"한국은 FIDO 인증기술의 '얼리어답터'다. 기존 공인인증서 환경을 극복하려는 노력에 FIDO의 비중이 크다. 피싱 공격을 이겨낼 환경을 만드는 게 FIDO 기술의 역할이다. 웹과 모바일 서비스가 FIDO 표준을 통해 이용자가 더 안전하고 편리한 인증환경을 누리게 될 것이다."
브렛 맥도웰 FIDO얼라이언스 이사장은 최근 지디넷코리아와의 인터뷰 자리에서 이같이 말했다. 그는 지난주 서울 강남에서 국내외 온라인서비스 인증기술 담당자 및 솔루션 공급업체를 대상으로 열린 'FIDO얼라이언스 퍼블릭세미나'에 참석하기 위해 한국에 머물렀다. 행사 전후로 FIDO얼라이언스의 글로벌 대표 자격으로 국내 주요 관련 단체, 회원사와도 만났다.
FIDO얼라이언스는 FIDO라는 이름의 차세대 온라인 사용자 인증 표준을 만들고 보급하는 비영리 민간단체다. 구글, 마이크로소프트, 아마존, 인텔, 비자, 페이스북, 삼성전자, BC카드, 라인, 알리바바 등을 주요 멤버로 두고 있다. FIDO얼라이언스 본부가 있는 미국을 제외하고 한국을 포함한 5개 지역 '워킹그룹'이 운영되고 있다. 회원사 250곳 중 한국 회원사만 30곳 가량에 달한다.
인터뷰를 진행하기 위해 만난 브렛 맥도웰 이사장(executive Director)은 FIDO얼라이언스의 글로벌 생태계 현황 가운데 한국에서 FIDO 표준 인증기술의 수용도가 두드러진다는 점, 최근 FIDO 표준이 국제연합(UN) 지정기구 국제전기통신연합 전기통신표준화부문(ITU-T) 국제표준으로 채택된 소식의 의미와 기대효과, 올해 인증기술시장의 키워드와 내년 목표를 언급했다.
맥도웰 이사장과 나눈 문답을 아래 정리했다.
- FIDO얼라이언스라는 단체와 본인의 역할을 소개해 달라
"FIDO얼라이언스는 미국을 기반으로 전세계 200여곳의 회원 기업과 기관이 참여하는 비영리 기술표준화 조직이다. 나는 FIDO얼라이언스에서 (회원들이) 계정(identity)을 안전하고 빠르게 인증할 수 있는 환경을 교육하고 도움을 주는 역할을 하고 있다.
회원사뿐아니라 우리와 유사한 일을 하는 다른 단체와도 협력한다. 기술담당, 마케팅담당, 각국 공공정책담당 등이 '워킹그룹'으로 나뉜다. 우리가 제공하려는 기술표준을 디자인하는 조직과 그걸 각국에 잘 전달할 수 있는 조직으로 역할을 구별하고 있다.
한국에는 이전에도 여러번 방문했다. FIDO얼라이언스 이름만으로도 10여번은 넘게 온 것 같다. 방한 목적은 이번 퍼블릭세미나 이벤트 참가와, FIDO를 활용할 준비가 된 회원사들을 만나 그들에게 필요한 사항을 듣고 도움을 제공하는 임무를 수행하는 것이다.
여타 표준화 단체는 (멤버로 속한 곳의 특성상) 기술 '수요자'와 '공급자'의 구별이 확연하지만 우리는 그렇지 않다. 복잡하다. 공급자이면서 수요자이거나, 정부기관인 곳도 있다.
예를 들어 서비스 제공자 중 '금융' 분야를 놓고 보면 일반 은행, 보험사, 간편결제, 모바일 등 사업조직이 다 들어와 있다. 업종별로 카드사 한 곳, 은행 한 곳, 이런 식으로 참여하는 표준화 조직과의 차이점이다."
- 글로벌 현황 대비 한국의 FIDO 표준 관심도와 수용도는 어떤가
"한국에 보급된 공인인증서가 (FIDO 기술도 활용하고 있는) 공개키기반구조(PKI) 시스템을 채택하고 있다는 점 자체는 특별한(unique) 게 아니다. 다만 인터넷 이용환경 기반이 잘 형성돼 있다. 스마트폰과 같은 새로운 디지털 기기도 빠르게 받아들인 편이다.
