국제표준 인증규격 FIDO 생체인증 분야에 새로운 패러다임 제시

인터넷 보급이 대중화 되면서 대부분의 인터넷 서비스들은 가입자 인증 방식을 아이디와 패스워드 기반한 가입자 인증방식을 사용하고 있다. 하지만 이용자 관점에서 많은 서비스 사이트들이 요구하는 패스워드를 기억하는데 불편함을 겪고 있으며 사용편의를 위해 사이트마다 동일한 아이디와 패스워드를 사용하는 경우가 허다하다.

이런 불편함으로 하나의 아이디와 패스워드를 여러 사이트에서 사용해 인증하는 사용자들이 많다. 이런 사용방식은 한 사이트에서 개인정보 유출이 발생할 경우 이용자가 가입한 모든 웹사이트의 계정이 도용될 수 있는 위험이 있다. 이 같은 이유로 최근에는 각 사이트마다 영문 대소문자, 숫자, 특수기호 등을 패스워드에 포함시키도록 하고 있으나 사이트마다 패스워드의 생성 조건이 사이트마다 다르고 일정 기간이 지나면 보안 위협으로 발생할 가능성이 높아 지속적인 변경이 필요하다.

특히 국내의 경우 전자민원이나 각종 증명서 발급 등 접속하는 사이트는 공인인증서와 강화된 인증 절차로 인해 접속 때마다 아이디와 패스워드 찾기 신청을 하는 경우가 대부분이다.

인증정차의 불편함으로 사이트의 패스워드를 바탕화면 메모장에 기록하거나 인증 프로그램을 통해 단 하나의 패스워드로 각 사이트를 접속할 수 있도록 서비스를 이용하기도 한다. 이런 방법은 많은 보안 위협이 나타날 수 있는 관리방법으로 실제로 최근 한 인증 프로그램에서 해킹사고가 발생해 다량의 패스워드가 유출됐다.

이용의 불편함과 유출위험으로 생체인증에 대한 관심이 높아지고 있으며 모바일에서는 이미 대세로 자리잡았다.

인증 시장의 새로운 대안책 '생체인증' 

그러나 최근 국내를 넘어 전 세계 공통의 문제인 인증 방법에 대한 해결책으로 생체인증 방식이 떠오르고 있다. 우리 몸에 대한 고유의 정보로 인증을 하는 생체인증은 아이디와 패스워드의 불편함이 없으며, 지문과 홍체 등을 통해 인증 보안성도 매우 강력하다. 특히 생체정보는 패스워드와 달리 뇌가 기억할 필요가 없다는 것이 가장 큰 특징이다.  
최근 생체인증은 지문, 홍채, 얼굴, 목소리, 정맥 등 기본 생체인증을 넘어 심전도, 뇌파, 피부, 손바닥, 걸음걸이, 말투, 수기전자서명, 습관 등 유일성(Identification)을 찾기 위해 산업계와 학계에서 지속적인 연구를 통해 지속적으로 발전하고 있다.

또한, 핸드폰과 디바이스 등에 생체인증이 빠르게 도입되면서 생체인식 센서들은 갈수록 인식률이 높아졌으며 다양화 되었다. 이로 인해 이용자는 보다 쉽고, 보다 정확하고, 보다 빠르게 생체인증이 가능하다.

하지만 생체인증 방식에도 주의해야 할 부분들이 있다. 주변환경에 노출을 통해 해킹이 가능하며 파손되면 복구가 어렵다. 어딘가에 저장된 나의 생체정보가 유출 및 도용되면 심각한 위험을 초래할 수 있다. 생체정보는 '변경이 불가능한 아이디' 이기 때문이다.

생체인증의 보안성을 갖추기 위한 노력 ‘FIDO’

만일 보안성을 보장하는 생체인증 방식이 도입된다면 기술한 바와 같이 패스워드 인증방식을 모두 대체할 가능성이 크다. 현재 가장 주목 받고 있는 생체인증기반의 인증방법은 FIDO(Fast Identity Online, 파이도) 인증이다.

FIDO Alliance는 온라인 환경에서 패스워드를 제거하고 생체인식기술을 활용한 인증 기술표준을 정하기 위해 2012년 7월 설립된 협의회이다. 구글, 마이크로소프트, 페이팔, 마스터카드 등 글로벌 기업들과 국내에서는 삼성전자, LG전자, BC카드 등 260개 회원사들로 구성돼 있다.

