비밀번호 없이 디지털 세계를 탐험할 수 있는 것을 상상해보셨나요? 계정을 등록할 때 얼굴 인식과 같은 첨단 기술만 사용하면 빠르게 등록을 마칠 수 있습니다. 이제 비밀번호를 잊어버릴 걱정이 없고, 해커의 위협에서 벗어나며, 심지어 피싱 사이트의 위험도 피할 수 있습니다—이것이 바로 비밀번호 없는 시대입니다!
현대 디지털 시대에 비밀번호는 널리 사용되고 있지만 도난, 분실, 여러 플랫폼에서의 반복 사용과 같은 문제로 인해 많은 불편함과 지속적인 보안 취약점이 발생하고 있습니다. 이러한 배경에서 FIDO(Fast Identity Online)가 등장했습니다. 이 글을 통해 FIDO가 무엇인지, 그리고 정보 보안 보호 분야에서 어떤 중요한 역할을 하는지 자세히 알아보겠습니다.
FIDO 인증이란?
FIDO에 대해 자세히 알아보기 전에 먼저 FIDO 연맹(Fast Identity Online Alliance)을 이해할 필요가 있습니다. 2013년에 설립된 이 비영리 조직은 전 세계적으로 인증 표준의 채택과 가속화를 추진하고 있으며, 전통적인 비밀번호에 대한 의존도를 줄이고 온라인 신원 검증의 보안성과 편리성을 향상시키는 것을 목표로 하고 있습니다. FIDO 연맹은 Google, Microsoft, Apple, Amazon 등과 같은 기술 대기업을 포함한 다수의 기술 회사, 온라인 서비스 제공업체 및 장치 제조업체로 구성되어 있습니다.
실제로 FIDO(Fast Identity Online)는 제품이 아니라 FIDO 연맹이 정한 일련의 온라인 신원 인증 표준입니다. 이 표준에는 UAF(Universal Authentication Framework), U2F(Universal 2nd Factor), 그리고 가장 최근의 표준인 FIDO2가 포함되어 있습니다. FIDO2는 WebAuthn(Web Authentication)과 CTAP(Client to Authenticator Protocol)을 포함하고 있습니다.
FIDO 인증이 온라인 신원 보안 및 편의성을 어떻게 향상시키는가?
FIDO 표준의 핵심은 공개키와 개인키 암호화, 생체 인식 기술, 물리적 보안 키 등을 활용하여 높은 보안성과 사용 편의성을 제공하는 인증 방법을 제공함으로써 신원 도용 및 사칭 위험을 최소화하고 디지털 신원의 보안을 크게 강화하는 데 있습니다.
공개키와 개인키 암호화 인증
FIDO 아키텍처는 FIDO 클라이언트, FIDO 서버, 인증기(Authenticator)의 세 가지 주요 요소로 구성됩니다. 사용자의 신원 정보는 네트워크 서버가 아닌 물리적 장치에 암호화되어 저장되며, 이는 보안을 강화하여 위험을 분산시킵니다. 이 설정은 해커의 무단 접근을 복잡하게 만들 뿐만 아니라 인증 중에 신원 정보가 네트워크를 통해 전송되는 것을 방지하여 데이터 도청 위험을 감소시킵니다.
생체 인식 통합
점점 더 많은 서비스가 전통적인 비밀번호를 지문, 얼굴 인식, 홍채 스캔과 같은 생체 식별자로 대체하고 있습니다. 이러한 특성들은 고유하며 복제가 어려워 보안성과 사용자 편의성을 모두 향상시키는 이점을 제공합니다. 그러나 장치마다 생체 인식 기술의 변동성을 인식한 FIDO 연맹은 2018년 생체 인증 표준을 도입했습니다.
이 표준은 현재까지 인정받은 유일한 생체 인증 벤치마크로, 생체 인식 솔루션의 정확성과 신뢰성을 보장하기 위해 생체 인식 및 프레젠테이션 공격 감지(PAD)를 엄격히 테스트합니다. 이 표준을 준수함으로써 사용자는 안전한 서비스를 선택할 수 있는 신뢰할 수 있는 기준을 갖게 되며, 제공 업체는 반복적인 검증 없이도 제품의 효율성을 보여줄 수 있어 시간과 비용을 절약할 수 있습니다.
현재 생체 인식 인증 표준은 지문, 음성, 얼굴, 홍채 등 네 가지 범주로 나뉩니다. 공인된 표준을 갖춘 후 사용자는 제품 서비스를 선택할 때 더 확실한 기준을 가질 수 있으며, 인증 서비스 제공자는 제품 성능을 더 직접적으로 보여줄 수 있습니다.
