COVID-19 백신의 개발 및 보급에 대한 낙관론은 백신 접종자들을 효율적으로 기록하고 인증하려는 노력에 박차를 가했습니다. 이는 소지자가 국가 간 이동을 하거나, 직장에 복귀하거나, 학교에 다니거나, 행사에 참여하거나, 질병에 취약한 사람들과 함께 일할 수 있도록 하는 ‘백신 접종 여권’을 어떻게 만들 것인가에 대한 새로운 논의를 불러일으켰습니다.
백신 개발과 마찬가지로 이에 대한 솔루션의 발전도 놀라울 만큼 빠르게 진행되었습니다. 그러나 구체적으로 어떤 문제가 관련되어 있으며, 도입하면 어떤 상황이 벌어질까요?
기본적으로 백신 접종 여권에는 개인에 대한 정보, 접종받은 백신의 종류, 백신 접종 날짜가 포함되어야 합니다. 예를 들어 국경 통제의 경우, 출입국 관리 당국은 여러 가지 질문에 답할 수 있는 충분한 정보가 필요할 것입니다. 이 사람이 정말 본인이 맞는가? 백신을 제공한 기관이 우리나라에서 공인된 곳인가? 명시된 백신은 우리가 인정하는 백신인가? 이 사람이 여기 머무는 동안 그 효력이 사라지지는 않을까? 그리고 이 정보가 유효하고 위조되지 않았음을 어떻게 확인할 수 있을까?
이 모든 복잡함 외에도 백신으로 유도된 면역의 지속성, 변이 바이러스에 대한 백신의 효과 또는 그 효과의 지속 기간에 대한 불확실성이 여전히 남아 있습니다. 그리고 COVID-19가 전 세계적 위기인 상황이므로, 성공적인 솔루션은 각 나라가 이미 보유하고 있는 입국 심사, 건물 출입, 신분 인증 메커니즘 등의 기존 시스템과 자연스럽게 맞물려야 합니다.
또한 성공적인 솔루션은 기술적으로 스마트하면서도 적합해야 합니다. 스마트폰 배터리가 방전되면 작동하지 않거나, 국경 출입 지점이 완전히 수동으로 운영되어 중앙 데이터베이스에 연결되지 않는 경우에는 아무리 첨단 기술 솔루션이라도 실용성이 떨어집니다.
역사에서 얻는 교훈: 전자 여권의 등장
우리가 참고할 수 있는 가장 가까운 역사적 유사 사례는 전자 여권의 등장입니다. 전자 여권은 사진이나 지문과 같은 생체 정보를 담은 칩을 내장한 스마트 여권으로, 칩은 암호화되어 있으며 기계 판독이 가능해 출입국 심사관(또는 자동 게이트)이 문서를 더 쉽게 검증하고 소지자의 신원을 확인할 수 있습니다. 현재 대부분의 나라가 전자 여권을 사용하고 있지만, 이를 가능하게 한 International Civil Aviation Organization(ICAO) 표준을 개발하는 데는 50년이 걸렸습니다.
도전 과제의 일부는 절대 사소하지 않은 보안 문제와 관련이 있었습니다. 여기에는 정보를 비공개로 유지하는 것, 변조되지 않았음을 보장하는 것, 출처를 확인하는 것, 여권의 칩과 판독기가 상호 인증할 수 있도록 하는 것, 연결 설정에 필요한 공개 키와 개인 키의 무결성을 유지하는 것이 포함됩니다.
신뢰할 만한 인사들도 비접촉 기술이 스키밍(데이터를 다른 장치로 읽어 악용하거나 복제하는 행위)이나 원격 데이터 탈취에 노출될 수 있다는 우려를 제기했습니다. 이러한 우려는 미국을 비롯한 여러 나라에서 생체 인식 여권을 이미 도입했던 2005년에도 여전히 제기되고 있었습니다.