FIDO인증은 온라인 환경에서 패스워드를 사라지게 함으로서 이용자가 패스워드를 기억해야 하는 불편함을 없앴다. 특히 국내에서는 최근 공인인증서의 폐지가 기정사실화되고 있는 상황에서 공인인증서의 대체를 위한 가장 강력한 인증수단으로 FIDO를 주목하고 있다.

FIDO는 아이디와 패스워드의 조합 대신 지문, 홍채, 얼굴, 목소리, 정맥 등의 생체정보를 활용한 인증 시스템이다. 패스워드와 다르게 이용자가 기억할 필요 없는 생체정보를 이용함으로써 편리한 인증환경을 제공한다. 또한 FIDO인증의 경우 인증수단과 인증 프로토콜을 분리하여, 기존의 생체인증 시스템의 단점인 생체정보 저장문제를 해결하였다.

일반적으로 시스템의 보안성과 편의성은 반비례의 관계이다. 하나가 높아지면 다른 하나는 낮아진다. 하지만 FIDO 인증은 다음과 같이 보안성과 편의성을 모두 향상시키는 보안성과 편의성 모형(Scheme)을 지닌다.

보안성은 생체인증을 사용함에도 생체정보를 서버에 저장하지 않아 인증시스템의 신뢰도가 높다. 현재 가장 안전한 암호 알고리즘 중 하나인 PKI 기반의 공개키 알고리즘을 사용하여 무결성과 부인방지 효과를 지닌다.일반적으로 시스템의 보안성과 편의성은 반비례의 관계이다. 하나가 높아지면 다른 하나는 낮아진다. 하지만 FIDO 인증은 다음과 같이 보안성과 편의성을 모두 향상시키는 보안성과 편의성 모형(Scheme)을 지닌다.

편의성은 이용자는 패스워드를 기억할 필요 없이 생체정보의 스캔만으로 이용자 인증을 수행해 편의성이 매우 뛰어나다. 특히 최근에는 거의 대부분의 사람들이 소지하고 있는 스마트폰을 이용함으로써 생체정보 스캔을 위한 별도의 디바이스가 필요하지 않아 더욱 편리한 인증 환경을 만들어 주고 있다.

이 외에도 FIDO 보안규격은 15개의 보안목표(Security Goal) 를 이루기 위한 다양한 보안성을 보장하라고 명시하고 있다. 전자서명 원문의 무결성을 보장하기 위한 WYSIWYS(What You See is What You Sign mode), 인증장치의 복제 방지를 위한 Signature Counter 와 같은 기술적인 보안장치를 마련하고 있으며, FIDO에서 사용하는 키의 안전한 저장을 위해 키를 저장하는 공간은 하드웨어적으로 또는 소프트웨어적으로 안전한 공간을 사용하라고 권고하고 있다.

FIDO 버전 2.0 으로의 확장

현재 국내에서 적용돼 있는 FIDO 인증방식은 모두 FIDO1.0 규격을 준수한 제품들이다. 최근 FIDO Alliance는 모바일 중심의 인증 생태계를 벗어나 PC 및 모든 IoT 기기에서도 FIDO인증을 사용할 수 있도록 하는 FIDO2 규격을 발표했다.

기존의 FIDO1.0은 모바일 중심의 인증방식을 선택했다. 따라서 모바일 서비스에서의 인증에 주로 적용되었으며, PC에서의 인증도 모바일을 통해서 인증하는 방식으로 적용하였다. 하지만 FIDO2에서는 생체인증 생태계를 더욱 확장시켜 PC, 웨어러블기기, 모바일 등 모든 ICT환경에서 FIDO 인증이 가능하도록 변경되었다.

예를 들면, PC에서 업무 시스템에 로그인 할 경우, 기존에는 업무시스템과 모바일을 연동하여 모바일에서 인증정보를 받아오는 방식으로 복잡하게 적용되었다면, FIDO2에서는 지문인식이 되는 동글(dongle)을 PC에 꽂아서 바로 인증이 가능하다. 이는 시스템 구축이 매우 편리해지고 또한 관리자의 관리포인트도 줄어들게 된다.

