온라인 서비스 인증의 편의성과 보안성을 높여주는 인증기술 표준 ‘FIDO2’ 규격이 상반기 공개됐다. 그간 표준화단체 FIDO얼라이언스의 규격은 모바일용 생체인증 중심으로 활용됐다. FIDO2는 그 무대를 PC와 웹 영역으로 넓혀 줄 전망이다. 하반기 FIDO2 대응에 나선 주요 업체들의 움직임을 통해, FIDO2 시장이 확대될 수 있을지 살펴본다. [편집자주]
2010년대 중반이후 국내 모바일서비스와 핀테크 시장에서 패스워드 이외의 인증수단을 도입하는 간편인증과 간편결제 수요가 확 늘었다. 더불어 몇년새 모바일 기기에 탑재된 지문, 홍채 등 생체인식 기술이 잠금해제와 비대면금융거래에 활용되고 있다. FIDO얼라이언스가 2014년 12월 확정 공개한 FIDO 1.0 표준 기반의 생체인증 기술이 보급된 결과다.
이와 맞물리는 산업 생태계 강화 움직임도 함께 일어났다. 2015년 10월 발족한 ‘한국FIDO산업포럼’과 2017년 12월 출범한 FIDO얼라이언스 산하 ‘한국 워킹그룹’이 국내 관련시장 생태계 강화, FIDO얼라이언스 회원사의 세계시장 진출 지원을 강조하며 구심점 역할을 맡고 있다.
FIDO얼라이언스 전체 생태계에서 한국 기업의 비중은 작지 않다. 현재 FIDO얼라이언스 글로벌 회원사 250여곳 가운데 한국 기업만 30여곳에 달한다. 한국워킹그룹 공동회장사로 이름을 올리고 있는 삼성전자는 세계 안드로이드 단말기 시장에서 상당 비중을 차지하고 있는 단일 제조사고, 일반 회원와 이사회 멤버로 크고작은 한국 보안 전문 기업들이 참여 중이다.
이런 가운데 오는 12일부터 한국에서 ‘FIDO2 표준 상호운용성 테스트’ 이벤트가 진행된다. 지난 8월 미국 실리콘밸리에서 치른 첫 이벤트 이후, 세계 두 번째 개최다. FIDO2 기술에 맞춰 개발된 솔루션과 이를 지원, 구동하는 플랫폼 환경의 호환성을 검증하는 자리다. 솔루션, 플랫폼의 호환성 검증 결과에 따라 각 개발업체는 ‘FIDO2 인증솔루션’을 내놓을 계획이다.
8월 첫 테스트 이벤트에 구글, 마이크로소프트, 유비코, 녹녹랩스, 야후재팬, IBM, 삼성SDS, 한국전자인증, 드림시큐리티, 이니텍, 라온시큐어, 와이키키소프트, 이더블유비엠, 한국전자통신연구원(ETRI) 등이 각각 플랫폼 개발업체, 인증서버 공급업체, 인증장치 공급업체로 참가했다. 그 일부가 이미 FIDO2 인증솔루션을 출시했거나, 조만간 출시를 예고했다.
12일부터 열릴 국내 이벤트엔 누가 참가할까. 9일 현재 조사 결과 드림시큐리티, 이더블유비엠, ETRI, 옥타코, 센스톤, 한컴시큐어, 한국정보인증, 엔슈리티테크놀로지스, 고트러스트아이디, 아이리시스, NXP, 솔로키즈 등 10여 곳이 참가를 신청한 것으로 파악됐다. 지난번에 이어 이번에도 한국업체의 참가 비중이 높아 보인다.
FIDO얼라이언스 회원사 가운데 FIDO2 표준 상호운용성 테스트 이벤트에 1차로 참가했거나 2차로 참가할 계획인 주요 기업과 기관 대상으로, 기존 FIDO1.0 표준 지원 제품 출시 현황 및 FIDO2 대응 기술 검증 및 제품 출시 계획을 물었다.
문의를 받은 회원사 가운데 라온시큐어, 삼성SDS, 드림시큐리티, 옥타코, 센스톤, 와이키키소프트, 한국전자인증, 한국정보인증, 한컴시큐어, 이니텍, 유비코, 한국전자통신연구원(ETRI)이 문의에 답했다.
