업무 중 자주 시스템 로그인/승인을 해야 하는데, 이때 FIDO 인증을 도입하면 보안은 물론 로그인 속도도 향상됩니다. 환자 측면에서도 의료 포털이나 보험 앱에 접속할 때 패스워드 없이 생체인증으로 편리하게 로그인할 수 있습니다. 특히 노령 환자나 환자 가족들이 복잡한 비밀번호를 기억하지 않아도, 등록된 지문이나 얼굴로 필요한 의료 정보에 접근할 수 있게 됩니다. 실례로 미국의 Mayo Clinic은 환자 포털 로그인에 FIDO 기반 생체인증을 지원해 환자들이 손쉽게 검진결과나 처방전을 확인하도록 하고 있습니다(가정). 또한 원격의료 플랫폼에서도 FIDO 인증을 적용해 환자와 의사간 세션 접속 시 보안을 높이는 시도가 있습니다. 코로나19 팬데믹 이후 화두가 된 백신 접종 증명에도 FIDO가 응용될 수 있는데, 일부 헬스패스 앱에서 사용자가 자신의 얼굴인식(FIDO 인증)으로 백신 패스를 활성화하는 기능을 제공하기도 했습니다. 그리고 의료기기/IoT 분야에서는 병원 내 다양한 기기에 대한 접근 통제에 FIDO 인증을 붙여, 인증된 의료진만이 장비를 조작하게 하거나, 약물캐비닛 같은 민감장치를 FIDO 보안키로 열게 하는 등 활용이 가능합니다. 규제상 HIPAA 같은 의료정보 보호 규정 준수를 위해서라도 강력한 다중인증이 필요한데, FIDO는 비밀번호보다 안전하고 구현도 비교적 간단해 의료 현장에서 각광받고 있습니다​pingidentity.com.

한편 DID의 의료 분야 활용은 보건 데이터의 안전한 교환과 증명에 초점이 맞춰져 있습니다. 대표적인 예가 디지털 예방접종 증명서인데, 우리나라의 COOV(쿠브) 앱이 바로 DID 기술을 활용한 사례입니다​velog.io. COOV는 질병관리청이 발급한 백신접종 증명서를 DID 형태로 저장하여, 사용자들이 QR 코드를 통해 자신의 접종 이력을 증명할 수 있도록 했습니다. 이때 백신 증명 DID에는 사용자 개인정보 대신 접종 사실에 대한 발급자 서명만 담겨 있고, 검증자는 블록체인에서 그 서명을 확인함으로써 위변조 없는 접종 증명을 확인할 수 있었습니다. COOV는 일상 속에서 DID 기술이 수백만 국민에게 활용된 첫 사례로 평가됩니다. 이처럼 공중보건 증명서 외에도, 예를 들어 전자처방전을 DID로 발급하면 환자는 종이 처방전 없이 약국에 DID 증명서만 제시해 약을 받을 수 있습니다. 건강기록의 환자 주권도 DID로 실현 가능한 영역입니다. 현재는 각 병원마다 진료기록이 산재해 있어 환자가 일일이 복사본을 받아 전달해야 하지만, DID 기반 공유 전자의무기록 시스템이 구현되면 환자 DID 지갑에 자기 모든 진료 데이터를 모아 관리하고, 필요한 의사에게 원하는 범위만 공유할 수 있게 될 것입니다. 예컨대 전문의를 찾을 때 과거 MRI 촬영 정보만 선별 공유하고 다른 개인정보는 숨기는 식입니다. 의료자격 증명에도 DID를 도입할 수 있는데, 의사 면허증을 DID VC로 발급하면 온라인 원격진료 플랫폼 등이 매번 보건소에 조회하지 않고도 의사의 자격을 바로 검증할 수 있습니다. 이처럼 의료 분야에서 DID는 민감한 의료 데이터의 안전한 이동과 활용을 돕는 인프라로 활용될 전망입니다. 다만 의료 데이터는 극도의 개인정보이기에 DID를 쓰더라도 접근권한 통제와 동의 관리가 정교하게 이루어져야 합니다. 이를 위해 DID와 함께 개인정보보호 컴퓨팅, 프라이버시 법규 준수 프레임워크 등이 같이 고려되고 있습니다.