FIDO2의 또 하나의 가장 큰 특징은 OS 및 웹 브라우저에서 FIDO Client를 기본적으로 제공한다는 점이다. 이는 FIDO의 생태계가 모바일에서 플랫폼으로 넘어가는 것을 뜻하며, 또한 모바일에 한정되어 있던 인증장치(Authenticator)가 다양한 방식의 인증장치로 확장이 가능하다는 것을 뜻한다. FIDO2 규격 내부에는 CTAP(Client to Authenticator Protocol)이라는 프로토콜로 인증장치와 FIDO Client 플랫폼 구간의 블루투스(BLE), NFC, USB 통신 규격을 정의한다.

이와 같은 범용성을 이용하게 되면 FIDO2에서는 대부분의 환경에서 거의 모든 인증장치를 사용하여 FIDO 인증이 가능하게 된다.

그 예로 FIDO2 기술을 이용해 기존의 인증방식(지식기반, 소유기반, 생체기반 등)보다 더욱 편리한 인증을 위해 명시적인 인증절차를 거치지 않고 인증하는 방법인 ‘무자각인증(Implicit Authentication)’ 을 지원하는 방식의 제품이 곧 출시를 앞두고 있다.

스마트밴드와 같은 웨어러블 기기에 FIDO2 기능을 탑재하여 모바일, PC, 출입통제장치 등과 연동하는 방식이다. 이 방식은 웨어러블 기기에서 인증을 수행하고 모바일, PC, 출입통제장치 등의 디바이스와 블루투스, NFC 등의 통신방식으로 자동으로 인증을 수행한다. 어떠한 이용자의 명시적인 인증절차가 없고, 단지 웨어러블기기와 PC, 출입게이트, 모바일 등의 디바이스와의 통신만으로 인증이 수행된다.

이와 같은 FIDO 기반의 ‘무자각 인증’은 앞으로 다가올 IoT 사회, 초연결사회에서 이용자 인증을 위해 매우 중요하게 사용될 것이며, 현재 기술로서는 IoT 네트워크에서 이용자를 인증 할 수 있는 거의 유일한 방식이라고 볼 수 있다.

현재 FIDO 생체인증은 여러 산업 분야에서 도입 검토하거나 이미 도입하고 있다. 보안의 관점에서 볼 때 FIDO 는 인증 뿐만 아니라 거래내역을 전자서명하는 기능이 있다.  이는 금융권에서 사용되고 있는 공인인증서의 기능이 대체 가능하다는 근거가 되어 여러 금융권에서 모바일 뱅킹같은 금융서비스를 제공 중이다.

물론 금융권 이외의 분야에서도 FIDO의 사용이 가능하며 다음과 같이 거의 모든 산업분야에 적용 가능하다.

초 연결시대에 새로운 인증시스템을 제시하는 FIDO2

지금까지 보편적으로 사용되던 패스워드 기반의 인증시스템은 몇 가지 고질적인 문제점을 안고 있다. 이를 보완하고 보다 안전한 인증시스템을 마련하기 위해 생체인증 시스템이 얘기되고 있으며, 현재는 그 기술과 범위가 확대돼 가고 있다. 특히 FIDO 의 등장으로 국제표준 규격 적용이 가능해 졌다. FIDO 는 사실상 국제표준(de facto standard)으로 자리 잡았으며 FIDO2 의 WebAuth는 W3C 웹표준으로 공개되었다. 이용자 인증 시장은 대부분의 인터넷 서비스에 필수적 기능임을 감안한다면 그 크기를 가늠하기 어려울 정도다.

새로운 기술의 등장은 항상 갈등을 가져온다. 2016년 알파고의 등장과 그로 인해 충격을 기억한다. 그리고 그 여파가 가시기 전에 블록체인의 광풍이 전 세계를 휩쓸고 있다. ICT 는 바쁘고 복잡하며 주목 받는 분야가 되었다. 그리고 지금 FIDO2은 초 연결시대에 새로운 인증시스템을 제시하고 있다. FIDO 1.0에서는 디바이스에 한정돼 있던 생체인증이 FIDO2에서 PC와 IoT 환경까지 적용되면서 더욱 활용도가 높아지고 있다. 향후 산업계와 학계의 연구를 통해 더욱 발전할 FIDO의 귀추가 주목되고 있다.  

조한구 | 와이키키소프트 대표