FIDO얼라이언스 이사회 멤버인 라온시큐어는 8월 미국 테스트 이벤트에 ‘터치엔 원패스 FIDO’ 서버와 인증장치 제품으로 FIDO2 호환성 검증을 진행했다. 터치엔 원패스는 기존 FIDO 1.0 표준을 지원하는 서버, 클라이언트, 인증장치 제품군으로 2015년 5월 출시됐다. 여기에 FIDO2 지원 기능을 더한 셈이다. 라온시큐어는 FIDO2 인증 획득을 발표한 올해 9월을 FIDO2 지원 제품 출시 시기로 보고 있다. 회사는 터치엔 원패스에 연동되는 전용 인증장치에 ‘라온 파이도 동글’이란 브랜드를 부여했다.
삼성SDS는 ‘삼성SDS 넥스사인’으로 8월 FIDO2 테스트에 성공해 지난 9월 인증을 획득했다. 넥스사인은 지문과 홍채 등 생체정보를 이용해 이용자를 인증하는 솔루션으로 서버, 클라이언트, 인증장치를 포함한다. FIDO2 인증에 앞서 FIDO 1.0 표준 가운데 유니버설오센티케이션프레임워크(UAF) 규격 인증도 획득한 제품으로, 현재 삼성페이, 이베이코리아 등 서비스 환경에 적용됐다.
드림시큐리티는 ‘매직파이도2 서버’로 FIDO2 호환성 테스트에 성공해 지난 9월말 제품을 출시했다. 다음주 국내서 진행될 테스트에선 iOS와 안드로이드용 인증장치 솔루션 ‘매직파이도2 오센티케이터’를 검증하고 올해 12월 중순께 출시할 계획이다. 회사는 앞서 FIDO 1.0 표준 가운데 UAF 규격 인증을 획득한 제품도 서버, 클라이언트, 인증장치 등 유형별로 공급해 왔다. 각각 ‘매직UAF서버’, ‘매직파이도UAF클라이언트’, ‘매직UAF오센티케이터’라는 이름으로, 2015년 12월부터 시판되고 있다.
옥타코는 다음주 국내 테스트에서 ‘이지핑거 FIDO2’라는 인증장치를 검증해 내년 1월께 출시할 예정이다. 이지핑거 FIDO2는 윈도PC용 지문인식센서를 탑재하고 있으며 윈도10 인증플랫폼 ‘윈도헬로’를 지원할 예정이다. 앞서 이 회사는 올해 6월 FIDO 1.0 표준을 지원하는 ‘이지아이리스’ 인증장치를 출시했다. 이지아이리스는 스마트폰에 연동할 수 있는 외장형 홍채인식센서 인증장치로 시판되고 있다.
센스톤은 다음주 국내서 진행될 테스트에서 ‘스톤패스 FIDO2’라는 명칭의 인증장치 솔루션 신제품을 검증하고, 내년 상반기중 출시할 계획이다. 이 제품은 센스톤과 협력할 외부업체 인증장치와 맞물려 작동한다. 센스톤은 FIDO2 인증장치 솔루션 출시 이후 앞서 FIDO 1.0 솔루션을 도입한 고객의 환경을 업그레이드하는 기술과 함께 영업에 나설 계획이다. 회사는 2015년 12월 기존 FIDO 1.0 표준 UAF 규격의 서버, 클라이언트, 인증장치를 출시해 3년간 공공, 교육, 금융, 서비스 및 유통업체에 공급해 왔다.
와이키키소프트는 지난 8월 미국 테스트에 참가해 ‘와이덴터티 유니버설 서버’와 ‘와이덴터티 바이오사인2’라는 제품을 검증했다. 이로써 와이덴터티 유니버설 서버는 FIDO 1.0 UAF와 U2F에 더해 FIDO2를 지원하는 제품이 됐다. 와이덴터티 바이오사인2는 FIDO2 호환 지문인식 동글형 인증장치 제품이다. 회사는 지난 6월 안드로이드와 iOS용 FIDO 1.0 UAF를 지원하는 서버, ‘와이덴터티 클라이언트’, ‘와이덴터티 오센티케이터’를 출시했다. FIDO2 대응 제품은 다음달 내놓을 계획이다.
한국전자인증은 미국 테스트에 참가해 ‘크로스써트FIDO2’ 서버를 검증했고 다음달 출시할 계획이다. 관련 제품으로 2015년 12월 브라우저에 인증서를 보관하고 전자서명을 처리할 수 있는 ‘크로스써트 브라우저’를 출시했다. 이어 2016년 8월에는 FIDO 1.0 UAF를 지원하는 인증장치, 서버, 안드로이드용 클라이언트, iOS용 클라이언트 및 인증장치, 4개 제품을 ‘크로스써트FIDO 1.0’이라는 이름으로 출시했다. 이후 2017년 11월 FIDO기술을 접목해 클라우드영역에 인증서를 두고 전자서명을 처리하는 ‘클라우드사인’도 출시했다.
