라인(LINE) 메신저 이용자들이 이르면 올봄부터 지문 또는 얼굴 인식을 통한 인증으로 '패스워드 없는 로그인'을 할 수 있게 된다. 메신저뿐아니라 그 계정을 연동하는 파트너, 타사 서비스에서도 이런 방식이 지원된다. 온라인 간편인증 규격 '파이도(FIDO)' 표준 기술이 활용된다.
라인 주식회사는 최근 공식 엔지니어링 블로그를 통해 이런 계획을 공개했다.
회사는 서비스 이용자들에게 점차 패스워드 입력을 요구하는 인증 화면을 줄여 가고, 결국 완전히 제거할 것이라는 구상을 제시했다. 보안상 더 안전하면서도 간편한 서비스를 제공하겠다는 목표다.
수년간 일부 이용자들에게 FIDO 규격을 활용한 온라인뱅킹 또는 웹서비스가 제공됐지만, 공공 및 민간의 온라인서비스 환경에서 이를 활용할 수 있는 인증서버와 인증장치는 폭넓게 보급됐다고 보기 어렵다. 라인의 움직임은 태동기인 FIDO 표준의 확산을 가속할 전망이다.
라인 주식회사는 FIDO 규격을 메신저뿐아니라 '라인페이(LINE Pay)'같은 지불 및 송금 거래의 이용자 확인(User Verification) 수단으로도 도입할 예정이다. 사물인터넷(IoT) 플랫폼 '라인싱스(LINE Things)'에 통합해, 이용자가 라인 계정으로 스마트 조명·가전·스피커·자동차를 다루는 시나리오까지 대응할 전망이다.
■ FIDO가 뭐기에
라인 주식회사의 패스워드 없는 온라인서비스 비전은 지난 2014년부터 산업계에 보급되고 있는 FIDO 기술의 지향점이기도 하다.
FIDO는 세계 각지의 여러 민간, 공공 단체가 참여해 표준화하고 있는 온라인 간편인증 규격이다. 소유자 기기에만 저장되는 생체정보, PIN번호, 또는 하드웨어 키 정보 등을 확인해 소유자를 인증하고, 서버에서 공개키암호 기술을 활용해 해당 기기를 인증하는 기법을 결합했다.
이런 FIDO의 핵심 아이디어는 실제 소유자 기기와 인증서버를 구현하는 방식에 따라 별도 규격으로 표준화됐다. 2014년 등장한 FIDO 1.0 유니버설오센티케이션프레임워크(UAF), FIDO 1.0 유니버설세컨드팩터(U2F), 2018년 공개된 FIDO2 등이다.
FIDO 규격은 국제 비영리 민간단체 'FIDO얼라이언스'에 의해 표준화됐다. FIDO얼라이언스는 지난 2012년 결성돼 2013년 공식 출범한 미국 본부와 이후 세계 각지에 구성된 산하조직 '워킹그룹' 다섯 곳을 기반으로, 그간 세계 250여곳의 회원사 참여를 이끌어냈다.
FIDO 규격은 민간표준이지만, 193개국이 회원으로 참여하는 국제연합(UN) 지정 국제전기통신연합(ITU)에 의해 지난해 국제표준(ITU-T x.1277, x.1278)으로 채택되기도 했다. [관련기사 ☞ FIDO 인증기술, ITU-T 국제표준 채택 확정]
FIDO 표준 기반 인증이 실제로 활용되려면 먼저 온라인서비스를 구축하고 제공하는 기업이나 공공기관이 그 '인증서버'를 FIDO 규격에 맞춰 구현해야 한다. 그리고 이용자가 FIDO 규격에 맞는 생체인식센서 또는 별도의 하드웨어 등 '인증장치'를 써서 여기에 접속해야 한다.
FIDO얼라이언스는 개별 인증장치와 인증서버를 대상으로 테스트를 거쳐 자격인증(certification)을 부여한다. 장치와 서버에 부여된 자격인증은 그 기술적인 처리 동작이 FIDO 규격을 충족하며, 다른 제품과도 안정적으로 상호호환된다는 사실을 나타낸다.
