디지털 신원 관리에서 인증은 여전히 가정에 의존합니다. 우리는 사용자가 누구라고 주장하는 자격증명, 암호 또는 토큰을 확인하지만, 사용자가 누구를 대표하거나 어떤 권한으로 행동하는지는 거의 확인하지 않습니다. Esatus AG의 CIO인 안드레 쿠드라 박사( 는 이전에 GLEIF와 협력하여 개발한 vLEI 인증기가 신뢰 주장이 아닌 암호화 증명을 기반으로 검증 가능한 조직 신원과 위임된 역할을 설정하여 이러한 격차를 해소하는 방법을 설명한 바 있습니다() ). 이 후속 글에서 쿠드라 박사는 vLEI 인증자를 뒷받침하는 기술적 토대를 자세히 설명합니다.
"사용자"만으로는 충분하지 않은 경우
엔터프라이즈 시스템에서 사용자는 개인으로 로그인합니다. 그러나 컴플라이언스 감사, 공급업체 온보딩, 데이터 액세스 및 규제 보고와 같은 많은 프로세스에는 개인 뒤에 있는 조직과 조직 내 공식적인 역할에 대한 지식이 필요합니다. 또한 기존의 ID 시스템, 심지어 연합 또는 SSO 기반 시스템도 "사용자 X는 Y 회사에 소속되어 있다"와 같은 주장에 의존합니다 이러한 주장은 암호화로 검증할 수 없으며 디렉터리 유지 관리 또는 계약상의 신뢰에 의존합니다.
검증 가능한 법인식별기호(vLEI)는 이러한 한계를 해결합니다. 인증 연쇄 데이터 컨테이너(ACDC) 기술과 키 이벤트 영수증 인프라(KERI) 프로토콜을 활용하는 이 식별기호는 GLEIF 거버넌스에 따라 공인 vLEI 발급기관(QVI)이 발급하는 조직용 디지털 자격증명입니다. 이는 조직이 공식적으로 존재하며 특정 개인이 조직을 대신하여 행동할 권한이 있음을 확인합니다. 모든 정보는 암호화되어 있고, 기계 판독이 가능하며, GLEIF의 vLEI 생태계 내에서 검증할 수 있습니다.
공식 조직 역할(OOR) 또는 참여 컨텍스트 역할(ECR) 자격 증명과 결합하면 vLEI는 개인이 속한 조직뿐만 아니라 CFO, 컴플라이언스 책임자 또는 권한 대리인과 같이 수행하는 기능도 표현할 수 있습니다.
VLEI 인증자는 실제 ID 및 액세스 관리(IAM) 시스템에서 이 개념을 운영합니다. 작동 방식은 다음과 같습니다.
신원에서 확인까지: 실용적인 아키텍처
VLEI Authenticator는 서비스 공급자 인터페이스(SPI)를 통해 오픈 소스 IAM 솔루션인 Keycloak과 통합됩니다. Keycloak 자체를 수정하지는 않지만 추가 확인 단계로 인증 흐름을 확장합니다.
사용자가 'vLEI로 로그인'을 선택하면 Keycloak은 esatus에서 개발한 오케스트레이션 계층인 SOWL에 프로세스를 위임합니다. SOWL은 지갑, 검증자, 발급자와 같은 탈중앙화된 ID 구성 요소를 엔터프라이즈 IAM 인프라와 연결합니다. 확인 가능한 자격 증명의 요청, 제시 및 유효성 검사를 조정한 다음 서명된 확인 결과를 Keycloak에 반환하여 일반적인 OIDC(OpenID Connect) 또는 SAML 토큰을 발급합니다.
실제로 대부분의 프로세스는 백그라운드에서 자동으로 실행됩니다. 즉, 사용자 입장에서는 옵션을 선택하고 지갑에서 자격증명 프레젠테이션을 확인하는 것만큼 간단합니다.
다음 순서는 백그라운드에서 일어나는 일을 설명합니다:
이 흐름에서 암호는 선택 사항이며 기존 사용자 이름-암호 로그인과의 호환성은 유지됩니다. 로그인은 조직 자격증명(vLEI)과 역할 자격증명(OOR 또는 ECR)이 모두 유효하고 암호화 서명되어 있으며 권한이 있는 발급기관을 추적할 수 있는 경우에만 성공합니다. GLEIF는 이를 vLEI 신뢰 체인이라고 부릅니다.
SOWL: 기업 규모에서 검증 가능한 자격 증명 만들기
참조된 바와 같이 SOWL은 다양한 시스템에서 검증 가능한 자격 증명을 관리하기 위해 esatus에서 개발한 플랫폼 계층입니다. 이 설계는 EU ARF(아키텍처 참조 프레임워크)에 부합하며 OpenID4VCI 및 OpenID4VP와 같은 표준과 SD-JWT 및 mDoc과 같은 자격증명 형식을 지원합니다.
