esatus AG는 디지털 및 분산형 신원을 전문으로 하는 IT 서비스 제공업체입니다. 이 블로그에서 esatus AG의 CIO인 안드레 쿠드라 박사는 최근 몇 년간 발생한 대규모 기업 사기 사건이 기술 검증 없는 신뢰는 더 이상 선택 사항이 아니라는 것을 명확하게 보여줍니다. 이러한 이의 제기를 해결하기 위해 vLEI 인증기기를 IT 시스템에 통합하면 조직 간의 관계에 고객확인제도(KYC) 원칙을 적용할 수 있습니다. 이를 통해 기업은 디지털 검증이 가능하여 위험을 줄이고 신뢰가 가정이 아니라 입증되는 경제의 토대를 마련할 수 있습니다.
조직의 디지털 신원 확인이 필요한 이유는 무엇인가요?
디지털 협업은 전 세계 경제의 표준이 되었습니다. 기업은 데이터를 교환하고, 파트너 직원에게 자사 플랫폼에 대한 액세스 권한을 부여하고, 결제를 승인합니다. 하지만 한 가지 중요한 안전장치가 누락되는 경우가 많습니다: 바로 상호 작용의 상대방은 누구일까요?
이 문제는 이메일 도메인, 회사 로고, 수동으로 관리되는 파트너 목록과 같은 간접적인 신호를 통해 조직을 '식별'하는 경우가 많다는 사실에서 비롯됩니다. 이러한 방법은 신뢰할 수 없고 조작하기 쉬우며 확장하기가 어렵습니다. 그리고 조직이 기술 대신 신뢰에 의존하여 검증할 경우, 그 결과는 실제적이고 비용이 많이 듭니다.
신뢰가 검증을 대체하면 어떤 일이 벌어질까요?
합법적인 공급업체로 위장하여 가짜 송장을 보내 세계 최대 기술 기업 두 곳으로부터 1억 달러 이상을 챙긴 사기범을 기억하시나요? 아니면 장기적인 비즈니스 파트너를 사칭한 범죄자에게 수천만 달러를 송금한 주요 자동차 공급업체를 기억하시나요?
헤드라인을 장식한 두 가지 사례지만, 이는 모든 규모의 기업에 영향을 미치는 훨씬 더 심각한 문제를 지적하고 있습니다. 유럽연합 지적재산권청(EUIPO)과 유로폴의 공동 보고서에 따르면 허위 인보이스와 기업 사칭 사기로 인해 유럽 기업들만 연간 2600만 유로 이상의 손해를 보고 있는 것으로 나타났습니다. 이 수치는 상대적으로 낮게 보일 수 있지만 이는 눈에 보이는 최소한의 수치에 불과합니다. 최근 몇 년 동안 수천 건의 허위 결제 요청이 적발되었지만 대부분은 신고되지 않았습니다. 유럽 전역의 수백만 명의 잠재적 표적을 고려할 때, 실제 손실은 공식 수치보다 훨씬 더 클 것입니다.
규모에 관계없이 거의 모든 사례는 관련 조직의 신원이 기술적으로 확인되지 않는다는 동일한 결함을 공유합니다.
조직의 신원 확인은 이 문제를 어떻게 해결할 수 있을까요?
기업 시스템에서 사용자는 개인으로 로그인합니다. 하지만 컴플라이언스 감사, 공급업체 온보딩, 데이터 액세스 또는 규제 보고와 같은 많은 프로세스에서는 개인 뒤에 있는 조직과 그 조직 내에서 공식적인 역할을 파악해야 합니다.
검증 가능한 법인식별기호(vLEI)는 이러한 요구를 해결합니다. 이는 조직을 위한 디지털 자격 증명으로, GLEIF의 거버넌스에 따라 공인 vLEI 발급자(QVI)가 발급합니다. 이는 조직이 공식적으로 존재하며 특정 개인이 조직을 대신하여 행동할 권한이 있음을 확인합니다. 모든 정보는 암호화 방식으로 보호되고 기계 판독이 가능하며 GLEIF의 vLEI 생태계 내에서 검증할 수 있습니다.