공공 및 기타 분야

공공부문은 DID 활용의 최대 기대 분야이며, FIDO 역시 공공 서비스 인증 수단으로 채택이 늘고 있습니다. 대표적인 예로, 행정안전부가 추진한 모바일 신분증(모바일 운전면허증, 주민등록증)이 있습니다. 이 시스템은 DID와 FIDO를 결합하여 구현되었는데, DID를 통해 신분증 정보를 스마트폰에 저장하고, 사용자 인증은 FIDO 생체인증으로 수행하는 구조입니다​byline.network. 구체적으로 살펴보면: 도로교통공단 등 발급기관이 운전면허 정보를 검증 후 블록체인에 기록하고 DID 신분증을 발급합니다​byline.network. 사용자는 스마트폰 **모바일 신분증 앱(지갑)**에 그 증명서를 보관하죠. 이후 편의점이나 공항 같은 검증기관이 신분 확인을 요청하면, 사용자는 앱에서 지문 등 FIDO 인증으로 본인 확인을 한 뒤 필요한 정보(예: 성인 여부)를 제출합니다​byline.network. 검증기관은 블록체인에서 해당 DID의 발급 내역을 검증해 신뢰할 만한 증명서인지 확인합니다​byline.network. 이 과정에서 사용자는 지문 인증 한 번으로 자신의 신분증을 필요한 만큼만 안전하게 증명할 수 있게 됩니다. 현재 모바일 운전면허증은 편의점 구매 시 성인인증, 공항 체크인, 공공기관 방문증 발급 등 다양하게 활용되고 있고, 2023년 기준으로 발급 건수가 400만 건을 돌파하며 성공적으로 정착하고 있습니다​www2.korea.kr. 정부는 나아가 모바일 주민등록증 등으로 DID 신원증명을 확대하고, 여기에 전자서명 기능까지 결합해 디지털 서명/인증 범위를 넓힐 계획입니다​zdnet.co.kr. 이러한 흐름은 공공 신원이 중앙 서버 대신 블록체인에 분산되어 관리된다는 점에서 전세계적으로도 주목받고 있습니다.

공공 분야에서 FIDO의 활용은 주로 전자정부 서비스 로그인이나 공무원 내부 시스템 인증 등에 나타납니다. 예를 들어 정부24, 국민신문고 같은 서비스에 간편인증 옵션으로 지문이나 얼굴 인증(FIDO 기반)이 도입되고 있습니다(가정). 과거 공공웹사이트는 공인인증서 위주였지만, 이제는 민간 인증서를 포함해 FIDO 기술을 응용한 패스워드 없는 간편인증을 지원하는 추세입니다. 이는 시민들이 일상에서 FIDO를 접하는 기회가 늘어난다는 의미입니다. 또한 지자체나 공공기관 내부망에서 직원 로그인에 보안키(FIDO U2F)를 사용하게 하여 피싱으로 인한 행정망 계정 탈취를 막는 사례도 있습니다. 미국 CISA의 보고에 따르면, 미국 농무부(USDA)는 직원 VPN 접속에 FIDO 키를 사용하도록 하여 피싱 공격을 원천 차단했다고 합니다​cisa.gov. 이렇듯 공공부문에서 FIDO는 국민 편의 서비스부터 정부 사이버보안 강화까지 폭넓게 쓰이고 있습니다.

그 외 산업에서도 몇 가지 사례를 들면, 교육 분야에서는 대학이 졸업장이나 성적증명서를 DID로 발급해주고 취업지원 포털에서 이를 검증하는 실험이 이루어졌습니다. 기업 엔터프라이즈 분야에서는 직원들의 사원증을 DID로 만들어 사내 시스템 접근이나 건물 출입을 관리하거나, 반대로 사내 SSO 로그인에 FIDO 인증을 붙여 피싱 위험을 줄이는 등 활용이 가능합니다. 사물인터넷(IoT) 영역에서도, IoT 기기에 DID를 부여해 서로 신뢰할 수 있는 기기 식별 체계를 만들거나, FIDO Alliance가 제정한 FDO(Fast Device Onboarding) 기술을 통해 IoT 기기를 최초 네트워크에 안전하게 연결(온보딩)하는 데 활용하기도 합니다. 예컨대 공장 기계에 DID를 심어두면 어느 회사 제품이고 어떤 정비 기록이 있는지 분산원장에서 추적 가능하고, 원격 제어 명령을 DID로 서명하여 인증된 장치만 동작하게 할 수 있습니다. 이처럼 인증과 신원 확인이 필요한 곳이라면 금융, 의료, 공공을 넘어 거의 모든 산업에서 FIDO와 DID의 적용 가능성이 있습니다.