또 다른 문제는 데이터 자체를 어디에 저장할지에 관한 것이었습니다. 각국 정부는 여권 데이터를 직접 보관하겠지만, 예를 들어 개인의 비공개 데이터에 접근하기 위한 개인 및 공개 키 기반구조(Public Key Infrastructure, PKI) 데이터는 누가 보관할까요? 또 다른 질문은, 이 경우처럼 UN 산하 기관인 ICAO가 회원국들의 주권 내에서 발생하는 사안에 대해 규정, 절차 및 표준을 강제할 권한이 있는지였습니다.
각국의 목표가 전체 그룹의 목표와 일치하는지에 대해 우려하는 목소리도 있었습니다. ICAO의 경우 칩과 생체 인식 데이터의 기술 표준 개발을 담당하는 ICAO 실무 그룹 같은 기구에 속한 각국 대표들에게 상업적이거나 국가적인 이해관계가 있는지가 쟁점이었습니다.
동시에 ICAO 기술 실무 그룹은 경쟁 기술의 가치를 평가하고 급속한 기술 혁신을 따라잡는 데 어려움을 겪었습니다. 1994년부터 1997년까지 이 그룹은 전혀 회의를 열지 않았고, 1998년에 회의를 재개했을 때도 기술적 관심사는 여전히 바코드에 머물러 있었습니다. 1999년과 2000년에는 생체 인식 기술이 주요 의제로 다뤄지지 않았으며, 2001년에는 회의가 열리지 않았습니다.
한편 미국을 비롯한 개별 국가는 자체적인 의제를 계속 추진했습니다. 예를 들어 2001년 세계 무역 센터 테러 이후 미국 정부는 ICAO의 자체 연구를 근거로 기계 판독형 생체 인식 여권 도입을 강력하게 추진했고, 이 기술을 적용하지 않는 나라들을 비자 면제 프로그램 대상 목록에서 제외하겠다고 압박했습니다. 이러한 비자를 사용하는 여행자는 결국 2016년에 해당 여권을 사용해야 했습니다[1].
이러한 모든 도전 과제로 인해 도입 속도는 느려졌습니다. 2011년경에는 UN 회원국의 절반도 채 안 되는 나라들만 이를 발급했습니다[2]. 이 여정은 백신 접종 여권이 단숨에 시행되기를 기대하는 이들에게 경종을 울리는 사례가 되었습니다.
앞을 내다보며: 표준화와 협력의 필요성
백신 접종 여권의 경우 이러한 모든 문제가 똑같이 발생할 가능성은 작습니다. 솔루션의 시급한 필요성이 정책 입안자, COVID-19 팬데믹으로 인해 고통받는 산업계, 기술 솔루션 제공자들의 관심을 집중시키고 있습니다. 그러나 이러한 시급성이 오히려 상호 운용성이 부족한 다양한 이니셔티브를 낳는 장애 요인이 될 수도 있습니다.
개인 정보 보호는 여전히 지속적인 도전 과제입니다. 생체 인식 출입 통제가 널리 도입된 이후, 개인 정보 보호 옹호자들은 누가 이러한 데이터에 접근할 수 있는지, 그 데이터가 차별적 목적으로 사용되는지, 범죄 통제 등 다른 목적으로 활용되는지 우려를 표명해 왔습니다. 또한 이러한 데이터의 소유권이 누구에게 있는지, 개인이 자신의 데이터를 열람하고 필요시 수정할 권리가 있는지에 대한 어려운 질문들도 제기되었습니다.
이러한 교훈들은 잘 받아들여졌습니다. 백신 접종 여권을 마련하는 주요 이니셔티브들은 거의 모두 개인이 자신의 건강 및 신원 자격 증명을 통제 및 소유하고 그 데이터가 어떻게 사용되는지를 직접 확인하고 의견을 낼 수 있어야 한다는 필요성을 강조하고 있습니다.
그러나 전자 여권의 사례에서 얻은 일부 교훈은 백신 접종 여권에는 그대로 적용되지 않습니다. 차이점 중 하나는 백신 접종 여권이 궁극적으로 물리적 형태와 디지털 형태로 모두 만들어질 수 있다는 점이며, 앱이나 온라인을 통한 대면 사용 등 완전한 디지털 형태로도 사용할 수 있다는 점입니다. 종이형 여권, 즉 컴퓨터 출력물이나 카드와 같은 형태는 휴대전화를 들고 다니지 않는 사람에게는 필요하지만, 분실되거나, 민감한 데이터가 노출되거나, 위변조될 위험이 있습니다. 따라서 온라인에서 검증할 수 있는 요소(가장 가능성 높은 것은 QR 카드 형태)가 포함되어야 하며, 필요할 경우 사용자가 또 다른 사본을 출력할 수 있어야 합니다.