기존 IT 시스템 내에서 이 신원을 운영하기 위해 GLEIF와 esatus AG는 vLEI 인증기를 공동 개발했습니다. 이 인증기를 통해 개인은 자신의 조직과 조직 내에서 승인된 역할에 대한 암호학적 증명을 통해 IT 시스템에 인증할 수 있습니다. VLEI 인증기는 암호화 로그인 확인을 수행하며 표준 IAM 구성 요소와 같이 로그인 흐름에 통합할 수 있습니다. 하지만 기존의 SSO 메커니즘이 아닌 검증 가능한 조직 자격 증명을 기반으로 합니다. 이는 기업들이 데이터를 공유하거나 결제를 승인하거나 디지털 방식으로 상호 작용하기 전에 서로를 자동으로 확인할 수 있는 세상을 향한 첫걸음을 내딛는 것입니다. 간단히 말해, "우리는 이 사람이 우리의 파트너라고 믿습니다"를 "우리는 이 사람이 우리의 파트너임을 알고 있습니다"로 바꿉니다
VLEI 인증기는 실제로 어떻게 작동합니까?
VLEI 인증기는 표준 ID 및 액세스 관리 플랫폼과 통합됩니다. 예를 들어 사용자 또는 조직이 문서 또는 애플리케이션에 액세스하기 위해 보호된 시스템에 로그인하면 vLEI 인증기는 GLEIF 신뢰 프레임워크에 대해 vLEI 자격 증명의 유효성을 검사합니다. 자격 증명이 유효한 경우에만 액세스가 허용됩니다. 신뢰성은 가정이 아니라 프로세스의 속성이 됩니다.
이 접근 방식을 통해 기업은 어떤 이점을 얻을 수 있습니까?
VLEI 인증기는 기존 사용자 이름 및 비밀번호에 대한 의존도를 낮추고 인증 프로세스에 검증 가능한 조직 자격 증명을 추가하여 공유 데이터 환경, 공급자 포털 또는 기업 애플리케이션 등의 시스템에서 로그인 시나리오를 보호함으로써 다양한 이점을 제공합니다:
현재 이미 솔루션을 사용 중인가요?
Nextcloud 데모 환경에서 조직은 vLEI 인증기를 사용하여 기업 신원 및 직원의 대리 권한을 모두 성공적으로 확인했습니다. 확인을 거친 후에만 데이터에 대한 액세스 권한이 부여되었습니다. 이 프로세스는 몇 초 만에 완료되어 일반적으로 몇 시간 또는 며칠이 걸리는 수동 검토를 대체했습니다.
검증 가능한 조직 신원의 다음 단계는 무엇인가요?
GLEIF의 vLEI, 표준화된 신원 프로토콜, 기존 엔터프라이즈 소프트웨어를 결합하면 새로운 디지털 신뢰 인프라 계층이 만들어집니다. 향후에는 EUDI 월렛과 같은 유럽 이니셔티브와 연결하여 조직이 국경을 넘어 신원을 안전하고 일관되게 검증할 수 있도록 지원할 수 있습니다. 이로써 우리는 더 이상 신뢰를 전제로 하지 않아도 되는 세상에 더 가까이 다가갈 수 있습니다. 이는 검증 가능한 사실이 될 것입니다.
블로그 게시물에 댓글을 추가하려면 영어 GLEIF 웹사이트 블로그 기능을 이용하여 댓글을 추가해주십시오. 이름과 성을 써서 자신이 누구인지 밝혀주십시오. 이름은 댓글 옆에 표시됩니다. 이메일 주소는 공개되지 않습니다. 토론 게시판을 이용하거나 게시물을 등록하는 것은 GLEIF 블로그 정책 약관을 준수하는 것에 동의하는 행위이므로, 해당 약관을 주의 깊게 읽어주십시오.
안드레 쿠드라 박사는 esatus AG의 CIO입니다. 그는 자주적 신원 확인 분야의 대표적 인물 중 한 명으로 국제적으로 인정받고 있습니다. 그는 IDunion, Trust over IP, vLEI와 같은 글로벌 이니셔티브 등 표준화 및 거버넌스 단체를 적극적으로 형성하고 있습니다. 그는 심도 있는 기술 전문 지식과 규제 프레임워크에 대한 전략적 이해를 겸비하고 있습니다. 기업가이자 기술 리더로서 수년간 신뢰할 수 있는 디지털 신원 생태계의 개발을 주도해 왔습니다.