장단점 비교

이제 FIDO와 DID의 장단점을 종합적으로 비교해보겠습니다. 앞서 살펴본 내용들을 토대로 각각의 강점과 한계를 정리하면 다음과 같습니다.

FIDO의 장점

• 강력한 보안성: 비밀번호를 사용하지 않아 데이터베이스 유출로 인한 피해가 없고, 피싱·MITM에 높은 저항성을 갖습니다. 실제 사례로 구글은 FIDO 보안키 도입 후 내부 계정 피싱 성공률 0%를 달성했습니다​engadget.com. 또한 개인키는 디바이스에서 안전하게 보호되므로 인증 정보 탈취가 거의 불가능합니다​pingidentity.com.
• 향상된 사용자 편의: 지문 터치나 얼굴 인식으로 빠르게 로그인 가능하여 사용자 경험(UX)이 좋습니다. 복잡한 비밀번호 입력이나 주기적 변경 부담이 사라지고, 여러 계정에 일일이 로그인 정보를 입력할 필요 없이 생체인증 한 번으로 접근할 수 있습니다​pingidentity.com. 패스키 도입으로 여러 기기 간 인증 정보 공유도 매끄러워졌습니다​blog.avast.com.
• 프라이버시 보호: 사이트마다 고유한 키를 사용하고 생체정보를 서버에 보내지 않으므로, 서비스 간 사용자 행동 추적이 어렵고 개인정보 유출 가능성도 낮습니다​lgcns.com. 기업이 민감정보를 보유하지 않게 되어 이용자도 심리적 거부감이 줄어듭니다​lgcns.com.
• 표준화와 생태계 지원: FIDO2/WebAuthn은 W3C 표준이며 애플, 구글, MS 등 글로벌 기업들이 이미 지원하기 때문에 호환성과 신뢰성이 높습니다​pingidentity.com. 수백 개 업체의 기기와 브라우저에서 FIDO 인증이 기본 제공되므로, 개발자나 서비스 제공자가 쉽게 도입할 수 있습니다. 거대한 생태계 덕분에 관련 하드웨어(지문센서, 보안키 등)도 풍부합니다.
• 유연한 인증 옵션: FIDO는 **단일요소(지문)**부터 이중요소(기존 PW + FIDO U2F), **다중요소(UAF, FIDO2 + 추가 인증)**까지 상황에 맞게 구성할 수 있어 보안 정책 수립에 유연합니다​pingidentity.com. PIN, 패턴, 생체 등 다양한 인증수단을 수용하므로 사용자별 편의에 맞출 수 있습니다.
• 거래 확인 및 전자서명 활용: FIDO 키는 단순 로그인 외에도 거래 내역 서명(트랜잭션 확인) 등에 활용 가능합니다​dev-mystory.tistory.com. 인터넷뱅킹에서 이체 내역에 FIDO 서명을 요구하면 추가 보안매체 없이도 전자서명 효과를 얻을 수 있습니다. 이는 기존 공인인증서, OTP 토큰 등을 대체할 수 있는 장점입니다.