■ 라인, '패스워드 없는 세상'으로 가는 길에 합류
라인 주식회사는 지난 2017년 5월 구글, 마이크로소프트(MS), 인텔, ARM, NTT도코모 등 30개사로 구성된 FIDO얼라이언스 이사회 멤버로 합류했다. [발표원문(영어) ☞ LINE Joins Board of FIDO Alliance, Standards Group for Simpler, Stronger Authentication]
당시 발표문을 통해 FIDO 인증을 라인과 다른 애플리케이션에 구현하겠다는 계획을 밝혔다. 이로써 기존 패스워드 인증 시스템에서 발생하는 "피싱, 계정탈취, 허가되지 않은 서비스 이용을 포함한 여러 보안 및 프라이버시 우려"를 해소하겠다는 목표를 제시했다.
FIDO 인증 기술을 지원할 대상으로 '라인 메시징 앱'과 다른 라인 브랜드 기반의 앱, 향후 출시할 IoT 및 다른 종류의 서비스를 언급했다. 패스워드 없는 인증 방식을 포함해 각 앱과 서비스의 보안과 편의성 개선에 주력하겠다고 예고했다.
이어 지난 2018년 12월 7일 FIDO 도입 일환으로 FIDO 유니버설 서버(FIDO Universal Server) 자격인증을 획득했다는 소식을 내놨다. [발표원문(일어) ☞ 【コ?ポレ?ト】LINE、サ?ビス事業?社として世界初の 「FIDO ユニバ?サルサ?バ?」の認?を取得]
FIDO 유니버설 서버는 기술적으로 PC와 모바일 운영체제(OS), 앱과 웹 플랫폼 기반 FIDO 인증 시나리오를 모두 처리할 수 있는 서버라는 뜻이다. 해당 자격인증은 모바일 앱에 주로 쓰이는 UAF, U2F 규격과 웹서비스에 대응하는 FIDO2 규격의 테스트에 모두 합격해야 부여된다.
이날 발표에 따르면 향후 PC용 라인 메신저 앱과, 라인 모바일 앱에 탑재된 송금 및 결제 서비스 '라인페이(LINE Pay)' 등 이용시 FIDO 인증이 지원된다. 앱 이용자가 PC나 스마트폰의 지문인식, 안면인식 기능을 쓰면 패스워드나 PIN코드 입력을 대체할 수 있다는 뜻이었다.
회사는 이용자에게 "데스크톱용 라인 앱과 기타 여러가지 애플리케이션을 이용할 수 있도록 패스워드 기반의 로그인 기능을 제공"해왔는데 "매번 패스워드를 입력"한다든지 라인페이 송금 또는 결제 등 기능을 사용시 "PIN코드를 입력"해야 하는 불편함이 있었다고 판단했다.
그러다가 FIDO 유니버설 서버 자격인증을 획득함으로써 "라인과 기타 서비스의 다양한 상황에서 생체 인증(지문 인증, 얼굴 인증 등)을 이용하게 되므로 인증의 패스워드나 PIN코드 입력의 번거로움을 해소"할 수 있게 됐다고 설명했다.
또 FIDO 인증 환경은 이용자가 "패스워드나 PIN코드같은 서버에 저장하는 유형의 비밀 정보(Shared Secrets)를 다루지 않아" 더 안전하며, 이용자의 생체 정보도 "인증장치의 외부에 나오지 않고 서버로 전송되지 않아 프라이버시 측면에서도 더 안심할 수 있다"고 강조했다.
■ 생체인증 넘어 보안 키, PC-모바일 넘어 IoT
라인 주식회사는 인증서버로 지원 가능한 서비스 시나리오를 확대할 계획이다. 이용자가 생체인증뿐아니라 하드웨어 보안 키(security key)를 써서 인증할 수 있도록 지원하고, PC와 모바일 기기를 넘어 IoT 기기를 연결하는 서비스까지 대응할 방침이다.
라인의 보안 소프트웨어 엔지니어 신기은 씨가 지난 12월 27일 게재된 라인 엔지니어링 블로그 한국어 포스팅을 통해 FIDO 유니버설 서버 자격인증을 획득한 라인 인증서버의 서비스 대응 방향을 짐작할 수 있다. [원문보기 ☞ FIDO at LINE: 패스워드 없는 세상으로의 첫 발걸음]
신 씨는 "LINE 사용자는 FIDO 인증을 통해 얼굴이나 지문 등의 생체정보나, 유비키, 구글 타이탄 키와 같은 외부 인증장치로 손쉽고 빠르게 로그인과 인증을 진행할 수 있다"며 "FIDO 기술은 공개 키 암호화 방식을 활용하여 매우 강력한 인증을 제공한다"고 강조했다.
