패스워드 필요없는 인증 'FIDO', 일상 어떻게 바꿀까

부실한 IoT 보안 강화…문서·개인정보 유통에도 유용

컴퓨팅입력 :2020/12/03 07:27

일반적인 계정 인증 방식을 보다 안전하고 편리하게 바꿀 수 있는 차세대 표준 기술로 패스워드를 사용하지 않는 '패스트아이덴티티온라인(FIDO)'이 주목받고 있다. 이런 상황에서 FIDO를 일상 생활에 접목한 아이디어들이 제안돼 관심을 끈다.

국제 비영리 민간단체 FIDO얼라이언스가 올해 진행한 '2020 FIDO 해커톤'에서는 이런 아이디어들이 등장했다.

해커톤 수상팀들의 프로젝트를 살펴보면, ▲건물 출입 통제 시스템 ▲스마트홈 ▲건강보험증 ▲문서 관리 ▲공유기 등 실생활에 밀접하면서도 보안이 중요한 분야에 FIDO 기술을 활용해 편의성 향상을 이끌어냈다.

[사진=픽스타]

■스마트폰에 지문 대면 보안 출입문이 누군지 알아본다

보안 상의 이유로 공간 출입을 통제하는 시설들이 존재한다. 이런 시설에서는 각 출입문 근처에 사용자 인증 장치를 두고, 인증된 사용자만 출입을 허용하는 식으로 시설이 관리되는 경우가 많다. 보안이 중요한 시설일수록, 보다 까다로운 인증 절차를 거쳐야 하는 편이다.

이번 해커톤에서 금상을 수상한 '모세의 기적' 팀은 보안 시설 출입을 보다 간편하게 만들어주는 솔루션을 개발했다. 해당 팀의 박승찬 리더는 "물건 제작 영상을 보다가, 재료인 금을 보관하는 창고까지 들어가기 위해 사용자 인증을 총 네 번 거치는 것을 보고 불편함이 있을 것으로 생각됐다"며 "평소 학교에서도 강의를 들을 때 출석을 기록하려면 학생증을 쓰거나, 앱 또는 NFC 기능을 사용해야 하는데 이런 과정이 번거롭다는 생각에서 기획을 시작했다"고 설명했다.

모세의 기적 팀이 구현한 FIDO 인증 기반 사용자 출입통제 시스템의 작동 과정은 이렇다. 사용자가 보안 시설 출입문 근처에 다다르면 출입문에서 정보를 블루투스로 송출한다. 사용자 스마트폰이 이 정보를 수신하면 알림을 띄우고, 사용자는 FIDO 기반 생체인증을 하게 된다. 이후 사용자의 인증 완료 정보와 출입문 정보가 시설 운영 기관의 서버로 전송된다.  이 서버에 전송된 정보는 FIDO 서버에 전송되고, 정보를 확인해 인증이 승인되면 출입문 잠금이 해제되는 식이다.

사용자가 문에 근접하는 것만으로 이같은 절차가 이뤄지고, 생체인증만 끝내면 문이 자동으로 열리게 된다.

FIDO 기반 출입통제 시스템 구성도

박승찬 리더는 "블루투스 기술로 사용자와 출입문 간의 거리를 측정하고, 블루투스 기술의 약점인 보안을 FIDO 인증으로 보완했다는 점이 핵심"이라며 "보안 시설을 안전하고 빠르게 출입할 수 있게 될 뿐 아니라 관리자 입장에서도 기존 패스워드나 물리 키를 관리하는 데 쓰이는 시간, 비용 등을 절감할 수 있게 된다"고 강조했다.

■스마트홈 데이터, FIDO 인증으로 철통 보호

은상을 수상한 '지켜줘 홈즈' 팀은 스마트홈 생태계의 보안 강화를 위해 FIDO 기술을 융합했다.

지켜줘홈즈 팀의 오정민 리더는 "스마트TV나 인공지능(AI) 스피커, 스마트 전등 등 IoT 기기들에 대한 보안이 취약하고, 이는 심각한 문제"라며 "각종 IoT 기기가 일상에서 쓰이면서 음성 정보나 수면 패턴 등 사용자의 생활상에 대한 데이터들이 수집되고, 이런 데이터를 토대로 사용자의 상태나 행동을 예측해주는 서비스도 나오고 있는데 이런 데이터에 대한 보안성이 강화돼야 한다고 판단했다"고 답했다.

이런 문제점에 착안, FIDO 인증 기반의 스마트홈 기기 통합 관리 앱을 개발했다. 패스워드 기반 인증을 채택한 기존 앱 대비 해킹 위험을 줄일 수 있다고 강조했다. 오정민 리더는 "패스워드의 경우 여러 보안 상의 약점이 제기된 방식"이라며 "사용자 기기가 제조사 서버에 접근하는 과정에서 FIDO 인증을 거치게 해 보안성을 강화한 것"이라고 첨언했다.

