오픈AI 샘 알트만이 추진하는 월드코인(Worldcoin)은 홍채 인증을 통해 획득할 수 있는 특이한 암호화폐다. 이런 월드코인에서 암호화폐 발행과 관련한 홍채인증 장치인 오브(Orb) 소프트웨어가 오픈소스화됐다.
월드코인은 홍채인증 장치인 오브를 활용해 자신의 홍채를 스캔하면 디지털 암호화폐 WLD를 받을 수 있는 암호화폐. 2023년 7월 서비스가 시작됐지만 그 이전부터 가난한 이들을 대상으로 설명 없이 홍채 스캔을 진행해온 것으로 지적됐고 서비스 개시 후에도 케냐와 스페인에서 프라이버시와 데이터 보호 측면에서 서비스 제공이 일시 중단되는 사태가 있었다.
이런 가운데 월드코인이 홍채인증 장치인 오브 소프트웨어 컴포넌트를 오픈소스화한다고 발표한 것. 오픈소스화된 오브 관련 소프트웨어는 MIT 라이선스와 아파치 라이선스 2.0 듀얼 라이선스 하에 깃허브에 공개됐다.
이번에 공개된 소프트웨어는 이미 오픈소스화된 오브 하드웨어와 홍채인증 기술을 보완하는 것으로 구체적으론 오브에서의 이미지 처리 투명성과 프라이버시 측면을 검증 가능하게 한다. 월드코인 측은 이번에 오픈소스화된 오브 소프트웨어 컴포넌트에 대해 촬영 이미지를 월드 앱으로 안전하게 전송하기 위한 코드가 모두 포함되어 있다고 설명했다.
따로 오브에서 생성되어 월드 ID로 검증 중인 홍채 코드를 만드는 데 사용되는 이미지나 메타데이터, 파생데이터 등 정보를 사용자 기기에 보관할 수 있게 하는 퍼스널 커스터디(Personal Custody)도 발표됐다. 이를 통해 사용자는 개인정보 흐름을 직접 제어할 수 있게 되며 개인정보가 사용자 하드웨어 밖으로 나가지 않게 된다.
퍼스널 커스터디에는 디바이스, 오브, 이미지 포함 데이터 패키지, 전송용 임시 백엔드 스토리지 등 4가지가 포함되며 다음과 같은 절차로 데이터를 취급하게 된다.
첫째 사용자 스마트폰에서 공개키-비밀키 쌍을 생성해 데이터를 암호화하고 생성한 공개키를 백엔드로 전송한다. 둘째 백엔드에서는 이중 암호화가 필요한 모든 데이터에 대해 추가키를 생성하고 공개키를 오브로 전송한다. 셋째 오브에서 월드 ID 검증에 필요한 이미지를 생성한다. 넷째 오브에서 개별 데이터 패키지를 생성해 암호화하고 신뢰성과 보안을 위해 서명한 뒤 이미지를 삭제하기 전에 백엔드로 전송한다. 마지막으로 암호화된 데이터 패키지는 백엔드에서 삭제되기 전에 사용자 스마트폰으로 다운로드된다.
이 절차에서 중요한 점은 백엔드에서 데이터 패키지를 복호화할 수 없다는 것. 모든 데이터가 공개키로 암호화되어 최종적으론 사용자 기기에만 암호화된 데이터 패키지가 존재한다. 사용자 정보는 디바이스로 전송된 뒤 오브에서 삭제된다. 엔드투엔드 암호화와 데이터 이중 암호화는 사용자 기기가 파손되더라도 데이터 기밀성과 프라이버시를 보호하는 안전 대책이다.
퍼스널 커스터디 실행에 따라 사용자 생체인증 데이터를 저장하고 암호화하는 옵션은 폐지된다. 관련 내용은 이곳에서 확인할 수 있다.