앞으로 PC에서도 생체인증을 활용한 다양한 인증 서비스를 사용할 수 있게 된다. FIDO얼라이언스가 11일 공식 발표한 ‘FIDO2’에서 국제웹표준화단체(W3C)와 협업해 구글, MS, 모질라 등에서 FIDO 인증 표준을 사용할 수 있도록 했다.
FIDO얼라이언스에 따르면 W3C는 FIDO의 WebAuthn(Web Authentication)을 후보자 추천 상태인 CR(Candidate Recommendation) 단계로 전진시켰다. CR은 W3C는 온라인 서비스 제공자와 웹 애플리케이션 개발자들에게 WebAuthn 도입을 요청하는 단계이다.
WebAuthn은 인터넷 사용자가 브라우저를 사용해 여러 웹 사이트와 디바이스에서 안전하게 온라인 인증을 가능하게는 새로운 방법을 웹 브라우저, 연계된 웹 플랫폼 인프라에 표준화된 API 정의를 내린다. CTAP(Client to Authenticator Protocol) 사양은 WebAuthn과 함께 FIDO2의 중요한 요소로, FIDO 얼라이언스와 공동으로 제작됐다.
CTAP은 보안 키, 휴대전화, 등과 같은 외부 인증 디바이스들이 USB, 블루투스, 또는 NFC 등을 통하여 사용자의 PC, 스마트폰 등 인터넷 접속 기기에 강력한 인증 증명서를 교신하도록 한다. FIDO2 사양은 인터넷 사용자들이 온라인 패스워드 피싱에 대한 걱정 없이 편하게 온라인 서비스를 데스크톱이나 모바일 환경에서 사용할 수 있도록 지원한다.
브랫 맥도웰 FIDO 얼라이언스 이사장은 “신규 FIDO2 사양의 다양한 웹 브라우저 지원 발표를 통하여 우리는 FIDO 온라인 인증 솔루션이 모든 플랫폼과 디바이스에 걸쳐 유비쿼터스한 환경에서 사용할 수 있게 되는 의미 있는 전진을 하게 됐다”고 말했다.
그는 이어 “점점 심각해지는 서버 데이터 침해와 비밀번호 절도와 같은 범죄에 오랫동안 당해야만 했던 온라인 서비스 제공자들이 이제는 취약한 비밀번호나 일회성 패스워드에 대한 의존성을 끝내고 온라인 피싱 공격이 불가능한 FIDO 인증 솔루션을 받아들여야 할 때가 왔다”고 강조했다.
윈도우·맥·리눅스·크롬·안드로이드서 적용 시작
구글, 마이크로소프트, 모질라, 오페라와 같은 기업들이 제공하는 웹브라우저에 WebAuthn을 기본으로 지원하기로 약속했으며, 윈도우, 맥, 리눅스, 크롬 OS 그리고 안드로이드 플랫폼 적용을 시작했다.
11일을 기준으로 WebAuthn, CTAP 사양 모두 개발자와 벤더가 개발하고자 하는 제품과 서비스에 차세대 FIDO 인증 솔루션을 지원할 수 있도록 제공되고 있다.
제프 자페 W3C 최고경영자는 “보안은 웹이 우리 사회에 끼치는 수많은 긍정적인 요소를 방해하는 문제로 오랫동안 인식돼 왔다. 이러한 보안 문제를 해결한다는 것은 매운 어려운 것이며, 모든 문제를 한 번에 해결할 수 있는 단 하나의 특효약이 없다는 것 또한 잘 알고 있다. 비밀번호에 의존한다는 것은 웹 보안에 있어서 가장 취약한 부분 중 하나이다. 오늘 다중 인증 요소를 포함하는 WebAuthn의 표준화를 통하여 그 가장 취약한 부분을 제거하고자 한다”고 밝혔다.
