독일 eIDAS, 미국 IT 기업에 종속되는가?

eIDAS 2.0은 검증 가능한 자격 증명(Verifiable Credentials)을 저장하고 암호화된 증명을 활용하는 방식으로 설계되었다. 독일 구현은 모바일 기기의 HKS(Hardware Key Store) 및 Play Integrity와 같은 플랫폼 보안 기능을 활용하여 사용자 인증을 수행한다. 이러한 접근 방식은 디바이스 무결성(Device Integrity)을 보장하지만, 특정 플랫폼에 대한 의존성을 높이는 결과를 초래한다.

커뮤니티에서는 독일 eIDAS 구현이 Apple 및 Google 계정을 요구하는 것에 대해 기술적 종속성(Technological Dependency) 문제를 제기한다. 특히, 제재 대상자나 특정 그룹이 서비스에 접근할 수 없게 될 수 있다는 점을 지적하며, 이는 개방성(Openness)과 접근성(Accessibility)을 저해하는 요소로 작용한다. 또한, 데이터 미저장 정책(Zero-Retention Policy) 부재에 대한 우려도 제기된다.

eIDAS 구현은 모바일 기기의 보안 기능에 의존하므로, 취약점(Vulnerability)이 발견될 경우 심각한 보안 위협으로 이어진다. 특히, 루팅(Rooting)된 기기나 커스텀 롬(Custom ROM) 사용 시 보안이 취약해질 수 있다. 또한, 사용자 데이터가 Apple/Google과 같은 기업에 의해 관리됨으로써 개인 정보 보호(Privacy)에 대한 우려가 발생하며, 이는 GDPR 규제 준수(GDPR Compliance)와도 관련된다.

커뮤니티에서는 자기 주권 신원(Self-Sovereign Identity, SSI), 하드웨어 토큰(Hardware Token), 오픈 소스(Open Source) 기반의 솔루션을 대안으로 제시한다. SSI는 사용자가 자신의 신원을 직접 관리하고, 하드웨어 토큰은 플랫폼 종속성을 줄이며, 오픈 소스 솔루션은 투명성을 높여 보안을 강화할 수 있다. 이러한 대안들은 디지털 주권(Digital Sovereignty)을 확보하고, 기술 종속성(Technological Dependency) 문제를 해결하는 데 기여할 수 있다.