FIDO의 세 가지 주요 인증 프로토콜: UAF, U2F, FIDO2
2014년에 FIDO 연합은 UAF(Universal Authentication Framework)와 U2F(Universal Second Factor)를 포함한 FIDO 1.0 표준을 출시했습니다. 2018년에 FIDO2를 도입하고 W3C 및 ITU와 같은 국제 표준 기관의 인정을 받으면서 비밀번호 없는 인증 개념이 글로벌 수준에서 인정받아 기술 적용을 추진하는 핵심 요소가 되었습니다. 이제 세 가지 기술 표준에 대해 소개합니다:
UAF (Universal Authentication Framework)
UAF 프로토콜은 비밀번호 없는 인증 개념을 촉진하며 사용자가 생체 인식(지문, 얼굴, 음성 인식), PIN 코드, 패턴 잠금 등을 통해 다중 요소 인증을 수행할 수 있도록 합니다. 사용자는 계정을 등록할 때 애플리케이션 서비스 내에서 하나의 기기를 등록하고 지문, 얼굴 인식, 음성 인식, PIN 코드 입력 등의 현지 인증 방식을 선택할 수 있습니다. UAF 서비스에 로그인할 때는 비밀번호를 입력할 필요 없이 등록 시 설정한 인증 방법을 반복하기만 하면 됩니다.
이 방법은 비밀번호 필요성을 제거하여 사용자 경험을 더욱 편리하게 하고 보안을 강화합니다. 많은 인터넷 은행 및 금융 기관이 앱 로그인 페이지에 UAF 기술을 적용하여 보안 수준을 높였습니다.
U2F (Universal 2nd Factor)
U2F 프로토콜은 물리적 보안 키를 이중 인증(2FA)의 일부로 추가하여 전통적인 비밀번호 외에 물리적 인증 수단을 제공함으로써 인증 보안을 강화합니다.
U2F 키는 과거에는 주로 USB를 통해 컴퓨터에 연결되었으며, 이 USB는 FIDO 아키텍처에서 인증기(Authenticator)의 역할을 합니다. 현재는 NFC와 Bluetooth Low Energy(BLE) 같은 방식을 통해 물리적 보안 키의 활용이 확대되었으며, FIDO2 출현 이후로는 스마트폰도 물리적 보안 키로 사용될 수 있습니다. 물리적 보안 키는 지문 인식 모듈과 결합하여 사용자 확인 정확성을 더욱 높일 수 있습니다. 현재 많은 클라우드 서비스 제공업체가 Dropbox, Facebook, GitHub, Google 등 U2F 방식을 사용하여 인증 과정을 강화하고 있습니다.
U2F와 UAF는 보안 인증을 강화하는 것을 목표로 하지만, 그 목표에 약간의 차이가 있습니다. FIDO 연합은 주로 두 가지를 추진합니다: 첫 번째는 비밀번호를 완전히 제거하는 것이며, 비밀번호가 단기간 내에 사라지지 않는 한 현실에서는 불가능합니다; 두 번째는 비밀번호가 계속 존재하는 동안 보안을 강화하는 것입니다. 그러므로 UAF는 비밀번호 없이 로그인할 수 있는 방법을 제공하고, U2F는 이중 인
증을 채택하여 물리적 장치를 두 번째 방어선으로 추가함으로써 보안을 크게 향상시키고 피싱 공격과 같은 정보 유출 위험을 효과적으로 방지할 수 있습니다.
FIDO2
FIDO2는 가장 최근의 인증 프로토콜로, WebAuthn(Web Authentication)과 CTAP(Client to Authenticator Protocol) 두 가지 핵심 기술 표준을 결합했습니다. 이를 통해 모든 웹 응용 프로그램이 통일된 표준을 따르고 개발을 단순화할 수 있으며, 브라우저와 웹 응용 프로그램을 통해 적용 범위를 확장하여 비밀번호 없는 로그인의 영향력을 더욱 확대할 수 있습니다.
WebAuthn은 표준화된 Web API를 정의하여 웹 응용 프로그램에서 직접 비밀번호 없이 또는 이중 인증을 수행할 수 있도록 하여 웹 서비스가 FIDO 인증을 사용할 수 있게 합니다. 현재 Google Chrome, Microsoft Edge, Mozilla Firefox 및 Apple Safari는 모두 FIDO2 인증 규격을 지원합니다.
CTAP은 외부 인증 장치(예: 스마트폰 또는 다른 보안 키)를 WebAuthn 웹 페이지와 상호 작용하게 하여 데스크톱 애플리케이션 또는 웹 서비스의 인증기로 기능하도록 합니다. 이 프로토콜은 U2F 기능을 확장하는 CTAP1과 보다 다양한 인증기와 더 유연한 인증 메커니즘을 지원하는 CTAP2로 나뉩니다.
- CTAP1은 기본적으로 U2F 프로토콜의 확장으로, 물리적 보안 키를 USB, NFC 또는 Bluetooth 등의 연결 방식으로 사용자의 장치와 상호 작용하여 인증을 완료하고 이중 인증을 실현합니다.
