[차세대 인증①] FIDO 표준 준수하며 보안성 강화된 생체인증
상태바
[차세대 인증①] FIDO 표준 준수하며 보안성 강화된 생체인증
  • 김선애 기자
  • 승인 2016.10.05 09:39
  • 댓글 0
이 기사를 공유합니다

국내 생체인식·인증 기술 기업 FIDO 인증 획득 러시…핀테크 확산되며 차세대 인증으로 부상

FIDO 인증 획득 기업이 늘어나면서 생체인식을 활용한 인증이 대세로 떠오르고 있지만, 생체정보 유출시 심각한 피해를 입을 수 있다는 우려에서 자유롭지 못하다. NFC 기술을 이용한 2팩터 인증, 보안칩을 이용한 하드웨어 인증 기술 등이 주목을 받으면서 다양한 활용 사례를 만들어 나가고 있다. <편집자>

KT가 주도하는 인터넷 전문은행 케이뱅크가 30일 금융위원회에 인터넷 전문은행 본인가 신청서를 제출해 올해 안에 국내 첫 인터넷 전문은행이 출범할 수 있을 것으로 보인다.

인터넷 전문은행의 정식 출범과 함께 온라인 비대면 본인인증과 거래사실 부인방지를 위한 인증 기술의 전환이 시작되고 있다. 사용자들의 불편을 최소화하면서 거래의 안전성을 담보할 수 있는 새로운 인증방식의 필요성이 높아진 것이다.

본인인증의 가장 확실하고 편리한 방법은 생체인식이다. 생체인식 기술 중 가장 보편화 된 지문인식은 10여년 전 부터 출입통제 시스템 등에 활용되면서 사용자들의 거부감을 낮췄다. 2014년부터 거의 대부분의 스마트폰이 지문인식을 지원하고 있어 새로운 금융서비스와 간편결제 서비스, 각종 인증을 위해서도 사용될 수 있게 됐다.

지문인식 다음으로 주목되는 생체인식 기술이 홍채인식이다. 홍채인식은 인식률이 충분히 높지 않으며, 장비 도입 비용이 높아 보편적으로 사용되는데까지 시간이 걸릴 것으로 전망됐다. 그런데 삼성전자가 갤럭시 노트7에 탑재하면서 홍채인식 활용 시기를 크게 앞당겼다.

이외에도 정맥인증과 같은 다양한 생체인식 기술이 ATM, 디지털 키오스크 등에서의 본인인증 강화방안으로 적용되면서 생체인식 기술이 차세대 인증의 새로운 대안으로 자리잡고 있다.

핀테크 서비스 경쟁력 제고 위해 생체인증 도입

핀테크 업계에서 특히 생체인식 기술을 이용한 차세대 인증에 높은 관심을 갖고 있다. 핀테크 서비스의 경쟁력을 강화하기 위해서는 사용자 편의성을 극대화하면서 동시에 높아지는 지능형 보안위협과 지능형 금융사기를 차단해야 한다. 그 방법 중 하나로 강력한 본인인증 기술이 필요하며, 생체인식을 대체할만한 강력한 인증 기술은 없다고 판단하고 있다.

아마존, 구글, 삼성전자, ARM, MS 등이 주도한 FIDO 얼라이언스에서 생체인식 기술을 이용한 안전한 인증기술 표준 ‘FIDO 1.0’을 2012년 발표한 후 국내외 기업들이 FIDO 인증을 획득하면서 생체인식 기술의 도입 속도가 빨라지기 시작했다.

FIDO 인증은 생체정보를 비밀번호로 사용하는 UAF 표준과 2차인증으로 사용하는 U2F 표준으로 사용될 수 있다.

UAF는 사용자 디바이스에서 제공하는 인증 방법으로, 온라인 서비스와 연동해 사용자를 인증한다. 사용자는 자신이 소유하고 있는 디바이스에서 생체정보나 PIN번호, 인증서 등 다양한 로컬 인증수단을 이용해 인증한다.

U2F는 기존 패스워드를 사용하는 온라인 서비스에서 2차인증 수단으로 사용하는 방식으로, HSM 등 높은 수준의 보안 모듈을 이용해 사용자를 식별하고 PIN을 통한 인증 결과값을 웹브라우저와 직접 통신하며, 다양한 악성코드로부터 인증값을 안전하게 보호한다.

▲FIDO UAF 표준(위)과 U2F 표준(아래) (자료: FIDO연합)

FIDO 표준에서는 생체정보를 단말의 안전한 하드웨어 보안영역에 보관하고, 실제 생체정보를 인증키로 사용하도록 해 생체정보가 직접 인증서버로 전송되지 않도록 한다. 인증정보가 전송되는 과정에서 생체정보가 탈취되지 않도록 했으며, 단말 분실로 인해 생체정보가 유출된다 해도 하드웨어 단에서 강력하게 암호화 된 상태로 보호되도록 해 유출된 정보가 무단으로 사용되지 않도록 했다.

핀테크 확산으로 생체인식 기술이 주목을 받으면서 국내 기업들이 FIDO 인증 획득에 발빠르게 나서고 있는데, FIDO 인증을 요청하는 국내 기업이 많아지자 국내 기업인 크루셜텍에서 3월과 8월 FIDO 상호 운용성 테스트를 진행한 바 있다.

FIDO 인증을 획득한 국내 기업/기관은ETRI, 코스콤, KT, LG전자, LG유플러스, NHN엔터테인먼트, 라온시큐어, 삼성전자, 삼성SDS, SK플래닛, SK텔레콤, 크루셜텍, 시큐브, AT솔루션, 드림시큐리티, EWBM, 한컴시큐어, 이니텍, 펜타시큐리티, SGA솔루션 등이다. 또한 FIDO 관련 기술과 서비스를 가진 기업/기관들이 모여 시장 확대를 위해 노력하는 ‘한국FIDO산업포럼’을 발족하고 다양한 사업을 진행하고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.