한국에서는 FIDO 인증이 생체인증과 유의어처럼 쓰이고 있지만, 둘은 사실 서로 별개의 개념이다. FIDO 규격은 공개키암호 기술로 인증서버에 접속하는 기기를 인증하는데, 그에 앞서 기기의 소유를 인증하는 단계를 거치도록 고안됐다. 생체인증은 그 수단 중 하나일 뿐이다.
신 씨가 언급한 유비키(Yubikey)와 구글 타이탄 키(Google Titan key)는 FIDO 인증을 지원하는 온라인 서비스에서 패스워드 입력을 대체할 수 있는 인증장치다. 현재 드롭박스, 페이스북, 깃허브, 트위터, 구글 등이 온라인 서비스에서 하드웨어 보안 키로 FIDO 인증을 지원한다.
라인 주식회사 역시 앞으로 FIDO 인증을 지원하는 앱이나 서비스에 로그인할 때 지문, 얼굴인식뿐아니라 하드웨어 보안 키를 지원할 듯하다. 앞서 예시된 유비키와 구글 타이탄 키뿐아니라 국내외 여러 제조사가 FIDO 자격인증을 받아 출시한 제품이 호환될 것으로 보인다.
회사의 먼젓번 발표와 엔지니어링 블로그 내용을 종합하면, 일단 '올해 봄'부터 라인 앱의 메신저, 라인페이 결제 및 송금 서비스에 FIDO 호환 생체인식 또는 보안 키를 통한 인증이 구현될 전망이다. 다만 아직 구체적으로 어느 플랫폼의 앱과 서비스부터 적용될지는 불분명하다.
봄부터 '라인 로그인(LINE Login)'에도 FIDO 인증이 지원된다. 라인 로그인은 타사의 iOS, 안드로이드, 웹 기반 앱에 통합돼 라인 계정으로 그 앱의 회원가입과 이용자 인증을 처리해 준다. 외부 서비스가 자체 인증시스템 없이 라인의 인증서버 기반 FIDO 인증을 쓸 수 있게 된다.
신 씨는 "라인의 파트너 및 타사 서비스의 사용자는 비밀번호 없이 자신의 기기에 지문이나 얼굴을 스캔함으로써 인증을 수행할 수 있다"며 "또한 보안 및 개인 정보 보호에 관심이 있는 사용자는 외부 보안 토큰을 등록하여 계정에 대한 보안을 강화할 수도 있다"고 썼다.
그는 이어 "라인은 사용자에게 비밀번호 입력을 요구하는 모든 인증 화면을 최소화하고 결국에는 완전히 제거할 계획"이라며 "최종적으로 사용자가 암호를 사용할 필요가 없는 서비스를 제공하는 것이 목표"라고 덧붙였다.
이밖에도 라인페이에서는 "사용자 확인(User Verification) 방법으로 지문 인식과 얼굴 인식을 모두 도입할 예정"이라며 "지불 등의 거래를 단순히 휴대폰 지문인식 센서를 터치하거나 휴대폰 전면의 카메라를 바라보는 것만으로 진행할 수 있게 된다"고 설명했다.
라인 주식회사는 인터넷에 연결된 조명, 인공지능 스피커 등 IoT 기기를 제어하는 환경에도 FIDO 인증의 보안과 편의성이 중요하다고 판단했다. 저전력블루투스(BLE) 기반 IoT 플랫폼 '라인 싱스(LINE Things)'에도 FIDO 인증을 지원하기로 했다.
관련기사
- FIDO 인증기술 규격, 국제전기통신연합 표준으로 채택2019.02.01
- FIDO얼라이언스 총회 내년 한국서 열린다2019.02.01
- MS엣지, MS계정 '패스워드 없는 로그인' 지원2019.02.01
- 패스워드 없는 웹, 실리콘밸리에서 시동2019.02.01
신 씨는 "IoT 장치는 인터넷에 직접 연결되어 있거나, 통제하기 어려운 복잡한 환경에 배치되는 경우가 많아서, IoT 환경에서 서비스를 안전하게 제공하는 것엔 많은 어려움이 따르게 된다"고 지적했다.
라인 싱스의 FIDO 인증 지원을 예고하며 "라인은 FIDO가 안전하면서도 편리한 인증을 제공하기 때문에, 이런 특징을 가진 IoT 생태계에 잘 부합한다고 생각한다"며 "FIDO를 라인 싱스에 통합하게 되면 사용자는 안전하게 장치를 관리하고 제어할 수 있게 될 것"이라 덧붙였다.