“OS, 보안 등 FIDO2 보급 난제 산적"

[이슈진단+] 한국 FIDO2 시장 열릴까 (하)

컴퓨팅입력 :2018/11/09 23:05    수정: 2018/11/12 17:01

많은 기업이 FIDO2 인증 획득에 뛰어들고 있지만, FIDO2를 실제 적용한 서비스를 이용자들이 접하기까지는 시간이 걸릴 것으로 보인다. FIDO2 표준이 만들어졌더라도 그 표준을 이용할 수 있는 인프라가 구축되지 않으면 상용화는 먼 얘기이기 때문이다.

FIDO2를 바라보는 업체의 시각은 한 마디로 “준비는 하되, 당장 큰 변화를 기대하는 것은 금물”이다. 지디넷코리아가 업체들에 설문 조사를 실시한 결과, 대부분의 FIDO 서비스 업체는 FIDO2 표준이 대세라는 것은 인식하고 대응하고 있지만, 당장 FIDO2 제품을 통해 큰 수익을 기대하지는 않았다.

대다수의 FIDO 인증에 뛰어든 업체들은 FIDO2가 보급화되기 위해서는 플랫폼 지원이 선행돼야 한다고 입을 모았다. FIDO2는 PC·웹 브라우저에서도 생체인증을 활용할 수 있다는 점이 FIDO1과 차별화되는 큰 특징이다. 따라 PC·웹 브라우저 회사가 FIDO2 인증 모듈을 구현하지 않으면 FIDO2를 사용할 방법이 없다. 대다수의 FIDO2 인증 업체가 플랫폼 업체의 지원에 기댈 수밖에 없는 이유다.

대다수의 FIDO 인증에 뛰어든 업체들은 FIDO2가 보급화되기 위해서는 플랫폼 지원이 선행돼야 한다고 입을 모았다. (사진=PIXTA)

FIDO2는 현재 최신 버전의 엣지, 크롬, 파이어폭스에서만 지원되고 있다. 지원방식도 제각각이다. 브라우저마다 USB, NFC, BLE 타입 지원 상황이 다르다. 드림시큐리티는 “저전력 블루투스 기술인 BLE의 경우, 페어링 과정이 어렵고 처리속도가 느려 실제 이용자 편의성이 떨어진다”며 “페어링 과정을 편리하게 하고, 처리속도도 개선해야 한다”고 말했다.

이니텍은 "새 버전의 OS나 브라우저뿐만 아니라 기존 버전에 대한 지원 방안도 필요하다"고 설명했다. 모든 웹 이용자들이 최신 버전을 쓰고 있지는 않기 때문이다. 라온시큐어는 “생체인식 기능이 탑재된 PC 디바이스의 보급도 중요하다”고 말했다.

인증제도 개선도 필요하다. FIDO2는 정부의 ‘노플러그인 전자서명’ 정책에 맞물려 새로운 전자서명 인증 방법으로 떠올랐다. 하지만 여전히 FIDO2가 공인인증서를 대체하기 위해서는 여러 제도적 부분의 개선이 필요하다.

한컴시큐어는 “현재 전자서명인증사업자 등록 절차와 조건이 까다로운 상황”이라며 “FIDO2의 기술적 활용도가 높아지더라도, 제도적 부분이 뒷받침되지 않으면 확산되기 어렵다”고 말했다. 라온시큐어는 “정부의 노플러그인 및 공인인증서 폐지 정책 추진이 가속화돼야 한다”고 강조했다.

FIDO 서비스 제공 기업은 정부의 적극적인 지원도 기대했다. 한국정보인증은 금융, 쇼핑몰, 공공기관, 전자상거래 사이트 등 개인 정보 보호가 필요하거나 본인인증이 필요한 사이트에서 생체인증을 권장하는 정책적 지원도 FIDO2 보급 확산에 큰 도움이 될 것으로 전망했다.

와이키키소프트는 “FIDO2가 잘 작동하기 위해서는 윈도10 이상의 운영체제가 필요하다”며 “정부기관이나 기업에서 새로운 사용자 경험과 보안성을 높이기 위한 투자를 아끼지 말아야 한다”고 피력했다.

생체인증 자체에 대한 우려도 FIDO2 보급 확산의 걸림돌이다. 대표적인 생체인증 중 하나인 지문인식의 경우, 최근 위조된 지문으로 본인 인증이 된다는 지적이 제기되고 있기 때문이다. 실제 지난 국정감사 때 국회 과학기술정보방송통신위원회 소속 송희경 의원(자유한국당)이 위조된 실리콘 지문으로 아이폰 본인 인증을 뚫고 결제하는 시연을 선보여 지문 인증의 허술함을 지적한 바 있다.

민원서비스를 제공하는 정부24 포털사이트도 이런 지적을 받아들여, 최근 시범 구축했던 FIDO 인증 서비스를 중단하기도 했다. 생체인증 자체에 대한 보안성이 확보되지 않는다면, 보안에 민감한 공공, 금융 사이트의 FIDO 도입과 확산은 더뎌질 수밖에 없다. 드림시큐리티는 이에 “주민등록증에서 지문을 제거하고, 스마트폰은 위조지문 여부를 판별할 수 있는 기능을 갖춰야 한다”고 제언했다.