한국정보인증은 다음주 국내 테스트에서 ‘KICA FIDO2 서버’라는 제품을 검증하고 내년 상반기 출시할 예정이다. FIDO2 서버는 회사가 올해 1월 선보인 ‘KICA 클라우드인증’에 적용돼 서비스로 제공된다. 한국정보인증이 앞서 공급해 온 제품은 ‘KICA FIDO서버 1.0’, ‘KICA FIDO클라이언트 1.0’, ‘KICA FIDO오센티케이터 1.0’, ‘KICA FIDO클라이언트스위트 포 iOS 1.0’ 등이다.
한컴시큐어도 다음주 국내에서 진행될 FIDO2 테스트에 참가해, 가칭 ‘한컴시큐어 패스(FIDO)’라는 서버 제품을 검증하기로 했다. 아직 출시일정은 확정되지 않았다. 회사는 2016년 7월 ‘제큐어패스’라는 이름으로 FIDO 1.0 버전 클라이언트, 인증장치, 서버 제품을 출시했다. 서버 제품은 UAF와 U2F 인증을 모두 받았고 클라이언트 및 인증장치 제품은 UAF 인증만을 받았다.
이니텍은 지난 8월 미국 테스트에서 ‘이니세이프FIDO 서버 2.0’ 검증을 받고 FIDO2 인증을 획득했고 9월에 제품을 출시했다. 이는 앞서 출시한 ‘이니세이프FIDO’ 서버의 업그레이드 버전으로, FIDO 1.0 UAF 및 FIDO2 규격을 통합 지원하는 제품이다. 이니텍이 2016년 9월 출시한 이니세이프FIDO는 서버뿐아니라 클라이언트와 인증장치 유형을 포함한다. 이니텍은 이달 국내 테스트 행사를 진행하는 호스트 중 한 곳으로, 실제 테스트 검증에 참여하지는 않는다.
미국의 FIDO얼라이언스 초기 멤버인 유비코도 국내 테스트 행사를 진행을 맡은 호스트 중 한 곳이다. 유비코는 지난 8월 미국 테스트를 통해 신제품의 FIDO2 호환을 검증했다. 검증을 통과한 제품은 ‘유비키5’ 시리즈라는 이름으로 지난 9월 출시됐다. 유비코는 2014년 10월부터 FIDO 1.0 대응 인증장치, 유비키4 시리즈와 ‘유비키 네오’ 등 제품을 선보여 왔는데, U2F 지원 제품이라는 점에서 UAF 대응 중심인 국내 업체들과 차이를 보인다. 이 회사는 지난해 11월 국내 총판을 확보하고 올해 4월부터 직접 영업 활동을 시작했다.
관련기사
- 패스워드 없는 웹, 실리콘밸리에서 시동2018.11.09
- '패스워드 없는 웹' 세상 성큼2018.11.09
- 구글 직원은 패스워드 없이 로그인한다2018.11.09
- MS "패스워드 없는 세계 만들겠다"2018.11.09
ETRI는 민간 기술이전을 목적으로 FIDO2 서버와 모바일 플랫폼별 인증장치 기술을 개발해 왔다. 먼저 8월 미국 테스트에 참가해 ‘ETRI FIDO2 서버’를 검증했고, 9월부터 그 기술을 민간에 이전할 수 있게 됐다. 다음주 국내 테스트에서는 ‘ETRI FIDO2 인증장치’를 검증할 계획이다. FIDO2 인증장치는 iOS용, 안드로이드용, 두 가지 버전으로 개발돼 각각 검증될 예정이다. 이번 검증을 통과하면 FIDO2 인증장치의 민간 기술이전은 12월께 가능해질 전망이다.
국내서 FIDO2 표준을 지원하려는 사업자 대부분은 2015년 이후 FIDO 1.0 표준에 대응한 경험을 갖고 있다. 과거 경험을 살려 새로운 기술도 발빠르게 개발하고 보급을 선도할 수 있을 것으로 기대된다. 흥미로운 부분은 다수 업체가 FIDO 1.0 표준 가운데 패스워드 대체 방식인 UAF 규격을 우선 지원하고 있었다는 점, 패스워드 보완 방식인 U2F 규격을 지원하는 곳은 소수였다는 점이다. FIDO얼라이언스에 초기 합류한 유비코만이 스스로 제안했던 U2F 규격을 우선 지원해 왔는데, 이제 한국 시장 진입을 본격화하면서 FIDO2 지원 대열에 합류한 분위기다.