가입한 웹사이트에 로그인할 때 번거로웠던 패스워드 입력 절차를 없앨 수 있는 웹표준 기술이 나온다. 이 기능을 기본 활성화한 브라우저 정식판이 다음달(5월) 출시된다.
미국 지디넷은 10일(현지시간) 크롬, 엣지, 파이어폭스 사용자들이 인터넷에서 패스워드를 걷어낼 수 있게 만들어 줄 월드와이드웹컨소시엄(W3C) 표준 '웹인증API(Web Authentication API)'를 활용할 수 있게 될 것이라는 전망을 보도했다. [☞원문보기]
웹인증API는 사용자명(username)과 패스워드가 아닌 생체정보를 통해 웹사이트에 등록할 수 있게 만들어주는 표준이다. 지문, 홍채를 비롯해 스마트폰 기기에 저장될 수 있는 다른 생체정보들을 활용할 수 있다.
이 규격 표준화는 지난 1월 '권고후보(CR)' 단계로 넘어왔다. CR은 표준 전 단계인 권고안(PR) 단계를 거쳐 표준에 해당하는 권고(REC) 표준이 될 수 있다.
이를 구현한 시스템은 공개키암호화 기술을 바탕으로 한다. 시스템은 사용자가 웹사이트에 가입할 때마다 그에 해당하는 자체 키 쌍을 생성해 보유하게 된다. 이는 사용자들이 여러 웹사이트에 동일한 패스워드를 재사용함으로써 벌어지는 통상적인 보안 문제를 해결해 준다.
웹인증API는 영어 표기시 짧게 줄여서 'WebAuthn API'라고도 쓰인다. 이 API는 크롬67 또는 파이어폭스60 버전에 기본 활성화 상태로 탑재된다. 두 브라우저 정식판은 오는 5월 배포될 예정이다.
웹인증API를 쓸 수 있는 환경에서 사람들은 노트북으로 방문한 웹사이트에 가입할 때에도 스마트폰을 통해 생체정보 활용 등록을 할 수 있다. 노트북 컴퓨터로 웹사이트에 들러서 가입 버튼을 누른 뒤 스마트폰으로 알림을 받아 그 절차를 마무리할 수 있다는 설명이다.
웹인증API 가입시스템을 통해 등록하는 사람들은 '인증제스처(authorization gesture)'라는 걸 제공해야 한다. 이는 등록하려는 계정(account)에 연결되는 일종의 개인식별번호(PIN) 또는 지문정보(fingerprint)같은 역할을 한다. 인증제스처는 등록 후 로그인할 때도 쓰이게 된다.
웹인증API는 구글이나 마이크로소프트같은 회사가 그들 서비스 이용자에게 지원하던 로그인 절차를 다른 애플리케이션 개발자들도 활용할 수 있게 만들어 준다.
관련기사
- 엔씨소프트, 생체 보안 서비스 'NC인증기' 앱 출시...게임 보안↑2018.04.11
- 카카오뱅크 로그인 "패턴보다 지문 인증"2018.04.11
- 한국후지쯔, 김포·제주공항에 손바닥 정맥 인증기술 공급2018.04.11
- 더루프-라온시큐어, 블록체인 기반 생체인증 공동 개발2018.04.11
미국 지디넷은 듀오시큐리티의 엔지니어 닉 스틸이 지적한대로 웹인증API 규격이 국제보안인증컨소시엄 '패스트아이덴티티온라인(FIDO)'의 유니버설오센티케이션프레임워크(UAF)라 불리는 기존 표준을 활용했지만, 그보다 더 많은 기술적인 이점을 지녔다고 평했다. 주요 브라우저 개발업체인 구글, 마이크로소프트, 모질라가 이 웹표준을 지원하고 있는만큼 장기적 관점에서 더 의미가 크다고 덧붙였다.
애플은 사파리 브라우저에 웹인증API 또는 WebAuthn API 규격을 지원하지 않고 있다. 다만 애플의 직원 몇 명이 W3C에서 이 API를 표준화하는 기술 전문가 모임인 웹인증 워킹그룹에서 활동 중이다.