그는 “안심할 수 있고 개인정보가 보호되는 동시에 사용이 편리한 인증 솔루션인 FIDO2 WebAuthn은 사람들이 웹을 사용하기 위하여 컴퓨터와 스마트 디바이스를 접속하는 형태에 큰 변화를 가져올 것이다”고 말했다.
FIDO2 표준화 노력, W3C 표준 트랙에 따른 WebAuthn의 단계별 진전, 앞서가는 웹 브라우저 벤더들의 이행에 대한 약속 등등이 모두 더해져서 유비쿼터스한 환경에서 하드웨어 지원을 받는 FIDO 인증 솔루션이 인터넷을 사용하는 모든 이들을 위한 새로운 시대를 열게 된 것이다.
비밀번호와 연계된 피싱, 중간자 공격, 도난당한 자격증의 남용 등과 같은 위험성으로부터 자신들과 고객을 보호할 수 있는 수단을 찾고 있는 기업과 온라인 서비스 제공자들은 웹 브라우저나 외부 인증기기를 통해 작동되는 표준화된 강력한 인증 솔루션을 곧 전개할 수 있을 것이다.
온라인 서비스 제공자가 FIDO 인증 솔루션을 전개한다는 것은 상호운용 가능한 생태계에서 사용자가 항상 사용하는 휴대폰이나 보안키와 같은 디바이스 선택의 기회를 제공한다는 것을 의미한다.
3억5000만명 이상 사용자 확보
웹 브라우저와 운영 시스템에 새롭게 적용되는 FIDO2 표준화 사양은 이미 전 세계 수 억대의 디바이스와 구글, 페이스북, NTT 도코모, 뱅크 오브 아메리카 등 수많은 기업의 서비스 사용자로 등록된 3억5000만명을 넘는 FIDO 인증 솔루션의 적용 범위를 더욱 확장 시키게 되면서 전 세계 규제 당국들과 표준화 설정 기관들에 참고로 활용될 것이다.
새로운 FIDO2 사양은 현존하는 비밀번호가 필요하지 않은 FIDO UAF(Universal Authentication Framework), 이중 인증방식 FIDO U2F(Universal 2nd Factor)의 사용 사례를 보완하게 되어 FIDO 인증 유효성을 더욱 확장하게 될 것이다. FIDO2 웹 브라우저와 온라인 서비스는 기존에 인증 받은 FIDO 보안키와 완벽하게 호환이 된다.
FIDO 얼라이언스는 FIDO2 사양을 지키는 서버, 클라이언트, 인증기에 대한 상호운용성 테스트와 인증서 발행을 곧 실행할 것이다. 적합성 테스트 툴은 FIDO 얼라이언스 웹사이트에서 제공이 되고 있다. 아울러 모든 FIDO 인증 형태(FIDO UAF, FIDO U2F, WebAuthn, CTAP)에 대한 서버의 상호운용성을 인증하기 위한 신규 유니버설 서버 인증 (Universal Server Certification) 또한 도입될 것이다.
공개키 기반 인증정보 활용해 보안 강화
W3C의 WebAuthn API는 각각의 웹사이트가 강력하면서도 독특한 공개키 기반 인증정보를 활용할 수 있도록 해 하나의 사이트에서 도난당한 비밀번호가 다른 사이트에서 사용되는 위험성을 제거한다.
이를 통해 FIDO 인증기가 탑재된 디바이스에서 로딩된 브라우저 내 웹 응용 프로그램을 공용 API로 쉽게 호출하여 암호화 작업을 통해 더욱 간단하고 강력한 FIDO 인증을 서비스 제공자와 사용자가 누릴 수 있는 다양한 혜택을 제공한다.
예를 들면 사용자가 특정 행위로 간단히 로그인하거나, 생체인식과 같은 단말의 내·외부 인증 방식으로 인증할 수 있고, 혹은 외부 인증 프로토콜을 이용할 수도 있다. FIDO 인증은 비밀번호 또는 이와 관련된 인증 방식에만 의존하는 것보다 강력하며, 서버에 저장되지 않아 안전하다.