한국은 이런 배경에서 온라인서비스에 FIDO 표준을 잘 적용하고 있다. FIDO 표준 활용도 면에서 한국은 '얼리어답터'라고 볼 수 있다. 한국이 공인인증서를 극복하려는 노력에 FIDO의 비중이 크다고 본다. 내년에는 더욱 이쪽에 주력하려고 한다.
FIDO 기술과 FIDO얼라이언스의 역할은 피싱에 취약한 패스워드와 OTP 대상 공격을 이겨낼 수 있는 환경을 만드는 것이다. 한국의 웹과 모바일 서비스 제공자들이 FIDO 표준을 받아들이면 이용자가 피싱 공격으로부터 더 안전하고 편리한 인증환경을 누리게 될 것이다."
- FIDO 표준은 모바일 중심으로 보급돼 왔는데 이유가 뭘까
"처음 FIDO 표준이 등장했을 땐 이걸 각 제조사 의사결정에 따라서만 디바이스에 넣을 수 있는 환경이었다. 최신 표준 FIDO2는 제조사마다 지원을 결정하는 게 아니라, 모든 디바이스에 쓸 수 있다. 일반사용자는 이 변화를 체감하기 어렵겠지만, 활용성이 훨씬 올라간다.
최근 웹브라우저까지 FIDO2 기술을 받아들이기 시작했다. W3C '웹오센티케이션(WebAuthn) API' 표준이 나왔다. 이로써 패스워드 쓰던 이들은 모바일에서든 웹에서든 FIDO 프로토콜로 생체인증이나 USB 보안 키 등으로 더 빠르고 안전한 인증을 할 수 있게 됐다.
앞으로 한국의 웹, 모바일 서비스 제공자들이 최신 FIDO 프로토콜(FIDO2 표준)을 받아들여 패스워드가 필요하지 않은 환경을 구현하면, 이용자들이 피싱 공격으로부터 더 안전하고 빠르고 편리한 인증을 할 수 있는 서비스를 누릴 수 있게 될 거다.
스마트폰을 비롯한 소비자 기기 제조사에도 새로운 기회가 있다. FIDO2 표준 구성요소중 '클라이언트 투 오센티케이터 프로토콜(CTAP)'이란 것이 있다. CTAP을 사용하면 휴대폰이든 컴퓨터든, 이용자가 개인기기를 언제 어디서나 FIDO 인증장치로 쓸 수 있게 된다.
또 예를 들어 기업들은 기존 사내 보안장치나 사원증 등으로 구성된 보안 인프라를 강화할 때 CTAP 기술을 활용할 수 있다. 이런 기능을 MS 엣지, 구글 크롬, 모질라 파이어폭스 등 주요 웹브라우저 플랫폼이 모두 지원하기 시작했다."
- FIDO를 '생체인증(biometric)' 기술이라 불러도 되나
"FIDO 규격은 공개키암호를 사용하면서 인증을 처리하는 기기와 서버간 통신프로토콜을 결합한 기술의 표준이다. 공개키와 비밀키(개인키)를 잘 활용하는 게 핵심이다. 공개키 암호로 생성된 비밀키를 개인이 소지한 기기에만 생성, 저장해 쓰고, 외부에는 공개키만 이용되게 한다.
다만 FIDO 인증방식은 (비밀키를 저장한) 기기 자체를 인증할 뿐아니라, 그걸 쓰는 '사람'도 인증해야한다. 생체인증은 사람을 인증할 때 쓰는 여러 방법 중 하나다. 그런데 실제 사용자인 일반인들에게 비밀키, 공개키, 이런 얘기는 복잡하고 어려워 잘 이해하기 어려운 얘기다.
반면 생체인증은 눈에 보이는 부분이다. 편리한 사용자경험 측면에서 두드러지기도 하고. 아마 (관련 기술을 제공하고 알릴 때) 제조사들이 사람들이 FIDO 인증 기술을 쉽게 활용할수있도록 생체인증이라는 표현을 선택한 결과로 약간 그런 혼동이 있지 않나 싶다."
- FIDO 규격이 ITU-T 표준에 채택된 이후 기대하는 변화는
"ITU-T를 통한 국제표준화는 FIDO의 기술수준이 어느정도 성숙됐다는 신호다. 그리고 각국 정부 기관이 참여하는 ITU-T 성격상 그런 국제적인 인정을 받고 있다는 의미도 지닌다.