FIDO의 단점

• 서비스별 개별 사용: FIDO는 각 서비스의 계정마다 별도로 등록/인증해야 하므로, 통합된 신원 관리가 어렵습니다. 사이트 A에서 인증했다고 사이트 B가 신원을 아는 구조가 아니어서, 결국 사이트마다 회원가입은 별도로 해야 합니다. 로그인 수단은 편해졌어도 계정 자체의 분절화는 기존과 동일합니다.
• 초기 등록과 기기 관리 이슈: 사용자가 새로운 기기에서 처음 FIDO를 쓰려면 일단 한 번은 아이디/비밀번호 등 기존 수단으로 로그인한 뒤 FIDO를 등록해야 합니다. 따라서 초기 온보딩 과정이 완전히 사라지진 않습니다. 또한 기기 분실 시 대비해 미리 다른 FIDO 인증수를 등록해두거나 별도 복구절차를 마련해야 하는데, 일반 사용자에게 이것을 사전에 숙지시키는 것이 쉽지 않습니다. (패스키 동기화로 완화되고 있으나, 플랫폼 종속 문제 등이 있습니다.)
• 지원 제한 환경: FIDO2는 최신 브라우저와 OS에서 지원되지만, **구형 환경이나 특정 브라우저(옛 IE 등)**에서는 동작하지 않을 수 있습니다. 또한 보안키(U2F)를 사용하는 경우 모바일 기기에서 연결 호환성 문제가 있거나, 기업 내 일부 레거시 시스템에는 적용하기 어려울 수 있습니다. 다만 전체적으로 지원 범위가 늘어나는 추세입니다.
• 인증 수단 분실 위험: FIDO는 사용자 소유 기기에 의존하므로, 기기를 분실하거나 고장내면 곤란해집니다. 특히 하드웨어 보안키만 사용한 경우 백업 키가 없다면 계정 접근을 못할 수 있습니다. 물론 대부분 서비스가 대비책(예: 예비 보안키 등록, 응급용 OTP 등)을 두지만, 분실에 취약한 것은 전통 암호 대비 단점으로 지적됩니다.
• 서버-클라이언트 시계열 동기화 문제: 이는 기술적인 세부이지만, FIDO 인증에서는 서버와 클라이언트 간에 챌린지 유효시간 등이 이슈가 될 수 있습니다. 네트워크 지연이나 클라이언트 시계 오차 등으로 인증이 틀어지는 사례는 드물지만, 완전히 배제할 순 없습니다.
• 한계적인 신원 증명: FIDO는 “이 계정의 주인이 나”임은 입증하지만, “내가 누구인지”는 다루지 않습니다. 다시 말해 FIDO는 인증(Authentication) 기술이지 신원 확인(Identification) 기술이 아닙니다. 서비스 입장에선 사용자가 FIDO로 로그인해도 그가 어떤 사람인지는 별도 수단(KYC 등)을 통해 알아야 합니다. 따라서 범용 디지털 신원 증명 수단으로는 한계가 있습니다.

