온라인상에서 사용자를 인증하는 방식은 비밀번호와 같이 자신이 기억하고 있는 것, 휴대폰 같이 자신이 소유하고 있는 것, 그리고 지문, 홍채 등의 생체 정보와 같은 그 자신이 고유하게 가지고 있는 것을 이용하는 방식으로 나눌 수 있다. 아직까지 많은 웹사이트 온라인 사용자 인증은 외우기 어렵고 피싱의 위험이 높은 비밀번호에 대부분 의존하고 있는 것이 사실이다.
우리나라에서 널리 사용되고 있는 공인인증서의 경우도 비밀번호에 기반하고 있고, 서명 및 악성코드를 막기 위해 추가적으로 실행파일 등 소프트웨어를 설치해야 하며, 해당 공인인증서 관련 정보가 하드 드라이버나 메모리 스틱 등에 저장되어 있어서 해커가 이 정보를 암호화한 비밀번호를 획득할 수 있다면 개인키의 소유가 해커에게 넘어가게 된다. 인증의 보안성과 편의성 측면에서 문제를 가지고 있었다.
이러한 온라인 환경에서 안전한 인증 환경 조성을 위해 2013년경 페이팔, 레노버, 녹녹랩스, 인피니온 등 글로벌 회사가 주축이 되어 온라인 환경에서 보다 편리하고 안전한 인증 방식을 공동으로 개발하고 관련 기술 표준을 제시하고자 산업체 연합체인 FIDO 얼라이언스를 설립하게 되었다. FIDO 얼라이언스가 2014년 말 비밀번호 대신 생체 인증을 사용할 수 있는 기술인 UAF와 U2F 기술 표준을 공표함에 따라 우리나라 많은 온라인 서비스 제공자와 산업체에서도 사용자 편의성과 보안성을 높일 수 있는 FIDO 인증 방법을 구현해 적극 활용하고 있다.
FIDO 프로토콜의 고유한 가치는 비밀번호를 제외한 모든 인증방식을 포용하면서 안전한 공개키 암호 기법을 이용하고 있는 범용 인증 기술이라는 것이다. 다시 말해, 편의성과 보안성이라는 두 마리 토끼를 잡는 온라인상의 인증 프로토콜이라고 볼 수 있다. 국내 공인인증서 또는 OTP 서비스 제공자가 FIDO 프로토콜을 적극적으로 결합하여 인증을 제공하는 것을 보면 확장성과 범용성을 바탕으로 보안성과 사용자 편의성을 보다 손쉽게 높일 수 있는 FIDO 프로토콜의 가치가 인정되고 있다.
FIDO 인증은 기존 공인인증서와 호환해 동작할 수 있어서 기존 공인인증 생태계와 협업이 가능하다. 또한 FIDO인증은 서버와 인증장치 사이에 생체 정보나 비밀번호등이 교환하지 않고 생체 정보는 해당 단말에서 저장하고 있어서 생체 정보의 유출 리스크를 현저히 낮출 수 있다. 또한 생체인증은 인증장치에 나 자신을 확인하는 여러 요소 중에 하나일 뿐이며 일회용 비밀번호(OTP) 등 다른 요소를 다중으로 적용할 수 있는 보안성이 높은 환경을 FIDO 프로토콜이 제공하고 있다.
FIDO 프로토콜과 공인인증서를 결합하여 공인인증을 사용 시 비밀번호를 입력하는 대신 생체인증, OTP 등을 적용하고 내부에서는 공인인증서로 서명용 공개키 알고리즘 기반 사용자 인증 기능을 수행하게 한다. FIDO 인증 서버를 한 번 설치하면 인증 장치를 서비스 제공자의 요구사항에 맞게 얼마든지 변경이 가능한 구조로 설계해 생체 인증 기술 뿐만 아니라 서비스 제공자들이 과거 사용해 왔던 다양한 인증 기술을 다중 요소 인증(MFA) 형태로 지원 가능하다.
최근 FIDO 얼라이언스는 월드와이드웹컨소시엄(W3C)과의 웹 표준 작업을 완료했고, FIDO 프로토콜이 국제전기통신연합 정보통신 표준화 부문 (ITU-T) 국제표준으로 채택되었다. 이는 기존 모바일 애플리케이션 레벨에서 제공되던 기능이 개인 컴퓨터 플랫폼 수준에서도 제공될 수 있어서 FIDO 프로토콜의 성숙도가 완성되고 있음을 의미한다.
이 표준에 근거해 마이크로소프트 운영체제 등에서도 FIDO 프로토콜이 구현되고 있어서 지금보다 더 폭넓은 온라인 서비스 또는 오프라인 서비스에 사용될 것임을 암시한다. FIDO 상호 운용성 시험 인증에 통과한 서버와 인증 장치가 2018년 11월까지만 해도 500여개에 달했는데 현재 기준으로 630개가 되었다. 그간 참여를 하지 않았던 IBM 등과 같은 글로벌 빅플레이어 들이 회원사로 참여하기 시작 했음은 물론 현대기아차 등과 같은 기업이 시험인증에 통과했다는 것도 이를 나타내고 있다.
전 세계 약 260여개 회원사로 성장한 FIDO 얼라이언스에 참여하고 있는 한국 회원사는 삼성전자, BC카드, SK텔레콤, LG전자, 코나아이, 에어큐브, 라온시큐어, eWBM, ETRI, TTA 등 약 30여개이다. 삼성전자가 전 세계 최초로 FIDO 생체 인증 디바이스에 대해 시험 인증을 획득하였고, 국내 전 회원사들이 힘을 합쳐 혁신적인 제품 또는 서비스 개발하기 위해 FIDO 프로토콜을 접목하고자 하는 개발자를 지원하기 위한 FIDO 해커톤 프로그램을 세계 최초로 운영하는 등 다른 어떤 국가의 기업보다 앞서서 기술 확장과 보급에 앞장서 나가고 있다고 판단된다.
FIDO 얼라이언스의 한국워킹그룹은 삼성SDS, LINE, SK텔레콤, ETRI, TTA, eWBM이 적극적으로 분과 리더 역할을 수행하면서 FIDO2와 같은 신규 기술 스펙이 현장에서 도입될 때의 기술 및 사용자 이슈 연구, 전력이 공급되지 않는 상황에서 FIDO 인증을 어떻게 사용할지에 대한 스펙 연구, 그리고 다중 생체인증 사용 시 성능 비교 등 다양한 내부 프로젝트를 진행하고 있다.
관련기사
- 'FIDO 해커톤' 개발자 지원 프로그램 5월29일 발표 심사2019.06.26
- FIDO얼라이언스, 4월2일 한국 개발자 지원프로그램 설명회2019.06.26
- '패스워드 없는 웹' 웹오센티케이션, 공식 표준 인증2019.06.26
- FIDO 인증기술 규격, 국제전기통신연합 표준으로 채택2019.06.26
앞으로도 한국 기업이 세계 무대에서 FIDO 얼라이언스가 구축한 에코시스템에서 보다 적극적으로 전세계 시장에서 활약하고 공적 국제표준화 기구의 기술 표준화를 선도할 수 있게 지원하며 국제전기통신연합 정보통신 부문과의 협력 강화를 지원할 예정이다.
정부도 온라인 환경에서 비밀번호 위주의 인증방식에서 벗어나 안전성과 편리성을 갖는 다중 요소 인증이 널리 활용될 수 있는 노력을 기울여야 하고 국내 인증 산업의 활성화 및 협업 체계 구축을 위한 인증 생태계를 조성해야 할 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.