마이크로소프트(MS)가 '패스워드 없는 세계'를 만들겠다는 구상을 내놨다. 최신 인증기술로 윈도10 컴퓨터 사용자들이 패스워드 없이 더 나은 보안 효과를 누릴 수 있도록 하겠다는 계획이다. 주로 기업 환경을 겨냥했다.
지난 1일 MS 카란비르 싱(Karanbir Singh) 엔터프라이즈 및 보안담당 수석 프로그램 매니저는 공식 블로그를 통해 "패스워드는 불편하고 보안상 안전하지 않은데다 고비용"이라면서 MS가 패스워드 없는 세계를 만들려는 단계별 접근 방식을 설명했다. [☞원문보기]
아직 패스워드는 디지털 기반 일상생활에서 필수요소다. 이용자 등록과 인증을 요구하는 모든 상황에 요구된다. 어느날 갑자기 완전히 걷어낼 수는 없다. 대신 패스워드를 요구하는 시스템과 절차를 줄일 수는 있다. 언젠가 패스워드가 불필요해지는 날이 올 것이다.
■ 패스워드 없는 세상, 4가지 숙제
싱 매니저는 이런 세상으로 나아갈 과정을 4단계로 나누고 각 단계에 필요한 조치를 열거한 '패스워드 줄이기 가이드'를 소개했다. 패스워드를 만들고 기억하는 개인 이용자가 아니라 그걸 요구하는 시스템 및 서비스 운영 조직, 기업을 대상으로 하는 내용이다.
첫째, 패스워드 대체기술을 개발해야 한다. 패스워드의 장점을 유지하면서 단점을 해결한 대체재를 만들어 기존 패스워드 사용 환경에 도입해야 한다.
둘째, 이용자에게 패스워드를 요구하는 영역을 축소해야 한다. 이용자 계정을 등록하고, 새로운 기기를 설정하고, 계정을 사용해 웹사이트나 앱을 이용하는 등 그 신원정보의 수명주기에 걸친 경험을 개선해야 한다. 이는 앞 단계에 언급한 패스워드 대체재 도입으로 실현돼야 한다.
셋째, 실제로 패스워드를 덜 사용하는 환경을 시뮬레이션해야 한다. 최종 이용자와 IT관리자가 패스워드 대체기술과 이를 도입한 시스템 및 서비스를 시뮬레이션하고 그런 환경으로 전환함으로써 그 '현실성'을 신뢰할 수 있어야 한다.
넷째, 최종적으로 계정관리시스템(identity directory)에서 패스워드 항목을 삭제해야 한다. 다만 이 단계는 실제로 패스워드 대체기술이 일반화해 더 이상 패스워드가 쓰이지 않아도 원활하게 서비스와 시스템이 작동함을 증명할 수 있는 시점이 돼야 가능해 보인다.
■ 윈도헬로, 생체인증으로 윈도10 패스워드 대체
앞서 MS는 윈도10의 생체인증 로그인 기능인 '윈도헬로(Windows Hello)'를 선보였다. 전용PC를 소유한 개인들에겐 윈도헬로가 최신 윈도 운영체제(OS)에 탑재된 패스워드 대체기술이라는 메시지가 말이 된다. 하지만 기업과 공공 분야에선 그렇지 않은 경우도 있다.
싱 매니저는 "윈도헬로가 개인PC에서 패스워드를 대체할 뛰어난 수단이지만, 이용자들이 일시적으로 다루는 공용PC(shared PCs)에는 잘 맞지 않는다"면서 "공용PC 환경에 더 알맞는 소지형 신원정보(portable credentials) 기술 개발에 주력하고 있다"고 덧붙였다.
그는 포스팅에서 윈도헬로 기능 이용자가 세계 4천700만명에 달한다고 밝혔다. 기업용으로 제공되는 '윈도헬로 포 비즈니스'를 배포한 조직이 5천곳 이상이며, 이는 100만대 이상의 상업용 기기에 채택돼 있다고 덧붙였다.
