"마이크로소프트(MS) 엣지, 구글 크롬, 모질라 파이어폭스가 FIDO2를 지원한다. 애플도 (공식발표를 하진 않았지만) 관련 표준화그룹 활동에 적극적이며 내부에서는 (FIDO2 지원 사파리 브라우저를) 개발 중인 것으로 파악된다. 향후 발표할 것으로 예상한다."
브렛 맥도웰 FIDO얼라이언스 이사장이 5일 서울 강남에서 진행된 퍼블릭세미나 자리에서 애플 사파리 브라우저의 FIDO2 지원 가능성을 이같이 언급했다. FIDO2는 PC와 웹 환경에서 패스워드 없이 더 빠르고 안전한 인증을 처리할 수 있는 기술 표준으로 올해 발표됐다.
주요 브라우저 개발업체인 MS, 구글, 모질라는 앞서 각자 브라우저에 FIDO2 구현을 예고하거나 실행해 왔다. 온라인서비스 운영사는 FIDO2 인증서버를 갖추는 것만으로 곧장 윈도, 리눅스, 안드로이드와 엣지, 크롬, 파이어폭스 사용자에게 FIDO2 기반 인증환경을 제공할 수 있다.
반면 이제까지 애플은 관련 계획을 공식적으로 밝힌 적이 없다. 때문에 애플이 맥OS 및 iOS 운영체제(OS)에서 자체 브라우저인 '사파리'를 통해 FIDO2 표준을 지원한다는 보장이 없었다. 서비스 운영사가 FIDO2를 제공하려해도, 애플 플랫폼 사용자에겐 해당사항이 없던 얘기다.
하지만 애플의 맥OS와 iOS는 전체 플랫폼 시장에서 적지 않은 사용자 규모를 확보하고 있다. FIDO얼라이언스가 FIDO2를 보편적인 차세대 범용 인증기술 표준으로 확산시켜도, 애플이 이 규격을 지원하지 않는다면 그 확산 가능성과 시장에서의 영향력은 제한될 수 있다.
이런 가운데 애플 역시 다른 브라우저 개발업체들과 마찬가지로 자체 브라우저 사파리에 FIDO2 표준을 지원하려고 적극적인 움직임을 보이고 있다는 브렛 맥도웰 이사장의 발언은, 향후 FIDO2가 더 많은 사용자 기반을 확보해 광범위한 인증기술 수요를 충당할 수 있음을 시사한다.
다만 웹킷은 그 자체로 일반 사용자를 위한 브라우저 제품으로 작동하지 않는 렌더링 엔진이다. 애플이 웹킷에 구현한 코드를 직접 사파리 브라우저에 적용하고 그 브라우저를 탑재한 맥OS 및 iOS 플랫폼 새 버전을 배포해야 한다. 그 시점이 언제일지는 불분명하다.
■ 애플 웹킷 프로젝트, W3C 워킹그룹에서 FIDO2 표준관련 활동 활발
맥도웰 이사장은 애플의 공식발표가 없는 상황에서 뭘 근거로 iOS와 맥OS 사파리 브라우저가 FIDO2를 지원할 것이라 기대한 걸까. 그는 사파리 브라우저를 위해 애플이 직접 개발하고 있는 렌더링 엔진 '웹킷(Webkit)'의 오픈소스 프로젝트에서 벌어지고 있는 일을 지적했다.
그는 "웹킷 오픈소스 프로젝트에서 투명하게 (FIDO2 구현) 활동이 활발히 이뤄지는 걸 볼 수 있고, 애플은 W3C 웹오센티케이션(WebAuthn) 워킹그룹에도 적극 참여하고 있다"며 "(공식발표가 없는 건) 제품 역량이 완벽해지기 전까지 밝히지 않는 게 애플의 관행"이라고 언급했다.
앤서니 나달린 MS 최고보안아키텍트도 "크롬, 엣지, 파이어폭스, 안드로이드 브라우저와 그걸로 파생된 여러 브라우저가 WebAuthn API를 지원한다"며 "(애플의) 발표가 없었을뿐, 웹킷 프로젝트의 여러 활동을 통해 보면 (사파리도) 타 브라우저와 유사한 상태"라고 지적했다.
WebAuthn API는 FIDO2로 정의된 2가지 규격 중 하나로, 브라우저를 통한 FIDO2 인증 시나리오를 지원한다. 사용자가 어떤 기기와 OS를 쓰든 이 API를 지원하는 브라우저를 쓴다면 FIDO2 지원 온라인서비스에 로그인할 수 있다. FIDO얼라이언스가 W3C에 제안해 표준화되고 있다.
나머지 규격은 '클라이언트 투 오센티케이터 프로토콜, 또는 씨탭(CTAP)'이다. 윈도나 안드로이드같은 일반 OS 플랫폼을 통해 구현된다. 이 규격을 구현한 OS 탑재 기기에 내장되거나 연결된 인증장치를 활용해 FIDO2 인증을 처리할 수 있다. 이는 FIDO얼라이언스 주도로 표준화됐다.
■ 내년 FIDO얼라이언스 총회, 9월 한국서 개최
FIDO얼라이언스는 상반기 CTAP 및 WebAuthn API 표준 규격을 FIDO2로 공개했다. 하반기 인증솔루션업체, 브라우저 개발업체 직원들을 모아 사전 상호운용성테스트를 거쳤고, 주요 서비스운영사와 인증솔루션 업체를 위한 상호운용성테스트를 진행하고 제품별 인증서도 발급했다.
2014년 나온 FIDO 1.0 표준은 모바일 기기에 별도 애플리케이션을 내려받고 지문센서나 홍채센서 생체정보인식 장치에 의존해 인증을 처리했다. FIDO2는 로그인시 기기에 앱 다운로드나 확장 설치 없이 내장 및 외장형 센서든 보안모듈이든 쓸 수 있게 한다는 목표로 발전하고 있다.
이번 퍼블릭세미나 오전 발표에서는 삼성전자 이종현 전무가 FIDO얼라이언스 한국워킹그룹 공동회장 자격으로 진행한 한국워킹그룹 현황 소개도 진행됐다. 한국워킹그룹은 1년전인 지난해 12월 결성이 발표됐고 올해 2월부터 실제 조직이 구성돼 활동에 들어갔다.
관련기사
- FIDO 인증기술, ITU-T 국제표준 채택 확정2018.12.05
- 민간표준 FIDO, ITU-T 국제표준 된다2018.12.05
- MS엣지, MS계정 '패스워드 없는 로그인' 지원2018.12.05
- “OS, 보안 등 FIDO2 보급 난제 산적"2018.12.05
이 전무에 따르면 올해 3분기 기준 한국워킹그룹 소속 FIDO얼라이언스 회원사는 27개다. 그중 이사회 멤버는 5곳, 스폰서 멤버는 6곳, 관계조직은 2곳, 일반회원사는 14곳이다. 워킹그룹안에는 기술그룹, 확산 및 마케팅그룹, 대외정책그룹, 3개 하위그룹이 구성됐다.
한국워킹그룹은 올해 오프라인 정기회의 3번, 상호운용성테스트 2번, 기술세미나 1번을 진행했다. 내년에도 대략적인 오프라인 정기회의, 기술세미나, 상호운용성테스트 일정이 잡혀 있다. 특히 전세계 FIDO회원 수백명이 집결하는 FIDO얼라이언스 총회의 내년 개최지가 한국으로 결정됐다.