DID의 장점

• 사용자 중심 자기주권 신원: DID를 통해 사용자는 자신의 신원 정보를 직접 관리하고 통제할 수 있습니다​byline.network. 어떤 서비스에 로그인하거나 인증할 때 굳이 중앙 ID 제공자(소셜 로그인 등)에 의존하지 않고, 내 손안의 신원 지갑으로 증명할 수 있습니다. 데이터 주권을 개인에게 돌려준다는 철학적 장점이 있습니다.
• 데이터 최소 공개 및 프라이버시: 필요한 정보만 골라 공유하는 선택적 증명이 가능해 프라이버시 침해를 줄입니다​byline.network. 예를 들어 DID 기반 증명서는 사용자가 특정 속성(나이, 자격 등)만 검증자에게 보여주고 나머지는 숨길 수 있습니다. 중앙화 ID에서 흔한 과도한 수집 없이 필요 최소한의 데이터만 교환되므로 개인정보 보호에 유리합니다​lgcns.com.
• 광범위한 신원 활용 범위: DID는 로그인 뿐 아니라 각종 증명서 대체, 전자서명, 권한 위임 등 디지털 신원의 모든 영역에 활용될 수 있습니다. 운전면허증, 학생증, 출입증, 인증서, 계약서 서명 등등을 모두 DID 기반으로 통합 관리할 수 있습니다. 사용자는 지갑 하나로 생활 전반의 증명을 처리하고, 종이문서나 다수의 앱을 줄일 수 있습니다. 사용자 편의성과 업무 효율 모두 증대됩니다.
• 보안성과 무결성: 블록체인에 신원 식별자의 해시와 공개키를 등록해 위변조가 불가능하며, 발급자 서명을 통해 진위 검증이 기계적으로 가능합니다. 위조 신분증, 스푸핑 등을 방지할 수 있고, 분산 시스템 특성상 **단일 장애점(SPOF)**이 없습니다. 해커가 공격하더라도 수많은 노드의 합의를 깨야 하므로 안정성이 높습니다.
• 탈중앙화 및 상호운용성: DID 표준을 따르면 전세계 어디서 발급된 신원 증명서라도 공통 메커니즘으로 검증이 가능합니다. 예컨대 한국에서 발급한 DID 운전면허를 외국 서비스도 검증할 수 있어 글로벌 상호운용 신원이 구현됩니다. 국가간 신분증 상호인정이나 국제 학생증, 백신여권 등이 DID로 실현될 수 있습니다​biometricupdate.com. 또한 특정 거대 기업이나 정부에 종속되지 않는 분산 신뢰 네트워크이므로, 한 주체의 권한 남용 없이 투명한 신원 시스템을 구축할 수 있습니다.
• 확장성과 미래 대응: DID 개념은 확장성이 높아 IoT, 메타버스, 웹3 등 새로운 영역의 아이덴티티 문제도 해결할 열쇠로 주목받습니다. 사람뿐 아니라 사물, 조직, 가상 캐릭터까지 DID를 부여해 동일한 원리로 신뢰 구축이 가능합니다. 향후 수십억 개 IoT 디바이스의 보안 인증이나, 메타버스 아바타의 증명, AI 에이전트의 식별 등에 DID가 활용될 여지가 있습니다. 기존 중앙 PKI로는 관리가 어려운 대규모 식별체계를 탈중앙 웹 표준으로 다룰 수 있다는 점은 미래지향적 강점입니다.
• 종이 없는 행정과 절차 간소화: DID 도입으로 각종 증명서 제출, 신원확인 절차가 자동화·디지털화되어 업무 효율이 높아집니다. 예를 들어 취업시 졸업증명서 등 각종 서류를 DID로 제출받으면 기업 HR은 클릭 몇 번으로 진위 검증 끝나 채용 속도가 빨라집니다. 관공서 민원처리도 주민이 DID로 정보 제공에 동의하면 기관 간 데이터 공유가 실시간 이뤄져 제출 서류가 대폭 줄어듭니다. 이러한 디지털 전환 효과는 비용 절감과 국민 편익으로 이어집니다.