MS은 윈도가 장악하지 못한 모바일 영역에도 패스워드 대체기술을 마련했다. 마이크로소프트 인증기(Microsoft Authenticator) 앱이다. MS 계정 가입자는 이 앱을 설치한 iOS 또는 안드로이드 기기로 인증을 할 수 있다. 앱의 기반 보안기술은 윈도헬로와 유사하다.
정리하면 PC에는 윈도10의 윈도헬로 앱, 모바일 기기에는 마이크로소프트 인증기 앱이 있지만 이걸로는 충분하지 않다. 이 두 가지를 쓰는 시나리오는 사실 MS가 제공하는 서비스나 플랫폼에서만 온전히 패스워드를 걷어낼 수 있는 방식에 불과하기 때문이다.
■ 윈도헬로에 FIDO2 보안 키 규격 지원 예고
싱 매니저는 "윈도 헬로와 모바일 인증기 앱은 모두 훌륭한 패스워드 대체재이지만, 패스워드 없는 세계를 만들려면 우리는 모든 산업 플랫폼과 브라우저를 아울러 동작하는 상호운용가능한 솔루션을 갖춰야 한다"고 덧붙였다.
이런 방법이 있다. MS는 국제 생체인증 규격 '패스트아이덴티티온라인(FIDO)'을 만드는 FIDO얼라이언스와 협력 중이다. FIDO얼라이언스는 여러 관련기술업체와 사업자 250곳이 활동 중인 컨소시엄이다.
MS는 FIDO 워킹그룹이 최근 승인한 'FIDO2' 보안 키 표준 규격을 활용해 윈도헬로 기능을 업데이트하고 여러 새로운 인증 시나리오의 보안인증을 구현할 계획이라고 밝혔다. FIDO2 표준은 PC 및 웹 클라이언트와 서버간의 생체인증 보안절차와 기능을 다룬다.
MS의 계획대로라면 FIDO2 보안 키를 지원하는 윈도헬로는 향후 FIDO2 규격을 따르는 PC 애플리케이션과 웹사이트에서 패스워드 없는 이용자 가입과 로그인 과정에도 활용될 전망이다. 이 기술은 공용PC에서 윈도헬로 확산을 촉진할 수 있다.
■ 패스워드 없는 MS 계정 관리 기반 구현
현재 MS 위주의 패스워드 없는 세계 '맛보기'가 된다. 윈도10 '2018년 4월' 업데이트 적용 후 추가되는 'S모드(S mode)' 기능을 통해서다. MS는 이 기능으로 MS애저 '매니지드서비스어카운트(MSA), 애저액티브디렉토리(애저AD) 이용 전과정을 패스워드 없이 구현했다.
방법은 이렇다. MSA나 애저AD 기반 서비스 이용자가 모바일 인증기 앱을 깔고 여기에 MSA와 애저AD 계정을 연결한다. 다음으로 이 앱과 윈도10 S모드 기본제공환경(OOBE)을 따라 계정을 설정한다. 이제 앞서 설치한 인증기 앱으로 서비스에 로그인하면 된다.
관련기사
- 라온시큐어, RSA서 PC기반 FIDO생체인증 시연 예고2018.05.04
- 패스워드 없는 사이트 가입-로그인 실현되나2018.05.04
- 한국정보인증, 클라우드 생체인증서비스 출시2018.05.04
- FIDO 한국워킹그룹 창설, 국내 표준으로 글로벌 시장 진출2018.05.04
이와 별개로 애저 클라우드를 활용하는 기업내 관리자가 전용 관리시스템이 아닌 조직내 공용PC에서 서비스에 접근하는 방식도 소개됐다. 앞서 언급한 윈도헬로 FIDO2 보안 키 지원기능을 통해서다. 이 기능은 아직 비공개 프리뷰 단계로 테스트되고 있다.
싱 매니저는 "FIDO2 보안 키는 애저AD에 등록된 윈도10 공용PC에 여러분의 신원정보를 전달해 안전한 인증을 수행케 해준다"며 "이용자는 조직내 어떤 기기에서든 이용자명과 패스워드 입력 및 윈도헬로 설정 없이 보안상 안전하게 인증할 수 있다"고 설명했다.