피드로 돌아가기
유럽 디지털 ID 지갑, Google·Apple 안전 서비스에 의존
GeekNewsGeekNews
Security

유럽 디지털 ID 지갑, Google·Apple 안전 서비스에 의존

민간 Remote Attestation 의존으로 인한 공공 ID 인프라의 기술 종속 및 배제 문제

neo2026년 7월 1일18advanced

Context

유럽 디지털 ID 지갑 구축 과정에서 기기 무결성 검증을 위해 Google Play Integrity API 및 Apple Managed Device Attestation에 의존하는 구조 설계. 하드웨어 루트 오브 트러스트(Root of Trust) 검증 권한을 민간 기업에 위임함에 따라 특정 OS 사용자 배제 및 기술 주권 침해 가능성 발생.

Technical Solution

  • Remote Attestation 도입을 통한 앱 변조 방지 및 정품 인증 기기 실행 환경 강제
  • Google Play Store 설치 여부와 라이선스 Android 실행 여부를 기준으로 삼는 무결성 검증 로직 적용
  • 하드웨어 기반 보안 확인을 제공하되 생태계 정책을 강제하지 않는 Android Hardware Attestation API 대안 검토
  • 물리적 신분증 카드를 증명 원천으로 삼아 기기 OS 의존성을 제거하는 하드웨어 토큰 기반 인증 방식 제안
  • 영지식 증명(ZKP) 및 블라인드 서명을 통한 범용 OS 독립적 익명 연령 확인 구조 설계 필요성 제기

- 공공 인프라 설계 시 특정 벤더의 Proprietary API가 접근 제어의 결정적 기준(Decision Point)이 되는지 검토 - Hardware Attestation 도입 시 OS 수준의 락인(Lock-in)과 개방형 표준 간의 Trade-off 분석 - 보안 요구사항 충족을 위해 소프트웨어 증명 대신 물리적 보안 토큰(FIDO, 스마트카드 등)을 활용한 Out-of-band 인증 고려 - 다양한 OS 배포판(de-Googled OS 등)에서의 상호운용성을 보장하는 Fallback 메커니즘 설계

원문 읽기