DID의 단점

• 복잡한 초기 단계와 낮은 인지도: DID 개념은 아직 일반인에게 생소하며, 기술 구현도 복잡합니다. 사용자 입장에서는 지갑 앱 설치, 키 백업, 증명서 발급·관리 등 해야 할 일이 생겨 진입장벽이 있습니다. 현재 여러 DID 솔루션이 난립해 UX가 표준화되지 않아 혼란을 줄 수 있고, 어느 한 곳이라도 제대로 실패하면 신뢰도에 타격을 줄 수 있습니다. 대중적 인지도와 이해도 부족은 극복해야 할 큰 과제입니다.
• 키 관리의 부담: 자기 신원의 열쇠인 개인키를 스스로 관리해야 하므로, 분실 위험에 항상 대비해야 합니다. 앞서 언급했듯 키 분실 = 신원 손실이 될 수 있어, 이를 막기 위한 백업 및 복구 체계가 필수입니다. 그러나 이 과정이 번거롭거나 미흡하면 오히려 중앙 서버에 맡기는 것보다 못하다는 평가를 받을 수 있습니다. 일반인은 비밀번호도 자주 잊는데, 키 관리가 그것보다 나을 것이라는 보장이 없습니다. 사용성 vs 보안의 균형을 잡는 것이 숙제입니다.
• 인프라 요구사항: DID를 운용하려면 블록체인 등의 분산원장 인프라가 필수입니다. 퍼블릭 블록체인의 경우 **트랜잭션 수수료(가스비)**나 네트워크 지연 문제가 있고, 프라이빗 체인의 경우 신뢰성이나 탈중앙 수준에서 의문이 제기될 수 있습니다. 또한 전세계적으로 합의된 DID 루트 인프라가 없어 메소드마다 별도 네트워크를 운영해야 하므로 인프라 중복 및 비효율 문제가 있습니다. 다행히 이더리움, 비트코인 등을 이용한 DID 방법들이 나오고 있지만, 확장성 문제(TPS, 비용)는 여전히 고려사항입니다.
• 표준과 규제의 미성숙: W3C DID Core는 표준화되었으나, 상호운용 프로토콜, 스키마, 거버넌스 등 세부 사항은 아직 완전한 합의에 이르지 못했습니다. 다양한 DID 메소드들이 각기 장단점이 있는데, 이들이 서로 잘 통신하고 교환되는지 확인이 필요합니다​lgcns.com. 또한 각국 정부의 규제도 변수인데, 어떤 나라는 DID를 법적으로 인정하려 하고, 어떤 곳은 중앙관리 체계를 고수하려 할 수 있습니다. 법·제도 정비가 기술 발전을 따라가지 못하면 DID 도입이 지연될 수 있습니다.
• 초기 네트워크 효과 부족: 신원증명 시스템은 네트워크 효과가 중요합니다. 모두가 받아줘야 쓸모가 있는데, 초기에는 쓸 곳이 적어 사용자가 불편하니 잘 쓰지 않고, 사용자가 없으니 받아주는 곳도 늘지 않는 닭이냐 달걀이냐 문제가 있습니다. 예를 들어 모바일 신분증이 초창기에 이용처가 적었다면 사용자 확보에 어려움이 있었을 겁니다. DID도 다양한 분야에 퍼지기 전까지는 이 악순환을 극복해야 합니다. 이를 위해 정부 주도 시범사업이나 대형 Tech 기업의 지원이 촉매가 될 수 있습니다.
• 운영 및 책임 소재: 완전히 탈중앙화된 DID 네트워크에서 무언가 잘못되었을 때 (예: 잘못된 VC 발급, 해킹) 책임 소재가 모호할 수 있습니다. 중앙기관이 있으면 명확히 그들이 책임지지만, 분산망에서는 개별 주체들이 부분적으로 책임을 져야 합니다. 분쟁이나 오용 발생 시 해결 프로세스 정립이 필요합니다. 또한 분산원장에 기록된 데이터의 영구성은 양날의 검인데, 잘못된 기록을 지우기 어렵다는 점에서 GDPR 등의 “잊혀질 권리”와 충돌 우려도 지적됩니다.

정리하면, DID는 미래지향적이지만 아직 풀어야 할 기술적·사회적 문제들이 있고, FIDO는 현실적으로 보편화되어 있으나 신원 포괄성 면에서 한계를 지닌 것으로 볼 수 있습니다. 결국 두 기술 모두 장점이 뚜렷하고 단점은 보완이 가능하므로, 상충 관계라기보다는 서로 다른 용도를 채워주는 관계로 이해하는 것이 좋겠습니다.

향후 전망 및 상호 보완 가능성

앞서 살펴본 대로, FIDO와 DID는 서로 다른 문제를 풀기 위한 기술입니다. FIDO는 사용자 인증(Authentication) 문제를 혁신했고, DID는 신원 식별(Identification)과 자격 증명의 패러다임을 전환하고 있습니다. 미래의 디지털 아이덴티티 생태계에서는 이 둘이 상호 보완적으로 공존할 것으로 예상됩니다.

