두 마리 토끼를 모두 잡은 차세대 보안 인증, FIDO

[CCTV뉴스=석주원 기자] 현대인의 필수품이 된 스마트폰. 지금 이 순간에도 전 세계 수많은 사람들이 스마트폰을 사용하기 위해 로그인을 하고 있다. 로그인은 온라인 세상에서 ‘나’를 증명하기 위한 주요 수단 중 하나다. 로그인 방식은 시대와 기술 수준에 따라 점차 발전해 왔고, 지금 업계의 가장 큰 주목을 받고 있는 기술은 바로 FIDO다. 간편하면서도 강력한 보안성으로 주목받고 있는 차세대 인증 시스템 FIDO는 언제 처음 등장했을까?

■ 온라인 신분 증명 시스템, 로그인

1990년대 중ㆍ후반 인터넷이 지금처럼 보급되지 않았을 때, 컴퓨터에 일찍 눈을 뜬 사람들은 PC통신으로 온라인에 접속해야 했다. 띠-띠-띠 거리는 정겨운 모뎀 접속 소리를 거쳐 모니터에 표시되는 로그인 화면. 1990년대를 추억하는 많은 사람들이 아마도 인생 첫 로그인을 PC통신으로 경험했을 것이다. 그리고 20년이 훌쩍 지난 지금, 우리는 이제 로그인이 필수가 된 세상 속에서 살아가고 있다.
온라인 세상에서 단순히 보는 것 이상의 어떤 행위를 하려고 한다면 로그인은 거의 필수로 거쳐야 하는 과정이다. 문제는 현대인들이 지나치게 많은 로그인의 홍수 속에 노출되어 있다는 데 있다. 내가 지금 몇 개의 ID와 몇 개의 패스워드를 가지고 있는지 세어 본 적이 있는가? 아마도 초기에는 하나의 ID와 패스워드로 모든 인터넷 서비스를 이용하려 했을 것이다. 하지만 서비스가 갈수록 늘어나고, 서비스 업체들마다 요구하는 인증 수준이 달라지면 서 본인의 의사와는 관계없이 개인이 가진 아이디와 패스워스 개수도 덩달아 증가하기 마련이다.
게다가 개인정보 보호를 위한 정부 정책에 따라 패스워드는 갈수록 복잡해지고 있으며, 이로 인해 자주 사용하지 않는 계정의 패스워드는 잊어버리기 일쑤다. 이처럼 로그인 과정이 갈수록 복잡해지면서 기업들은 더 간단하면서 보안성은 유지되는 로그인 방법에 대해 고민하기 시작했다. 물론, 기업들이 우리 같은 일반 소비자를 위해 자발적으로 나선 것은 아니다. ID와 패스워드가 길어지면 소비자의 서비스 접근성도 떨어지기 때문이다. 어쨌든 기업들은 답을 찾아냈다. 늘 그렇듯이.

■ FIDO 얼라이언스의 탄생

앞서 편의성을 언급하긴 했지만, 사실 FIDO 인증이 본격적으로 논의되기 시작한 것은 보안적인 측면이 더 크다고 할 수 있다. 미국의 전자결제 플랫폼 페이팔은 전 세계 이용자만 2억 3000만 명에 이르는 세계 최대 규모를 자랑하며, 보안을 위해 막대한 비용을 투자하고 있다. 초창기 페이팔 계정을 도용한 사고율은 무려 0.9%에 이르렀다고 한다. 페이팔은 보안 강화를 위해 FDS(Fraud Detection System, 이상금융거래탐지시스템 또는 부정사용방지시스템)를 개발해 적용했고 이후 계정 도용율은 0.3%까지 하락했다고 한다. 하지만 0.3%는 여전히 엄청나게 높은 수치다. 참고로 우리나라의 전자 결제 사고는 0.0002%에 불과하다고 한다. 물론, ActiveX의 힘이다.
어쨌든 보안성이 강화된 인증 방식의 필요성은 모든 글로벌 기업들이 느끼고 있었고, 여기에 뜻을 같이한 기업들이 구체적인 논의를 진행하기 위한 단체를 설립했다. 그것이 바로 FIDO 얼라이언스다. FIDO 얼라이언스는 2012년 결성돼, 현재 우리나라의 삼성전자를 비롯해 구글, 아마존, 인텔, 마이크로소프트 같은 글로벌 IT기업들이 기존의 비밀번호를 대체할 새로운 인증방식, ‘Fast IDentity Online – FIDO’ 기술표준을 논의하기 위해 모여 있다. FIDO 얼라이언스는 미국 캘리포니아주 법에 기반을 둔 비영리제단으로 설립됐으며, 주요 목표는 FIDO 인증모델의 기반이 되는 기술사양 책정, 기술사양을 도입하고 전개하기 위한 프로그램 운영, 각 표준화 단체와의 협력을 통한 실용화 추진 등이다. 현재 FIDO 얼라이언스에는 250개 이상의 기업들이 참여하고 있으며, 우리나라 기업으로는 앞서 언급한 삼성전자를 비롯해 카카오, 이동통신3사, LG전자 등이 속해 있다.