따라서 현재의 노력은 전자 여권과 같이 단일 기관이 완전히 감독하지 않더라도 적어도 상호 운용이 가능한 표준을 개발하는 데 집중되고 있습니다. 이를 해결하기 위해 Microsoft, Accenture, 백신 접종을 장려하는 기관인 Gavi, Rockefeller Foundation이 공동으로 설립한 ID2020이라는 재단이 최근 Good Health Pass Principles(굿 헬스 패스 원칙)를 수립했습니다. 주요 여권 이니셔티브의 핵심 주체 대부분이 이를 지지하고 있으며, 이 원칙이 상호 운용 가능한 디지털 건강 여권 시스템의 청사진을 마련하는 데 도움이 될 것으로 기대됩니다.
이러한 노력은 절실히 필요합니다. 많은 사람이 문제의 공평한 해결책을 찾기 위해 시간과 자원을 할애하고 있는 만큼, 모두가 협력하도록 하는 것이 가장 큰 도전 과제가 될 가능성이 높습니다. 가능한 경우 개방형 표준을 사용하고, COVID-19 및 그 이후의 상황에 맞게 확장할 수 있는 형태여야 한다는 데에는 널리 공감대가 형성되어 있습니다.
하지만 개방형 표준을 사용한다고 할 때, 어떤 표준을 선택할 것인가 하는 문제가 생깁니다. Linux Foundation Public Health(LFPH)가 주관하는 개방형 글로벌 커뮤니티인 COVID-19 Credentials Initiative(CCI)는 웹 표준을 개발하는 주요 기관인 World Wide Web Consortium(W3C) 내에서 만들어진 인증 기술 표준의 사용을 지지합니다. 그러나 이 표준은 만들어진 지 이제 겨우 1년밖에 되지 않아 널리 채택되거나 받아들여지기까지는 시간이 걸릴 수 있습니다.
Good Health Pass Collaborative의 말처럼 “한 가지는 분명합니다. 이 시장 진입 경쟁에서 하나의 솔루션이 전 세계적으로, 혹은 여행 산업 전체에 걸쳐 보편적으로 적용될 가능성은 작습니다.” 실제로 하나의 솔루션은 바람직하지 않을 수 있습니다. 정부는 항공사나 행사장과는 다른 요건이 필요할 수 있기 때문입니다. 그러나 이는 디지털 보건 의료 패스 시스템이 제공할 수 있는 보건 및 경제적 이점을 훼손할 수 있는 단편화로 이어질 수도 있습니다.
기술적이거나 조직적인 문제가 아닌, 사회적 결속력과 윤리 같은 다른 문제들도 고민해야 합니다. 정부가 백신이 효과적이라고 판단한다면, 백신 여권을 소지한 사람이 그것을 즉시 사용할 수 있도록 허용해야 할까요, 아니면 백신 접종을 원하거나 의무적으로 맞아야 하는 모든 사람이 접종을 마치고 여권을 소지할 때까지 기다려야 할까요? 일부 사람들만 이동을 허용하고 다른 사람들은 제한하는 것이 자유를 침해하는 행위일까요?
이러한 문제를 해결하는 것은 새롭게 등장하는 백신 접종 여권 생태계의 성공을 위해 매우 중요합니다. 많은 기관이 이러한 도전 과제에 협력적으로 대응하기 위해 힘쓰고 있지만, 현재의 팬데믹 상황에서 변화를 만들어 낼 만큼 제때 성공할 수 있을지에 대한 의문은 여전히 남습니다.
참고 문헌
[1] “Travel to United States now requires biometric passports”, Cayman Compass.
[2] “E-passports spread to half the globe”, SecureIDNews
