에스토니아에서는, 시민이 공공 서비스에 접속하기 위한 디지털 케이트웨이로서 "e-ID"가 이용되고 있다. 이 e-ID의 구조를 실현하기 위해, 어떤 기술이 이용되고 있는지를 알아볼까 한다.
e-ID의 기반이 되고 있는 것은 2001년에 에스토니아 정부에 의해서 개발된 데이터 교환 레이어 "X-Road"이다. 이 기술에 의해 인터넷을 통해 조직 간에 기밀성 높은 데이터를 안전하게 주고받을 수 있게 됐다는 것. 2016년에 오픈소스화 되었으며, 핀란드 등 다른 나라 시스템에도 도입되고 있다.
에스토니아 정부가 보유하고 있는 데이터는 분산화되어 있어, 에스토니아 국내뿐만 아니라, 국외에 존재하는 데이터 센터에도 보존되어 있다. 다만 데이터센터는 완전히 에스토니아 정부의 관리하에 있어, 물리적인 대사관과 동등한 외교 특권을 행사할 수 있어 데이터 대사관으로 불린다는 것.
X-Road의 인프라 설계는 다음과 같다. "중앙 서비스(Central Services)", "보안 서버"가 메인으로 되어 있으며, 그 외부에 데이터의 송신원과 송신지가 접속되고, 그리고 신뢰성을 보장하기 위해서 시각 인증국(TSA)이나 인증국(CA)이 이용되고 있다. 이 구성을 보면 알 수 있듯이 X-Raod는 기존의 테크놀로지를 조합하여 개발되었으며, X-Road가 ID 시스템으로 성공한 이유 중 하나라고 Privacy International은 분석하고 있다.
각각의 자세한 내용을 보면 이런 느낌. 중앙 서비스에는 중앙 서버가 존재하며, 여기에 X-Road에 연결되어 있는 멤버 및 해당 보안 서버 목록과 신뢰할 수 있는 TSA 및 CA 목록이 저장되어 있다. 보안 서버는 실제로 데이터를 주고 받는 처리를 하기위한 서버로 중앙 서버와 HTTP를 이용하여 접속하고 있다.
X-Road로 데이터를 제공하는 멤버가 REST 혹은 SOAP에서 접근 가능한 시스템을 보안 서버에 공개하면, X-Road가 해당 정보를 다른 멤버에게 전달. 데이터의 이용자가 제공자의 시스템에 직접 액세스 하는 것이 아니라, 시큐러티 서버를 경유하는 것으로, 서명이나 인증을 실시하고, 안전하게 통신을 실시할 수 있는 것 외에, 타임스탬프를 부여하거나 로그에 보존하거나 하여, 나중에 통신이 있었던 것을 증명할 수 있게 되어 있다.
X-Raod에서 이용되고 있는 암호 알고리즘은 공개되어 있으며, 모두 널리 보급되어 있다. 그 때문에 암호 알고리즘 자체는 문제 없다고 생각해도 좋을 것 같다. 그러나 2011년 정부가 e-ID의 물리적인 카드를 배포하였을 때, 본래 카드 칩 내에서 생성해야 하는 개인 키가 제조원 서버에서 생성되어 카드에 복사되는 실수가 있었던 것으로 드러나는 등 시스템의 기타 부분에 문제가 있을 가능성은 남아 있다.
이러한 X-Road 시스템을 통해, 에스토니아 정부와 데이터를 공유하는 것은, 현시점에서 핀란드와 아이슬란드 뿐이지만, X-Road 시스템 자체는 기타 국가에서도 폭넓게 이용되고 있다고 한다.
덧붙여 X-Road로 대표되는 에스토니아의 전자 통치의 원칙은 아래와 같이 공개되고 있다.
. 지방분권화
데이터베이스를 중앙에서 일관 관리하는 것이 아니라, 정부 부문, 부처, 기업이 독자적인 시스템을 선택하고 관리할 수 있게 되어 있다.
. 상호연결성
모든 시스템이 데이터를 안전하게 교환할 수 있고, 원활하게 연결된다.
. 정합성
모든 데이터 교환, M2M 통신, 저장 데이터, 로그 파일은 독립적이며 완전한 책임을 진다.
. 오픈 플랫폼
모든 기관이 인프라를 이용할 수 있는 오픈소스이다.
. 레거시 없음
계속적으로 법과 테크놀로지를 개선.
. 1회한
데이터는 기관에서 1회만 수집되며 데이터가 중복되지 않는다.
. 투명성
시민은 자신의 개인정보를 확인하거나 로그파일을 통해, 정부가 어떻게 개인정보를 이용하고 있는지 확인할 권리가 있다.
