온라인 보안인증기술 표준화 컨소시엄 FIDO얼라이언스는 '생체인식 부품 자격인증(Biometric Component Certification) 프로그램'을 만들었다고 7일 밝혔다. 이 자격인증 프로그램은 생체인식 부품의 정확성과 안정성을 검증한다.
FIDO얼라이언스는 이 자격인증 프로그램을 통해 지문, 홍채, 안면, 음성 인식에 의존하는 생체인증시스템으로 사용자를 확실하게 식별하고 위조지문공격탐지(PAD) 능력을 신뢰할수있는 표준 방법을 제공할 것이라고 설명했다. 공항, 항만 등의 출입국관리 및 경찰같은 사법당국은 생체인식시스템을 활용하기위한 평가 프로그램을 보유하고 실행 중이지만, 소비자시장에는 이런 자격인증 프로그램이 없었다고 덧붙였다.
생체인식 부품 자격인증 프로그램 대상은 모든 생체 인증 하위 구성요소다. FIDO얼라이언스 및 공인연구소가 자격인증 프로그램의 테스트를 정의하고 관리한다. 테스트를 통과한 생체인증 기술 공급업체는 이를 증명하는 인증서를 발급받는다. 부품 공급업체는 생체인식 부품 자격인증 테스트뿐아니라 앞서 언급한 보안인증 관련 인증장치 대상 자격인증 테스트도 받을 수 있다.
브렛 맥도웰 FIDO얼라이언스 이사장은 "FIDO인증 프로토콜을 구현하는 모바일 및 웹 애플리케이션에 생체인식 기술이 널리 보급됨에 따라 서비스제공자는 분실 또는 도난 기기를 통한 불법 사용 리스크를 평가해야 할 필요가 커졌다"며 "FIDO얼라이언스는 확장성을 갖춘 호환성 및 보안 관련 자격인증 프로그램 운영경험을 바탕으로 생체인식시스템 관련 격차를 메우려 한다"고 말했다.
한국에선 FIDO얼라이언스 공인 시험소로 정보통신기술협회(TTA)가 지정돼 있다.
FIDO얼라이언스는 패스워드를 대체하는 다양한 보안인증 수단을 구현한다는 취지로 2012년 출범한 국제 비영리 컨소시엄이다. 구글, 마이크로소프트, 페이스북, 아마존, 삼성전자, 페이팔, NTT도코모 등 세계 200개 이상 민간, 공공, 학계 회원사가 참여 중이다. 한국, 일본, 중국, 인도, 유럽 지역별 워킹그룹을 운영하고 있다.
FIDO얼라이언스는 국가와 산업별 정책, 생태계에 따라 다양한 온라인 인증에 통합적인 FIDO 국제표준 규격을 제정하는 걸 목표로 삼고 있다. 앞서 모바일 기기를 활용해 온라인 보안인증기술 표준으로 유니버설오센티케이션프레임워크(UAF)와 유니버설세컨드팩터(U2F)라는 FIDO1 규격을 제정했고 최근 브라우저 환경에서 웹서비스 보안인증기술 표준으로 FIDO2 규격도 내놨다.
FIDO얼라이언스는 FIDO1과 FIDO2 표준을 따르는 보안인증기술을 대상으로 규격 충족 및 호환성과 성능을 검증하는 자격인증 프로그램을 운영하고 있다. 그와 별개로 이번에 새로 소개한 생체인식 부품 자격인증 프로그램은 생체인증 시스템에 들어가는 생체인식 센서같은 부품을 비롯한 하위 구성요소를 대상으로 테스트를 진행해 생체인식 부품의 정확성과 안정성을 검증하는 역할을 한다.
관련기사
- 패스워드 없는 웹, 실리콘밸리에서 시동2018.09.07
- 정부도 '패스워드 없는 웹' 확산 가세2018.09.07
- '패스워드 없는 웹' 세상 성큼2018.09.07
- 구글, 피싱에 맞서 FIDO 보안 키 직접 판다2018.09.07
FIDO얼라이언스 측은 생체인식 센서를 통합한 인증장치에 FIDO 자격인증 프로그램 테스트를 받는 것이 선택 사항이지만, FIDO 규격의 인증보안 수준을 증명하는 데 필요하다고 지적했다. 인증장치용 FIDO 자격인증 테스트를 통과한 기업만이 FIDO 및 FIDO 인증 로고를 사용할 수 있다. 이는 인증장치가 FIDO 규격을 준수하고 타사 제품과 호환되며 생체인식 성능 외의 보안 요구사항을 충족한다는 의미를 담는다.
FIDO얼라이언스 측은 생체인식 부품 시험인증 프로그램을 통해 생체인식 시스템 공급자가 솔루션의 성능을 개별 고객에게 반복 증명했던 업무와 프로세스의 부담을 줄여 준다고 강조했다. 공급업체는 테스트에 필요한 대규모 기술검토 역량과 시설을 갖추지 않고 생체인식 기술의 정확성과 안정성을 테스트한 결과를 고객사에 공유할 수 있고, 고객사는 그 차이를 검증할 수 있다고 첨언했다.
