"구글·애플·마이크로소프트 손잡고 패스워드 없는 시대 간다"

"내년에는 더 많은 회사가 이중인증(MFA) 우회 공격의 희생양이 될 것입니다. 서비스 제공 업체는 이중요소인증(2FA) 솔루션으로서의 SMS OTP에서 벗어나 피싱하기 어려운 FIDO와 같은 MFA로 전환해야 합니다."

FIDO 얼라이언스 앤드류 시키어 공동 이사장 및 최고 마케팅 책임자는 최근 지디넷코리아와 만나 패스트 아이덴티티 온라인(FIDO)의 필요성에 대해 강조했다.

FIDO 얼라이언스는 편리하고 안전한 온라인 인증을 위한 개방형 표준을 개발하고 확장하기 위한 글로벌 컨소시엄이다. 구글, 마이크로소프트, 삼성전자, 아마존, 페이팔, NTT도코모 등 전 세계 300여 개의 기업이 참여하고 있다.

그중 FIDO 한국워킹그룹에는 20여 개 국내 기업 또는 공공기관이 참여하고 있다. 대표적인 회원사로는 삼성전자, SK텔레콤, 한국정보통신기술협회, 비자, 라인, IBM 시큐리티, 코나아이, 라온시큐어, 에어큐브, 트러스트키, 옥타코 등이 있다.

FIDO 얼라이언스는 피싱에 취약한 비밀번호를 사용하지 않고 안전하게 사용자 인증을 가능하게 하는 인증 표준을 개발하고 확장하는 것을 목표로 한다. 그 결과물로 FIDO 얼라이언스는 FIDO 1.0, FIDO2에 이어 패스키(Passkey)를 선보였다.

패스키를 사용하면 사용자 계정 등록 시, 한 쌍의 고유한 암호화키(퍼블릭키와 프라이빗키)가 생성된다. 이때 공개키는 서버에 저장되며, 프라이빗 키는 사용자의 기기에 저장된다. 서버가 해커로부터 털려도 프라이빗 키는 서버가 아닌 사용자 기기에 있기 때문에 피싱 공격으로부터 보다 안전한다.

패스키는 FIDO 1.0과 FIDO2에 비해 사용성 면에서 더 편리해졌다. 앤드류는 "패스키는 FIDO 인증을 위한 더 나은 사용성과 도입 확대 필요성에 의해 추진됐다"고 설명했다.

앤드류는 "과거에는 사용자가 서비스마다 개별 기기를 등록해야 했다"며 "이것은 대부분의 소비자들에게 직관적이지 않을 뿐 아니라, 서비스 제공자들이 초기 기기 등록을 위해 패스워드를 사용하도록 강요한다"라고 지적했다.

이어 "기존 FIDO는 이미 한국과 전 세계 대부분의 나라의 대형 기업들에 의해 도입됐지만, 웹 기반의 FIDO2는 이상한 브라우저나 OS 프롬프트와 같은 일관성 없는 사용자 경험을 가지고 있었다"며 "패스키는 운영 체제와의 긴밀한 통합을 통해 이러한 문제를 해결할 수 있다"라고 설명했다.

패스키는 '클라우드 동기화'를 통해 자동으로 로그인이 되기 때문에 여러 기기에 로그인 서비스를 각각 등록할 필요가 없는 것이 특징이다. 클라우드에서 개인키가 안전하게 암호화돼 동기화된다.

앤드류는 "예를 들어 아이패드에 서비스를 한번 등록하면, 다른 애플 기기로 서비스에 접근할 때 자동으로 본인 인증이 확인된다"며 "해당 기능은 OS 간에도 작동해, PC에서 서비스를 접속하면 아이폰 생체 인식을 통해 로그인할 수 있는 QR코드가 제공돼 새 기기에 패스워드를 입력할 필요가 없다"라고 설명했다. 이어 "안드로이드나 다른 생태계 기기에도 적용된다"고 덧붙였다.

사용자가 패스키를 사용하기 위해서는 플랫폼 제공자가 패스키를 지원해야 한다. 패스키는 비대칭 공개 키 암호화를 사용하는 FIDO 얼라이언스와 W3C가 협력해 발표한 웹오센티케이션(WebAuthn) 기술 표준을 바탕으로 한다. 패스키가 작동하려면 개발자가 WebAuthn API를 사용해 사이트에서 패스키가 지원되도록 만들어야 한다.

현재 패스키를 지원하는 플랫폼 제공자는 마이크로소프트, 구글, 애플 3사가 있다. 패스키는 안드로이드 9+, iOS 16+, 맥OS 13+에서 지원된다. 최신 버전의 크롬에서는 윈도11, 맥OS, 안드로이드에서 패스키를 사용할 수 있다.