생체인증 보급이 확산되기 위해서는 위조 지문과 같은 보안 문제를 해결해야 한다는 업계의 지적이 나온다. (사진=PIXTA)

FIDO2에 큰 수익성을 기대하지 않는 업계의 시각 중에는 FIDO 기업 간의 출혈 경쟁도 무시할 수 없다. 업계 관계자는 “생체인증 기술의 진입 장벽이 높지 않고, 많은 기업들이 뛰어들고 있어 생체인증 솔루션에 대한 단가가 기존보다 많이 하락했다”고 설명했다.

이는 기존 보안 솔루션 업체들의 가격 경쟁으로 인한 단가 절감 상황과 다르지 않은 것으로, 생체인증 시장도 큰 수익성을 기대하긴 힘들다는 게 업계의 시각이다.

해외 시장 진출도 돌파구는 아니다. 업계 관계자는 “해외 업체들도 생체인증 기술 면에 있어 국내 업체들과 차이가 나지 않기 때문에 해외 수출이 크게 수익성을 높여줄 수 있을 것으로 기대하진 않는다”고 말했다. 또 다른 업계 관계자는 “해외에서는 오히려 생체인증이 너무 간편해 정말 안전성을 담보할 수 있는지 되묻는 업체들도 있다”고 녹록지 않은 해외 시장 진출을 토로했다.

이에 FIDO 인증 업체가 기술 제품이 아닌 서비스로 승부해야 한다는 전망도 나온다. 한국정보인증은 “기술 수준은 많은 기업이 비슷하기 때문에 많은 사람들이 이용하는 킬러앱에 탑재해 인증 서비스를 하는 게 가장 손쉽고 빠를 수 있다”고 말했다.

결국, FIDO 확산의 열쇠는 다시 플랫폼 사업자에게 돌아왔다.

플랫폼 사업자도 FIDO 인증 기술에 대응하고 있다. MS는 윈도10 보안시스템의 윈도헬로에 FIDO2 보안 키 규격을 지원할 계획이라고 밝힌 바 있다. 윈도헬로를 사용하는 일반 이용자와 기업이 패스워드 없이 FIDO2표준을 지원하는 보안 키만으로 OS와 인터넷 사이트, 기업용 계정관리 인증을 처리할 수 있게 만들 계획이다.

구글도 FIDO 표준 이중요소 인증용 실물 보안 키를 직원 계정 보호 기술로 도입하는 등 FIDO얼라이언스 표준 보안 키 활용을 장려하고 있다. 2017년부터는 일반 이용자의 구글서비스 로그인 절차에도 사용을 권장하고 있다. 2017년에는 자체 FIDO 인증 보안 키 ‘타이탄 시큐리티 키’도 출시했다. 타이탄 키는 기존 FIDO U2F 규격뿐만 아니라 FIDO2도 지원할 예정이다.

하지만 아직 MS와 구글이 각자 운영체제(OS)와 웹브라우저에 구현 중인 FIDO2 지원 기능은 온전하지 않다. 윈도10 PC 사용자를 위한 통합 인증 시스템 ‘윈도헬로’와 매끄럽게 연결될 수 있는 웹브라우저는 윈도10에 내장된 MS엣지 뿐이다. 정작 사용자 점유율이 높은 구글 크롬 브라우저는 아직 윈도헬로와 직접 통합될 기미가 보이지 않는다.

또 구글이 PC와 모바일용 크롬 브라우저에서 구현 중인 FIDO2 지원 기능도 일반 사용자를 대상으로 제공되지 않는다. 기능 옵션을 브라우저 환경설정에 노출하지도 않은 채 비공개 명령어를 입력해야만 체험할 수 있게 해 놨다. 내부 개발자들이 조용히 테스트만 하고 있다는 얘기다.

MS와 구글이 각자 플랫폼과 브라우저에서 온전히 FIDO2 지원 기능을 구현하고 일반 사용자들에게 원활하게 쓸 수 있는 시점이 온다면, 다음은 주요 온라인 사업자들이 자사 서비스에 실제로 그런 기능을 통해 사용자 보안을 강화할 수 있도록 만들어야 한다.

관련기사

네이버와 다음 포털 웹사이트, PC용 라인과 카카오톡 메신저, SK텔레콤이나 KT 같은 이동통신사업자들이 회선 가입자들에게 제공하는 온라인 서비스 등에서 FIDO2 인증장치를 통해 로그인하는 기능을 제공하는 시나리오를 생각해볼 수 있다.

다만 이는 아직 OS 및 브라우저 개발업체조차 FIDO2 지원 기능을 실용적인 수준으로 구현해놓지 않은 현시점에 도달하기엔 먼 지점이다. 하지만 일부 온라인 사업자와 통신사는 FIDO2 표준에 관심을 보이고 있다. 익명의 소식통에 따르면 오는 12일 한국에서 열리는 FIDO2 상호운용성 테스트 서버 부문에 네이버 라인과 SK텔레콤이 참가한다. 이들이 운영하는 인프라에 FIDO2 서버 도입을 검토하고 있는지는 불분명하지만, 차세대 인증보안 기술 활용 방안을 고민하고 있는 것은 확실해 보인다.