FIDO가 민간표준에 그친다면 한국처럼 뭔가 혁신적인 움직임이 벌어지고 있더라도 이걸 다른 나라에 그대로 전파하기는 쉽지 않다. FIDO를 어떤 특정 영리조직의 제품이나 지적재산으로 오해받을 수 있었기 때문이다.
ITU-T를 통해 국제표준으로 채택됨으로써 이런 오해 없이 전세계서 잘 활용될 수 있는 표준 기술임을 확인받은 셈이다. 각국 정부가 ICT 분야 투자 및 R&D 계획을 수립할 때 포함되는 국제표준 규격 요구사항에 대응함으로써 이런 걸(국경을 넘어선 기술 확산을) 가속할 것이다."
- FIDO 표준에 여러 종류 규격이 있는데, 통합될 수 있을까
"처음 2014년 (FIDO 1.0 규격으로) 유니버설오센티케이션프레임워크(UAF)와 유니버설세컨드팩터(U2F)를 제공하기 시작했다. 각 규격은 다른 상황을 전제로 만들어졌다.
UAF는 스마트폰이 제공하는 기능을 통해 공개키암호 기술 사용자 인증과 기기 인증을 하고자 했다. 패스워드 자체를 없애는 방식이었다. U2F는 온라인서비스에 기존 ID와 패스워드를 그대로 쓰되, 일회용 패스코드를 대체할 더 편리하고 빠르게 추가인증을 제공하려 했다.
당초 운영체제(OS)에 직접 들어갈 수 있는 기술 규격을 만들 기회는 없었다. U2F는 웹브라우저용으로 만들어진 거였다. 규격을 내놓은지 몇 년 뒤 구글이 그들의 웹브라우저(크롬)로 U2F를 쓰기 시작했다.
UAF와 U2F를 공개한(2014년) 뒤에 MS와 구글같은 플랫폼회사가 자기네 플랫폼에 그걸 쓰고 싶다며 관심을 보이기 시작했다. MS, 구글, 모질라같은 플랫폼 회사와 일하기 시작했다. 그후 모든 플랫폼 환경에서 FIDO 인증을 구현할 수 있게 표준화한 게 FIDO2다.
이로써 스마트폰 등 기기 제조사가 가진 (OS, 플랫폼 표준이 없어 개별적으로 구현해야 했던) 고민을 해결했다. 그간 UAF와 U2F를 잘 쓰는 이들이 수백만이 넘었다. FIDO2가 나왔더라도 그 안에서 (기존 FIDO 인증을 지원하는) 범용 서버인증을 같이 제공할 수 있다."
- 올해 인증기술 시장의 주요 변화 3가지를 꼽는다면
"피싱을 막아주는(phishing resistant), 다중요소의(multi-factor), 마찰없는(frictionless), 인증이 주요 변화라 할 수 있겠다."
- 내년 예상되는 변화와 그에 따른 활동 목표는
"모두가 패스워드를 없애려고 한다. 그런 방식 중에 특정 회사나 개인이 지적재산을 보유하고, 사용자가 별도 소프트웨어를 설치해야 쓸 수 있는 형태로 제공되는 기술도 있다. 예를 들어 클라우드 영역에 생체인증을 결합해 활용할 수 있는 기술을 제공하는 경우가 있다.
관련기사
- 애플, 맥OS 사파리 FIDO2 기능 테스트2018.12.10
- "애플, 사파리 브라우저 위한 FIDO2 인증기술 구현중"2018.12.10
- FIDO 인증기술, ITU-T 국제표준 채택 확정2018.12.10
- 민간표준 FIDO, ITU-T 국제표준 된다2018.12.10
FIDO 규격은 이처럼 별도 지적재산이 걸린 신기술과 직접 경쟁하지 않는다. 오히려 지적재산을 보유한 쪽에서 우리와 함께 일하려는 경우가 많다. FIDO 기반의 표준 시스템을 제공하고, 신기술이 거기에 올라갈 수 있어서다. 우리는 그런 곳과의 협력을 환영한다.
또 우리는 이제 막 FIDO2 표준과, 그에 맞는 새 시험인증 프로그램도 내놓았다. FIDO 인증장치를 위한 보안성 시험인증 프로그램 및 생체인식 센서 장치의 시험인증 프로그램도 마련했다. 내년에는 이런 프로그램과 표준을 잘 다듬고 기술 보급을 위한 교육에 집중할 계획이다."