- CTAP2는 CTAP 프로토콜의 고급 버전으로, 보다 다양한 인증기와 더 유연한 인증 메커니즘을 지원합니다. 예를 들어, 생체 인식, PIN 코드, 인증기 등의 인증 방법을 사용하여 인증의 첫 번째 및 두 번째 요소로 작동할 수 있으며, 인증 구조를 더욱 완화하여 비밀번호 없는 인증 또는 강화된 이중 인증을 실현할 수 있습니다.
FIDO2의 도입으로 비밀번호 없는 인증이 더욱 보편화되고 편리해졌으며, 다양한 브라우저와 웹 서비스 플랫폼을 지원합니다. 사용자는 여러 가지 방법으로 인증을 수행할 수 있으며, 현대인의 특성을 고려할 때, 스마트폰은 매우 편리하고 안전한 실제 인증기로서 비밀번호 없는 또는 이중 인증이 더욱 널리 받아들여지고 사용되도록 촉진하여 전반적인 네트워크 보안을 강화합니다.
FIDO 인증 기술이 주요 산업에 적용되는 방법
FIDO (Fast Identity Online) 인증 기술은 금융, 전자상거래, 정부 등 다양한 산업 분야에서 폭넓게 채택되어 왔으며, 강화된 디지털 보안에 대한 수요 증가를 반영하고 있습니다. 이 기술은 보안과 사용자 편의성을 향상시키는 데 중요한 역할을 인정받고 있습니다.
- 은행 계좌: 점점 더 많은 금융 기관이 ‘금융 FIDO’ 솔루션을 도입하고 있습니다. 이는 물리적 칩이 탑재된 은행 카드를 모바일 기기와 연동하고, 지문이나 얼굴 인식과 같은 생체 식별자를 등록함으로써, 금융 서비스에 접근할 때 단순히 스마트폰을 통한 생체 확인만으로도 충분합니다. 이 방식은 전통적인 사용자 이름과 비밀번호 입력 필요성을 없애고 비밀번호 도난 위험도 크게 줄입니다.
- 온라인 거래: 온라인 쇼핑에서 신용카드 사기가 만연한 가운데, 전통적인 거래 방식은 일회용 비밀번호(OTP) 입력을 요구합니다. 이는 OTP가 사기범에 의해 가로채지거나 실수로 피싱 사이트에 입력될 경우 보안 침해로 이어질 수 있습니다. 국제 쇼퍼의 경우 OTP 수신이 어려울 수 있습니다. FIDO 인증은 이러한 문제를 우회하여 거래가 생체 인식이 가능한 기기 앱을 통해 직접 인증될 수 있도록 함으로써 보안을 강화하고 쇼핑 경험을 간소화합니다.
- 정부 서비스: 전통적으로 세금 납부나 행정 수수료 지불은 현장 방문과 서류 작업이 필요했습니다. 디지털 변환 추세에 따라 FIDO 기술을 온라인 서비스 플랫폼에 통합하면 시민들은 초기 등록을 한 번만 하고 기기를 연동할 수 있습니다. 이후 서비스 신청이나 지불과 같은 상호작용은 지문 또는 얼굴 인식을 통한 생체 검증으로 신속하게 처리할 수 있습니다. 이 방법은 보안을 강화하고 프라이버시를 유지하는 동시에 정부 서비스의 접근성과 효율성을 크게 향상시킵니다.
Authme에 대하여
Authme는 FIDO 연합의 일원으로, 대만을 대표하여 FIDO 연합의 Identity Verification and Binding Working Group (IDWG)에 참여하고 있습니다. 이 그룹에서는 Google, Microsoft, Amazon과 같은 업계 거인들과 함께 다양한 신원 인증 이슈에 대해 논의하고, 그 논의를 통해 규정을 설정하여 전 세계 기업들이 이를 구현할 수 있도록 합니다.
Authme는 설립 이래로 안전하고 편리하며 효율적인 AI 기반 신원 인증 솔루션을 제공하는 데 주력하고 있습니다. 또한, Authme는 FIDO 인증 프레임워크를 준수하는 다양한 안티피싱 MFA 및 비밀번호 없는 로그인 솔루션을 제공하며, ISO-30107 인증을 받은 패시브 생체 인식 기술을 통합하여 여러 장치에 걸쳐 사용자 경험을 향상시키고 보안을 강화하며, 원활하고 중단 없는 로그인 경험을 만들어내고 있습니다. 이러한 노력은 FIDO의 비밀번호 없는 미래를 추진하고, 더 안전한 온라인 환경 및 강력한 디지털 신원 생태계를 구축하는 데 기여하고자 하는 Authme의 의지를 반영합니다.