우선 FIDO의 향후 전망을 보면, 이미 2022~2023년부터 애플, 구글, MS의 협업으로 **패스키(passkey)**가 상용화되며 일반 사용자들에게 FIDO가 빠르게 침투하고 있습니다​blog.avast.com. 많은 웹서비스들이 패스워드 대신 패스키 로그인을 지원하기 시작했고, 안드로이드나 iOS는 지문/얼굴 인증을 활용한 FIDO 자격증명을 클라우드에 동기화해 어느 기기에서나 쓸 수 있게 했습니다. 2025년쯤이면 주요 웹서비스 상당수가 “로그인 with 패스키” 옵션을 제공하고, 비밀번호 없는 세상에 한층 가까워질 것입니다. FIDO 얼라이언스도 IoT 온보딩(FDO), 원격 인증 등 새로운 분야로 표준 적용을 확장하고 있고, AI 발전에 따른 고도화된 피싱 공격에도 FIDO가 해답이라는 인식이 퍼지고 있습니다​lgcns.com​fidoalliance.org. 특히 대규모 언어모델(LLM)을 악용한 지능형 피싱이 증가함에 따라, 피싱 불가한 인증인 FIDO에 대한 수요가 기업/정부 할 것 없이 높아질 전망입니다​lgcns.com. 따라서 FIDO는 앞으로도 인증 표준의 주류로 자리매김하면서, 더 많은 기기와 환경에 적용되고 하위 호환성을 유지하며 진화할 것입니다. 하나 흥미로운 가능성은, FIDO 인증정보(패스키)를 클라우드에 동기화하면서 플랫폼 종속이 강화될 수 있다는 점인데, 이는 DID의 지향과 상반되기도 합니다. 예컨대 애플 생태계 안에서는 패스키가 편리하지만, 이를 안 쓰는 타 플랫폼과는 벽이 생깁니다. 이런 부분을 표준화된 개방형 동기화로 풀어나가는 것도 FIDO의 과제로 남아 있습니다.

DID의 향후 전망은 그야말로 신원증명의 새로운 패러다임 구축이라 할 수 있습니다. 각국 정부와 빅테크 기업들이 상당한 관심을 보이고 투자를 하기 시작했습니다. EU는 **ESSIF(European Self-Sovereign Identity Framework)**와 개정 eIDAS 규정을 통해 범유럽 DID/VC 인프라를 만들고자 하며​biometricupdate.com, 미국, 캐나다 등도 표준 실험과 파일럿을 진행 중입니다. 우리나라 정부도 모바일 신분증 이외에 공공분산신원 플랫폼을 연구하고 있고, 민간연합체들도 DID Alliance 등을 통해 GADI(Global Assured Identity Network) 같은 글로벌 DID 체계를 논의하고 있습니다​didalliance.org. 앞으로 2~3년 내에 공공 영역에서 국가발행 디지털 신분증/자격증들이 DID 기반으로 속속 나오고, 금융권에서도 공동 DID 네트워크를 가동하여 고객 신원확인 절차를 공유하는 모습이 그려집니다. 또 하나 중요한 흐름은 W3C VC(Verifiable Credential) 표준의 확산입니다. DID는 식별자 인프라고, VC는 그 위에 올리는 데이터 형식인데, VC 표준이 사실상 디지털 증명서의 공통 형식으로 자리잡으면 기업들이 앞다투어 각종 증명서를 VC로 발행할 가능성이 높습니다. 운전면허, 졸업장 뿐 아니라 사원증, 회원증, 각종 라이선스까지 VC로 발행되어 지갑에 담고 다니는 시대가 멀지 않을 것입니다. 다만 DID/VC 기술이 안착하기 위해서는 일관된 사용자 경험(UX) 제공과 명확한 이점 제시가 필수입니다. 일반 사용자가 “이게 편하고 안전하구나”라고 느껴야 자발적으로 쓰게 될 테니까요. 이를 위해 개발자 커뮤니티와 표준기구에서는 지갑 간 호환성, UX 베스트 프랙티스, 보안 인증 등에 힘쓰고 있습니다. 궁극적으로 DID가 성공한다면, 온라인 상에서 개인이 스스로 신뢰를 증명하는 새로운 신원 환경이 구축될 것입니다. 이는 현재의 구글/페이스북 로그인 등 거대 기업 위주의 아이덴티티 실태를 바꾸는 일이기도 합니다.

