그동안 미국 새너제이 지역에서만 개최됐던 FIDO얼라이언스 주최 상호운용성테스트가 국내서 처음으로 개최됐다. 우리나라를 포함한 아시아 지역에서 특히 FIDO 인증을 받고 싶다는 요청이 많았기 때문이다.
FIDO얼라이언스가 진행한 상호운용성테스트는 각 회사들이 FIDO 표준에 따라 개발한 생체인증기술이 다른 회사들이 개발한 기술과 서로 호환될 수 있는지를 테스트하는 자리다.
삼성전자, 크루셜텍, 비씨카드 등 국내 회사들과 함께 마이크로소프트, 구글, 인텔, 퀄컴, 비자, 마스터카드 등 글로벌 회사들이 참여하고 있는 FIDO얼라이언스는 온라인 상에서 잊어버리기 쉽고, 입력하기 불편하고, 보안에도 취약한 비밀번호를 생체인증으로 대체하는 업계 표준을 만드는 단체다.
최근 국내 금융권에서 공인인증서를 대체하거나 보완하는 수단 중 하나로 FIDO 표준을 활용한 생체인증방식을 도입하려는 시도들이 이뤄지고 있는 만큼 국내 회사들의 관심도 뜨거운 상황이다.
8일부터 10일까지 3일 간 경기도 판교 크루셜텍 사옥에서 개최되는 FIDO 상호운용성테스트에는 국내 회사 12곳과 미국, 중국, 일본 등을 포함해 20개 회사가 참여했다.
9일 현장에서 만난 FIDO얼라이언스 애덤 파워스 테크니컬 디렉터는 "지난 8개월 간 총 100건에 대한 테스트를 했으나 이번 상호운용성테스트에서만 60건을 다루게 됐다"고 밝혔다. 그는 FIDO 상호운용성테스트를 관리하는 것과 함께 표준을 정하는 작업에도 참여하고 있다.
FIDO얼라이언스는 지난해부터 90일에 한번씩 이 테스트를 진행해 왔다. 국내서 처음 개최된 테스트 건수가 이미 이전까지 진행됐던 테스트의 60%를 넘어섰다는 설명이다.
FIDO 상호운용성테스트는 말 그대로 FIDO1.0 표준에 따라 서로 다른 회사가 개발한 서비스들이 서로 호환되는지를 확인하는 테스트를 말한다. 이 테스트를 통과하게 되면 정식으로 FIDO 인증(FIDO Certified)을 받았다는 사실을 증명할 수 있다.
FIDO1.0 표준은 다시 UAF, U2F로 나뉜다. UAF는 우리가 흔히 알고 있는 생체인증을 말하는 것이며, U2F는 서로 다른 매체를 활용해 두 번 인증을 받는 투팩터 인증을 뜻한다.
대부분 회사들이 인증을 요청한 것은 UAF 표준에 대한 것이다. UAF는 생체인증 관련 인증정보를 저장하는 서버, 사용자 기기 내에서 서버와 통신하는 클라이언트, 사용자 인증을 위한 지문인식, 홍채인식 등 기능을 관리하고 사용자가 맞는지를 확인하는 인증장치(authenticator)로 구성된다.
앞서 언급한 60건의 테스트는 참여한 회사별로 서로 다른 서버, 클라이언트, 인증장치들을 모두 합친 숫자를 말한다.
상호운용성테스트에서는 각 회사마다 서로 다른 서버, 클라이언트, 인증장치들이 호환되는지를 확인한다. 예를들어 A회사가 FIDO 표준을 적용해 구현한 서버가 B회사가 개발한 클라이언트, C회사가 고안한 인증장치를 썼을 때도 정상적으로 작동하는지를 테스트하는 것이다.
이러한 과정을 거쳐 A, B, C 회사가 개발한 서버, 클라이언트, 인증장치가 다른 회사들 것과 연동해도 쓸 수 있다는 사실이 확인되면 인증을 받는다. 만약 D회사가 A, B, C 회사와 연동되지 않는 것으로 확인되면 이 회사는 상호호환성 인증을 받을 수 없게 된다.
◇FIDO얼라이언스 애덤 파워스 테크니컬 디렉터 일문일답
■왜 FIDO얼라이언스에 합류하게 됐나?
원래 디즈니, 소니픽처스와 같은 엔터테인먼트 회사에서 소프트웨어 엔지니어로 근무했었다. 전에 몸 담았던 회사에 비해 많은 사람들에게 사용자들을 보호할 수 있는 방법을 제시해 새로운 가치를 줄 수 있을 것이라고 보고 합류하게 됐다.
■한국에서 FIDO 상호운용성테스트를 개최하게 된 이유는?
최근 한국에서 인증을 신청하는 회사들이 늘어나기 시작했기 때문이다. 매년 이 테스트를 위해 전체 참석자들 중 절반 이상이 아시아쪽에서 미국으로 넘어온다는 것을 알게 됐기 때문이다.
■아시아 회사들이 왜 FIDO 인증을 받으려고 하는 것 같나?
두 가지다. 아시아 회사들이 스마트폰과 같은 기기를 쓰는 일에 적극적이고, 비밀번호를 대체하는 수단에 대해서도 관심을 많이 갖고 있기 때문이라고 본다. 한국의 경우는 정부가 정책적으로 새로운 인증 수단을 요구하는 움직임이 있는 것도 한 몫했다고 생각한다.
■FIDO 1.0 UAF 표준 중에 유독 지문인증에 대한 얘기가 많이 되는 것 같다, 왜 그런가?
지문은 누구나 갖고 있고 편하게 쓸 수 있기 때문에 그런 것이 아닐까 생각한다. 그러나 FIDO UAF 표준은 손이 없거나 한 사람들도 활용할 수 있도록 여러가지 생체인증을 지원하고 있으며, 오히려 한 개보다는 (예를들어 지문+홍채와 같이) 두 가지 이상을 섞어서 쓰는 것이 안전하다고 보고 있으며 현재 표준에도 이러한 내용이 반영돼 있다.
■FIDO2.0 표준은 뭐가 달라지나? 언제쯤 나오나?
기존에 나온 FIDO1.0 표준과 달리 2.0에서는 스마트폰 외에 웹브라우저에서도 비밀번호를 대체하는 생체인증 기술을 활용할 수 있게 한다는 계획이다. 지난 주 웹표준기구인 W3C에서도 이와 관련된 내용을 논의했었는데 현재 마이크로소프트, 구글과 최근 FIDO얼라이언스에 가입한 모질라까지 참여하면서 표준안을 논의 중이다. 다만 시간이 걸리는 작업인 만큼 아직까지는 언제쯤 표준이 제정될지는 답하기 어렵다.
관련기사
- 공인인증서 없이 지문으로 계좌이체 가능2016.03.10
- 비씨카드, 목소리로 스마트폰 결제한다2016.03.10
- "FIDO 생체인증-공인인증서, 한 집 살림 계속될 것"2016.03.10
- 금융권 흔드는 생체인증, 얼마나 안전할까?2016.03.10
■앞으로 FIDO얼라이언스의 계획은?
생체정보를 활용하고 있는 만큼 이러한 개인정보들을 더 안전하게 지켜 스마트폰 밖으로 나가지 않도록 필요한 보안 가이드라인, 표준안 등을 만들어 나갈 계획이다.