FIDO 기반 스마트홈 기기 관리 앱

앱 상에서, 집 방문객도 IoT 기기를 쉽게 사용할 수 있게 하면서 동시에 사이버보안 상의 허점이 발생하지 않도록 일회용 패스워드(OTP) 기능을 활용하는 방식을 택했다. 사용자가 접근을 허용할 타인에게 OTP를 발급, 인증을 거치게 한다. OTP 인증을 거친 사용자는 일정 시간이 지나면 스마트홈 기기 접근 권한을 잃게 된다.

■도용 잦은 건강보험증DID+FIDO로 꼼꼼한 신원확인

해커톤에서 은상을 수상한 '닥터 후' 팀은 분산ID(DID) 기술과 FIDO를 연계한 스마트 건강보험증 발급 서비스를 선보였다. 실물 형태의 건강보험증을 사용하는 데에 따르는 불편, 실제 의료 현장에서 환자의 신원확인이 제대로 이뤄지지 않아 건강보험증 도용 사례 등이 상당하다는 문제를 파악하고, 서비스 개발에 착수했다.

실물 보험증을 필요로 하지 않아 비대면 환경에서도 의료 신원인증을 지원할 수 있고, 정보 주체가 의료 데이터에 쉽게 접근할 수 있는 기반을 구상했다는 점에서 의의가 있다.

이는 사용자가 건강보험증을 발급받은 보안 USB를 활용하는 것으로, 여기에 생체인증을 통한 신원인증 절차를 결합하는 식으로 구상됐다.

닥터후 팀이 발표한 스마트 건강보험증 서비스 기본 모델

닥터 후 팀의 권오경 리더는 향후 팀의 활동 방향에 대해 "'아니스트 협의회'라는 민간 임의 단체를 설립할 예정"이라며 "독자 생존을 위해 자기주권 신원 및 저작권 증명 시스템 관련 특허 출원, 상표권을 통한 자체 재원조달 방안도 준비하고 있다"고 언급했다.

■재택근무 시 안전한 업무 문서 관리에도 FIDO 활용

'지문인증486' 팀은 FIDO 인증 체계를 접목한 문서 파일 공유 시스템을 개발, 동상을 수상했다. FIDO 인증을 통해 파일 열람 권한을 부여, 평문 형태의 패스워드를 사용하는 방식 대비 안전하고 편리한 체계를 구축했다.

지문인증486팀의 강한별 리더는 "업무하는 과정에서 문서 열람을 위한 패스워드를 포스트잍에 적어 붙여놓거나, 평문 그대로 채팅을 통해 공유하는 등의 모습을 보고 지문 인증을 활용한 문서 공유 시스템을 떠올렸다"고 설명했다. 

FIDO 지문인증을 도입한 것 외 추가로 토큰을 통해 일정 시간 내에만 파일을 열람할 수 있는 시스템을 구축했다. 이를 통해 사내 인트라넷이 아닌 외부에서 파일을 사용하는 환경에서도 안전성을 갖출 수 있게 했다.

강한별 리더는 "코로나19로 인해 재택 근무가 늘어나 문서를 외부에서 작성하는 경우가 많아졌다"며 "외부에서 작성하는 문서는 메일이나 특정 프로그램을 통해서 공유가 되는데 스피어피싱 등의 보안 문제점과 패스워드의 불편함을 해결하고자 한 것"이라고 강조했다.

지문인증486 시스템 구성도

■와이파이 공유기 악용 DDoS, 지문 등록해두면 안심

신 플러딩, DNS 스푸핑, 분산서비스거부(DDoS) 등 와이파이 공유기를 통해 발생할 수 있는 사이버공격 유형이 다수 등장했다. 와이파이 공유기가 대중적으로 보급된 기기이지만, 이런 공격에 대비한 보안 체계는 미비한 편이다. 공유기 제조사에서 출고하는 제품에 대해 일괄적으로 동일한 계정 정보를 등록해두는 등 보안에 대한 경각심이 부족해 소비자를 해킹 위협에 노출시키고 있는 것이다.

이번 해커톤에서 동상을 수상한 'AWS(Add WiFi Security)' 팀은 와이파이 공유기의 보안 문제를 FIDO 인증 기술로 해결하고자 했다.

관련기사

공유기 해킹을 예방하기 위해 AWS 팀은 와이파이 공유기에 방화벽과 침입방지시스템(IPS)를 사용하고, 관리자 인증 절차에 지문인증 형태의 FIDO 기술을 도입해 계정 정보가 외부에 노출되지 않도록 하는 솔루션을 구현했다. 관련 앱과 공유기도 자체 개발했다.

AWS 팀에서 개발한 공유기 관리 앱

AWS 팀의 최가영 리더는 "부모님 세대도 와이파이 공유기를 많이 사용하는데, 보안 관리를 전혀 못하고 있다고 느꼈다"며 "패스워드 설정을 해두지 않아 해커가 물리적으로 가까운 위치에 접근하면 쉽게 해킹이 가능하겠다는 생각에서 주제를 선정했다"고 밝혔다.