■ FIDO 인증의 주요 특징

FIDO 인증의 기본 모델은 기기와 서버가 비밀을 공유하지 않는다는 데 있다. 기존의 비밀번호 방식에서는 사용자가 등록한 비밀번호가 서비스 제공자의 서버에 저장되어 있었다. 이로 인해 만약 서비스 제공자의 서버가 해킹 공격 등을 당하면 사용자의 비밀번호 같은 중요한 정보도 그대로 유출될 수 있다는 것이 큰 문제였다.
그러나 FIDO 인증은 비밀번호와 같은 중요한 정보를 서버에 저장하지 않는다. 비밀번호의 역할을 하는 사용자의 중요한 정보, 예를 들면 지문정보 등은 PC나 스마트폰 같은 사용자의 기기에 저장해 둔다. 사용자가 서버에 로그인을 요청하면 서버는 챌린지코드가 포함된 인증 요청을 사용자의 기기에 전송한다. 사용자의 기기는 사용자가 등록한 인증정보(지문, 얼굴 등)가 일치하는지 확인한 후 서명과 함께 일치 여부를 서버에 전달한다. 이 과정에서 사용자의 생체 정보는 외부로 유출되지 않는다.
FIDO의 또 하나의 특징은 사용자의 인증 방식에 제약이 없다는 점이다. 서버에는 어떤 방식이든 올바른 사용자라는 서명 정보만 전달하면 되므로, 기기와 사용자 간의 인증 방식은 자유롭게 선택할 수 있다. 이전처럼 패스워드 방식을 사용해도 되고, 지문이나 안면인식 같은 생체 정보를 사용해도 된다. 이처럼 FIDO는 인증 프로세스를 분리시킴으로써 보안을 강화하는 것은 물론이고, 인증 과정도 간소화시킬 수 있다는 장점을 갖고 있다.

FIDO의 개인정보 보호 방침을 살펴보면 다음과 같다.

■ FIDO 기술사양의 발전

FIDO 기술 개발은 지난해 2.0이 발표된 후 모바일과 PC가 통합되는 방향으로 진행되고 있다. 하지만 그 이전까지는 모바일용 인증 프로토콜과 PC용 인증 프로토콜이 분리되어 있었다.

UAF와 U2F 프로토콜은 2014년 처음 도입되어 현재도 사용 중이다.

FIDO 얼라이언스는 2016년부터 웹 표준화 컨소시엄인 W3C에 FIDO의 웹 인증안을 제출해 2018년 4월 웹 인증을 발표했고, 올해 3월 정식으로 웹 인증을 받았다. 그리고 이에 발맞춰 2018년 3월 FIDO2를 공개했다. FIDO2에서는 WebAuthn과 CTAP이라는 기술이 사용된다.

FIDO 2.0를 간단히 설명하면 기기의 제한 없이 웹 표준을 기반으로 모든 온라인 서비스에서 FIDO 인증을 이용할 수 있도록 개선한 것이다.

■ 2019년 상반기에도 열일 중인 FIDO

FIDO는 지난해 2.0 발표 이후 더욱 바쁜 행보를 보이고 있다. 올해 상반기의 주요 이슈만 정리해보면 다음과 같다.

FIDO 2.0 발표 이후 FIDO 인증의 활용도가 높아져 FIDO 인증은 ICT 전 분야로 영역을 확장 중인 것을 확인할 수 있다.