국내외 기업들이 미국 실리콘밸리에서 '패스워드 없는 웹' 실현에 조용히 시동을 걸었다. 인증기술 표준 FIDO2 기반 제품의 '비공식' 상호운용성 테스트를 통해서다.
참가사들은 이달 20일부터 진행되는 공식 테스트를 통과하면 본격적인 FIDO2 지원 제품 보급에 나설 전망이다.
FIDO2 표준이 보급되면 패스워드 없는 웹이 실현된다. 이용자들이 패스워드를 가로채 계정을 탈취하는 해커의 피싱 공격으로부터 보호받을 수 있다. 해당 표준을 제정한 글로벌 컨소시엄에 모인 국내외 주요 보안솔루션, 인터넷, 플랫폼 업체가 관련 기술과 제품을 구현 중이다.
FIDO2는 인터넷 웹사이트에서 방문자가 패스워드 입력 없이 보안상 안전한 로그인을 처리하기 위한 인증기술 표준이다. 패스워드 없는 인터넷 세계를 여는 기반이다. 실용화하려면 주요 웹브라우저와 운영체제, 인증 서버 및 장치, 웹사이트가 FIDO2를 지원하고 보급돼야 한다.
상호운용성 테스트는 이렇게 FIDO2 지원 기능을 새롭게 갖춘 웹브라우저, 인증서버, 인증장치의 동작을 확인하는 과정이다. 그중 비공식 테스트는 일부 FIDO2 지원 제품 개발업체들이 참여해 각자의 제품 동작이 타사 제품과 교차 실행 가능한지 보고 보완점을 찾는 자리였다.
■ MS-구글, FIDO2 테스트 브라우저 업체로 참가
인증기술 표준화 컨소시엄 'FIDO얼라이언스'가 상반기 FIDO2 표준 규격을 확정하고, 지난달 27일 미국 실리콘밸리에서 FIDO2와 웹인증API(WebAuthn) 표준의 비공식 상호운용성 테스트(Informal Interoperability Testing) 일정을 예고했다. 행사 장소는 구글 사옥이었다.
실제로 FIDO얼라이언스 산하 워킹그룹에 참여하고 있는 일부 회원사들이 당초 예고된 일자와 장소에서 '비공식 상호운용성 테스트' 행사에 참가한 것으로 확인됐다. 일단 미국의 마이크로소프트(MS)와 구글이 참가해 각자 웹브라우저의 FIDO2 대응 기능을 테스트했다.
MS는 윈도10의 인증시스템 '윈도헬로'와 웹브라우저 엣지(Edge)에 FIDO2 인증솔루션 지원 기능을 추가할 계획이며 해당 기능을 최근 배포한 차세대 윈도10 업데이트 시험판으로 제공 중이다. 정식 업데이트가 배포되면 모든 윈도10 이용자가 FIDO2 인증기능 호환성을 얻는다.
구글은 자사 온라인서비스에서 이용자 대상으로 FIDO 표준 USB 보안 키 로그인을 지원해 왔다. 최근 '타이탄 시큐리티 키'란 이름으로 자체 보안 키 출시를 예고했다. 타이탄 키는 기존 FIDO 유니버설세컨드팩터(U2F) 규격 지원 제품으로 소개됐지만 FIDO2도 지원할 전망이다.
지난달 FIDO2 표준 비공식 상호운용성 테스트에 참여 계획이 있음을 확인해 준 구글 인증 및 보안 제품 담당자 답변으로 이를 짐작할 수 있다. 구글 담당자에게 타이탄 키 제품을 테스트할 계획인지 묻자 그는 "그렇다, 우리는 자체 FIDO 제품을 갖고 참여할 것"이라고 답했다.
앞서 FIDO얼라이언스의 애덤 파워즈 테크니컬어드바이저는 "브라우저 개발업체 '3곳'이 참여한다"고 언급했다. 엣지를 개발하는 MS, 크롬을 개발하는 구글, 파이어폭스를 개발하는 모질라 얘기였다. 하지만 실제 행사당일 현장에서 파이어폭스 테스트는 진행되지 않았다.
■ 국내 업체들, 인증서버-클라이언트 및 인증장치 업체로 참가
한국에서는 드림시큐리티, 라온시큐어, eWBM 등이 인증서버 및 클라이언트 솔루션과 인증장치 개발업체로 참가했다. 드림시큐리티와 라온시큐어는 원격으로 FIDO2 인증서버를 테스트했고, eWBM은 현장에 기술담당자가 참석해 인증장치를 테스트했다.
FIDO얼라이언스 한국워킹그룹에 참여하고 있는 드림시큐리티, 라온시큐어, eWBM 등 국내 인증솔루션 관련업체들도 FIDO2 서버 및 클라이언트와 인증장치의 호환성 테스트를 수행했다. 삼성SDS와 한국전자통신연구원(ETRI)도 참가한 것으로 알려졌다.