FIDO와 DID의 상호 보완 가능성은 매우 높습니다. 사실 이 둘은 대체 관계가 아니라 역할이 다르기 때문에, 오히려 결합했을 때 시너지가 큽니다. 예를 들어 DID 지갑을 FIDO 인증으로 보호하면 사용자가 지갑을 열 때 매번 비밀번호를 입력하지 않아도 되어 편리하면서도 도난 위험을 낮출 수 있습니다​biometricupdate.com. 이미 많은 DID 지갑 앱이 내부적으로 디바이스의 생체인증(FIDO)을 연동하여 지갑 접근을 제어합니다. 또한 DID 기반 서비스를 이용할 때, 로그인 단계는 기존 계정 로그인 대신 DID Auth + FIDO로 구현할 수 있습니다. 이때 FIDO는 DID 소유 증명 과정에서 개인키 서명용으로 활용되거나, DID를 OpenID Connect 등 표준 프로토콜과 연결하는 브릿지로 쓰일 수 있습니다​biometricupdate.com. 한편, FIDO Alliance 내부에서도 분산ID와 연계에 관심이 높아 2022년에는 디지털 ID 기업들을 잇따라 회원사로 받아들이고 세미나 주제로 다루기도 했습니다​biometricupdate.com. 실제로 세계적 보안기업 Avast는 DID 전문 기업(Evernym, SecureKey)을 인수하고 FIDO 얼라이언스에 가입하여, **“Where FIDO Meets SSI”**라는 컨퍼런스 발표를 통해 두 기술의 통합 방안을 모색했습니다​authenticatecon.com. 요지는, FIDO는 공개키 제어 증명, DID는 신원 전체 증명에 강점을 가지므로, FIDO로 DID를 제어하고 DID로 FIDO 인증에 신원 정보를 부여하면 이상적인 조합이 된다는 것입니다​biometricupdate.com. 예컨대 웹사이트에 로그인할 때 FIDO로 “이 사용자가 등록된 DID 지갑 소유자임”을 인증하고, 추가로 DID를 통해 “이 사용자는 자격증 X를 보유함”을 증명하는 식으로 이원화된 기능을 수행할 수 있습니다​biometricupdate.com. 모바일 운전면허증 사례처럼 하나는 안전한 열쇠 역할, 다른 하나는 안전한 증명서 역할을 하는 구조입니다​byline.network.

향후 우리는 패스키와 디지털 신분증이 만나는 환경을 기대해볼 수 있습니다. 사용자는 패스키로 기기에 로그인하고, 그 기기에 담긴 DID 신분증으로 서비스를 이용하는 흐름입니다. 또는 서비스 자체가 소유한 계정 대신 DID 기반 탈중앙 로그인을 지원하고, 거기에 FIDO를 써서 사용자의 편의와 보안을 보장하는 형태일 수도 있습니다. 이러한 상호보완적 활용은 사용자 프라이버시와 보안, 편의성을 모두 충족시킬 수 있는 이상적인 방향입니다. 기술적 표준 정합성과 다양한 이해관계자의 협력이 필요하지만, 이미 업계에서는 FIDO와 DID의 결합을 현실화하기 위한 움직임이 시작되었습니다​biometricupdate.com.

요약하자면, FIDO는 지금도 현실에서 비밀번호를 밀어내고 우리의 로그인 경험을 바꾸고 있으며, DID는 다가오는 미래에 우리의 신원 증명 방식을 재편할 것입니다. 둘은 대비되는 개념처럼 보이지만 사실 **“인증” vs “신원”**이라는 차이만 있을 뿐, 공개키 암호 기술로 사용자에게 주권을 주자는 동일한 이상을 공유합니다​blog.avast.com. 결국 **패스워드 없는 안전한 인증(FIDO)**과 **중앙 권위 없는 자기주권 신원(DID)**이 만나게 되면, 인터넷 상에서 보다 신뢰성 있고 개인정보 친화적인 아이덴티티 생태계가 완성될 것입니다. 그날이 머지않았으며, 두 기술의 지속적인 발전과 협업이 이를 앞당길 것으로 기대됩니다.

참고한 자료:

• FIDO Alliance 공식 문서 및 Ping Identity 자료​pingidentity.com​pingidentity.com
• W3C Decentralized Identifiers v1.0 및 개발자 블로그​velog.io​velog.io
• LG CNS 블로그: DID 개념과 필요성​lgcns.com​lgcns.com
• 바이라인네트워크: 모바일 운전면허증의 FIDO/DID 적용 사례​byline.network​byline.network
• Biometric Update: FIDO와 DID 통합 논의 (Avast 발표)​biometricupdate.com​biometricupdate.com
• 기타 출처: 금융/의료 FIDO 적용 사례 및 DID 동향​pingidentity.com​velog.io