구글이 직원 8만5천여명의 업무 계정을 보호하는 수단으로 채택한 USB 보안 키 도입 효과를 톡톡히 보고 있다는 소식이 나왔다. FIDO 표준을 활용해 패스워드 없는 로그인 환경을 구현한 결과다.
23일(현지시간) 미국 씨넷은 보안전문가 브라이언 크렙스가 지난 주 블로그 '크렙스온시큐리티'에 게재한 포스팅을 인용해 "구글 직원 온라인 보안의 비밀은 물리적 보안 키에 있었다"며 해당 사례를 소개했다.
보도에 따르면 구글은 2017년 초부터 물리적 USB 기반 보안 키를 도입했다. 이후 8만5천여명 직원 가운데 누구도 업무 계정에 피싱 공격을 당하지 않았다는 설명이다.
구글이 도입한 USB 보안키는 구글 직원이 업무 계정에 로그인할 때 이중요소인증 과정을 대체했다. 구글 측은 회사의 모든 계정 접근 과정에 보안키가 쓰이고 있다고 밝혔다.
구글 측은 "구글이 보안키를 도입한 이래로 계정이 탈취된 사례가 보고되거나 확인된 바 없다"며 "이용자에게 여러 앱 및 사유로 보안 키를 사용해 인증하라는 요청이 갈 수 있는데 이는 해당 시점 앱의 민감도와 이용자의 위험도에 달렸다"고 설명했다.
기존 이중요소인증 방식은 웹사이트에 로그인할 때 이용자가 기본인증정보인 패스워드와 추가인증정보인 일회용코드를 함께 입력하는 것이었다. 일회용코드는 휴대전화 또는 모바일 앱을 통해 제공됐다.
크렙스온시큐리티에 따르면 구글 직원들은 2017년 이전에 이중요소인증에 필요한 일회용코드 생성 수단으로 '구글오센티케이터(Google Authenticator)'라는 무료 앱을 썼다. 이후 직원 수만명의 계정을 보호하고 있는 USB 보안 키는 최저 소매가 20달러 수준의 물건이다.
구글 직원들이 업무시스템 로그인에 쓰는 하드웨어 형태의 보안키는 유니버설세컨드팩터(U2F)를 지원하는 다중요소인증용 USB 기기다. U2F는 글로벌 인증기술 표준화 컨소시엄인 '패스트아이덴티티온라인(FIDO) 얼라이언스'의 보안솔루션 표준 규격 중 하나다.
이용자가 컴퓨터에 U2F 표준으로 구현된 USB 보안키 기기를 꽂고 그 버튼을 누르면 로그인이 수행된다. 기기가 특정 사이트에 한 번 연결되면 이용자는 아예 패스워드를 입력할 필요가 없어진다. 다만 그 사이트가 U2F 보안 키 로그인을 위한 FIDO 표준을 함께 지원해야 한다.
구글 외에 U2F 인증방식 자체는 확산 추세지만, 실제로 이 기술을 지원하는 인터넷 사이트는 제한적이다. 드롭박스, 페이스북, 깃허브 등 유명한 대형 서비스 위주다. 이런 사이트를 통해 U2F 보안 키 로그인을 하려면 이용자 웹브라우저도 관련 표준을 함께 지원하고 있어야 한다.
이용자 브라우저와 인터넷 사이트가 USB 보안키 로그인을 지원하려면 '웹오센티케이션API(Web Authentication API, WebAuthn)'라는 FIDO 규격 연동 웹표준을 지원해야 한다. 이는 FIDO얼라이언스와 웹표준화단체 월드와이드웹컨소시엄(W3C)'의 협력으로 개발되고 있다.
브라이언 크렙스는 자신의 포스팅을 통해 "웹오센티케이션API(을 적용한 로그인)의 이점은 이용자가 패스워드를 지속적으로 입력해야 할 필요를 없애, 패스워드를 탈취하는 일반적인 기법인 피싱 및 중간자(mitm) 공격의 위협을 무효화한다는 것에 있다"고 평했다.
구글 크롬, 모질라 파이어폭스, 오페라소프트웨어의 오페라가 U2F 및 웹오센티케이션API 인증을 지원한다. 다만 파이어폭스는 해당 기능이 비활성 상태로 배포된다. 마이크로소프트는 연내 윈도10 내장 브라우저 엣지(Edge)에 이 표준을 지원하는 업데이트를 계획하고 있다.
구글이 활용하는 보안키의 FIDO U2F 표준은 당초 이용자명과 패스워드 입력 과정을 강화하는 이중요소인증 수단으로 고안됐다. 이 기술을 범용 인터넷 사이트와 PC 및 모바일 기반 브라우저에서 쓸 수 있게 확장한 규격이 올해 상반기 확정된 'FIDO2' 표준이다.
관련기사
- FIDO한국워킹그룹, FIDO2 세미나 열어2018.07.25
- MS "패스워드 없는 세계 만들겠다"2018.07.25
- 라온시큐어, RSA서 PC기반 FIDO생체인증 시연 예고2018.07.25
- 패스워드 없는 사이트 가입-로그인 실현되나2018.07.25
FIDO2 표준은 이용자 환경의 '클라이언트투오센티케이터프로토콜(CTAP)'과 앞서 언급된 '웹오센티케이션API'로 구성된다. CTAP는 데스크톱에서 FIDO 표준 보안 키나 모바일 기기같은 외부 장치로 웹오센티케이션API를 지원하는 웹서비스나 앱에 인증을 구현케 해준다.
대형 IT업체 가운데 마이크로소프트도 FIDO 및 웹 표준을 활용해 패스워드 없는 세계를 구현하려는 움직임이 두드러진다. 마이크로소프트는 엣지 브라우저뿐아니라 윈도10에 내장된 '윈도헬로'를 FIDO2 호환 인증시스템으로 만들어 패스워드 대체기술 확산을 가속할 계획이다.