드림시큐리티는 지난 4월 '매직파이도2(MagicFIDO2)'라는 FIDO2 대응 제품의 표준 인증을 예고했다. 표준 인증을 받으려면 FIDO얼라이언스의 공식 상호운용성 테스트를 거쳐야 한다. 그 준비 과정인 비공식 테스트에서도 매직파이도2 제품을 검증했을 것으로 보인다.
라온시큐어는 생체인증솔루션 '터치엔원패스'를 기반으로 FIDO2 표준을 지원하는 서버와 클라이언트를 테스트했다. eWBM은 보안칩 'MS500'을 탑재한 동글형 인증장치(Authenticator)를 라온시큐어의 FIDO2 인증서버와 연동하는 테스트를 진행했다.
오상근 eWBM 대표는 테스트 후 관련 일정 문의에 "기존 제품과 앞으로 출시할 제품을 갖고 비공식 테스트를 치렀고, 해당 기간 중 FIDO U2F 인증도 함께 진행하고 있었다"며 "이달 공식 테스트에서 결과를 얻은 뒤 9월 중 FIDO2 인증된 제품을 출시할 예정"이라고 언급했다.
■ 공식 테스트로 FIDO2 인증 획득 판가름…기술 보급 촉진 전망
FIDO얼라이언스의 7월 27일 비공식 FIDO2 상호운용성 테스트에 참가한 복수의 업체 담당자들에 따르면 이 테스트에선 별도의 판정 결과가 정리되거나 파악되지 않는다. 참가사들의 솔루션이나 기술을 엄밀하게 동등한 조건이나 환경에서 검증하는 방식이 아니기 때문이다.
대신 비공식 FIDO2 상호운용성 테스트 행사는 오는 20일부터 진행될 공식 테스트의 선행 일정이라는 의의가 있다. 비공식 테스트에 참가한 회원사들은 관련 문제점을 보완한 제품을, 참가하지 않았던 회원사들도 개발 중인 FIDO2 관련 기술과 제품을 검증할 전망이다.
오는 20일 공식 FIDO2 상호운용성 테스트는 각 솔루션의 기능과 동작을 검증해 구현이 완전한지 여부를 판정한다. 통과되거나 통과되지 않는 결과가 정리된다. FIDO얼라이언스는 이 테스트를 치른 결과를 통해 각 기술과 제품에 FIDO2 표준 인증을 부여할 수 있다.
공식 상호운용성 테스트 이후 FIDO2 표준 인증을 획득한 국내외 제품 및 솔루션 개발업체들은 정식으로 관련 사업을 시작할 수 있게 된다. 이달 하순 이후 각 참가 업체들의 테스트 성공 결과와 인증 제품의 출시 또는 관련 사업 계획 발표가 이어질 것으로 예상된다.
FIDO얼라이언스 측에 따르면 각 참가사들의 테스트 결과가 체크리스트 형태로 정리되기 때문에, 인증 획득 여부는 FIDO얼라이언스의 인증결과 공표 이전에도 거의 파악할 수 있다고 한다. 실제 인증결과 공표는 테스트 이후 3주~1개월 가량 지나서 이뤄진다.
■ 한국에서도 FIDO2 확산 전기 마련될 듯
모든 FIDO얼라이언스 회원사들이 반드시 생체인증솔루션 또는 보안솔루션, 하드웨어 보안 키 등의 제품을 보유한 것은 아니다. 멤버 명단에는 공개키기반(PKI) 솔루션 공급업체나 블록체인 솔루션 관련업체, PC 및 스마트폰 단말 제조사, 통신사, IT서비스업체도 포진돼 있다.
회원사들의 다양한 면면은 그만큼 여러 유형의 IT인프라와 플랫폼에서 더 편리하고 안전한 인증기술의 수요가 확대될 가능성을 시사한다. 이에 더해 FIDO2는 스마트 기기의 인증을 다룬 FIDO 표준을 웹으로 넓혀 온라인 대민서비스를 제공하는 정부쪽 활용 가능성까지 열었다.
관련기사
- 정부도 '패스워드 없는 웹' 확산 가세2018.08.09
- '패스워드 없는 웹' 세상 성큼2018.08.09
- 구글 직원은 패스워드 없이 로그인한다2018.08.09
- FIDO한국워킹그룹, FIDO2 세미나 열어2018.08.09
일례로 지난달말 새로 서비스를 시작한 공공 웹사이트 '정부24'는 인증 방식에 FIDO 표준 기술을 활용했다. 방문자가 계정 또는 공인인증서에 패스워드를 입력해 인증했던 기존방식뿐아니라, 패스워드 대신 생체정보인 지문을 인식해 인증하는 새로운 방식을 지원하고 있다.
과학기술정보통신부는 산하기관 한국인터넷진흥원(KISA)과 함께 클라우드 기반 인증, 생체인증을 포함한 간편 인증기술의 하나로 FIDO2 표준 보급을 장려하고 있다. 정부의 '노플러그인' 시책에 맞춰 관련 기술을 출시한 국내 업체와 분야별 활용사례를 지원할 것으로 보인다.