VLEI 인증기 사용 사례에서 SOWL은 세 가지 핵심 기능을 제공합니다:
검증 로직을 IAM 시스템에서 분리함으로써 SOWL은 기존 인프라가 재설계 없이도 검증 가능한 자격 증명을 사용할 수 있도록 합니다. 이는 기업의 제어와 추적성을 유지하면서 신뢰 경계를 탈중앙화된 신원 영역으로 확장합니다.
거버넌스와 암호화의 결합
VLEI 생태계에서는 거버넌스와 암호화가 함께 작동합니다. GLEIF는 LEI 및 vLEI에 대한 규칙과 신뢰 앵커를 정의하지만 이를 발급하지는 않습니다. QVI는 OOR 자격 증명뿐만 아니라 법인 vLEI에 대해 정의된 거버넌스에 따라 발급하며, 법인은 자체 ECR 자격 증명을 관리합니다. 이 계층화된 신뢰 모델은 거버넌스, 발급, 검증 및 액세스 제어를 단일 체인으로 연결합니다:
결론은 인증이 단순히 로컬 신뢰 결정이 아니라 거버넌스되고 검증 가능한 프로세스가 된다는 것입니다.
실제 통합을 통해 얻은 교훈
VLEI 기반 인증은 생산적인 엔터프라이즈 환경에서 테스트 및 배포되어 명확한 핵심 교훈을 발견했습니다:
그 결과 확인 가능한 자격 증명을 통해 개인의 역할과 조직의 권한을 자동으로 검증하는 로그인 프로세스가 탄생했습니다. 조직은 vLEI 인증기를 사용하여 기업의 신원과 직원의 권한을 모두 성공적으로 확인했습니다. 데이터에 대한 액세스 권한은 확인 후에만 부여되었습니다. 이 프로세스는 몇 초 만에 완료되어 일반적으로 몇 시간 또는 며칠이 걸리는 수동 검토를 대체했습니다.
GLEIF의 생태계 내 배포는 검증 가능한 인증이 실제 사용 준비가 되었음을 보여주지만, 다음 과제는 상호 운용성입니다. 향후 작업은 인증기를 유럽 디지털 신원(EUDI) 비즈니스 월렛과 같은 월렛 기반 신원 프레임워크와 통합하는 데 중점을 두고 있습니다. KERI/ACDC와 SD-JWT VC는 서로 다른 기반에 의존하지만, 둘 다 암호화를 통해 검증된 분산 신뢰라는 공통된 원칙을 공유합니다. 이러한 아키텍처를 연결하면 기업 IAM과 유럽의 디지털 신원 인프라를 연결하여 '신뢰'를 가정이 아닌 공유된 운영 계층으로 전환할 수 있습니다.
로그인에서 신뢰 구축까지
VLEI 인증기는 기존 아키텍처를 방해하지 않고 조직의 신원과 위임된 역할을 기업 시스템에 포함시킬 수 있는 방법을 보여줍니다. GLEIF의 거버넌스, 검증 가능한 자격증명, SOWL의 오케스트레이션을 결합함으로써 인증은 설계상 검증 가능하고, 암호학적으로 증명 가능하며, 감사 가능하고, 정책 중심이 될 수 있습니다.
이는 기업 액세스가 공유된 비밀이 아니라 조직과 부문 전반에 걸쳐 공유되고 검증 가능한 진실에 기반하는 미래를 가리킵니다.
블로그 게시물에 댓글을 추가하려면 영어 GLEIF 웹사이트 블로그 기능을 이용하여 댓글을 추가해주십시오. 이름과 성을 써서 자신이 누구인지 밝혀주십시오. 이름은 댓글 옆에 표시됩니다. 이메일 주소는 공개되지 않습니다. 토론 게시판을 이용하거나 게시물을 등록하는 것은 GLEIF 블로그 정책 약관을 준수하는 것에 동의하는 행위이므로, 해당 약관을 주의 깊게 읽어주십시오.
안드레 쿠드라 박사는 esatus AG의 CIO입니다. 그는 자주적 신원 확인 분야의 대표적 인물 중 한 명으로 국제적으로 인정받고 있습니다. 그는 IDunion, Trust over IP, vLEI와 같은 글로벌 이니셔티브 등 표준화 및 거버넌스 단체를 적극적으로 형성하고 있습니다. 그는 심도 있는 기술 전문 지식과 규제 프레임워크에 대한 전략적 이해를 겸비하고 있습니다. 기업가이자 기술 리더로서 수년간 신뢰할 수 있는 디지털 신원 생태계의 개발을 주도해 왔습니다.
