\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

[시큐리티월드 조상래] 비밀번호로 시작된 국내 인증 기술은 온라인 뱅킹에 사용되는 공인 인증 기술로 발전돼 왔다. 지금은 비밀번호의 보안 취약성을 개선하기 위해 FIDO(Fast IDentification Online) 기술로 전환되는 과정에 있다.
\r\n
\r\nFIDO는 미국 온라인 서비스 제공자들의 보안 요구사항에 의해 탄생한 범용 인증 기술로, 인증 서버를 한 번만 설치하면 서비스 제공자의 의도대로 인증 장치를 변경할 수 있어 바이오인증은 물론 다중 인증도 사용할 수 있다. 최근 FIDO 기술이 금융, 결제 등 다양한 분야에 급속도로 확산되며 널리 사용되는 이유가 여기에 있다.
\r\n
\r\nFIDO 기술은 지난 2014년 12월에 FIDO 1.0 표준이 발표됐고 현재는 FIDO 2.0 표준이 개발되고 있다. FIDO 1.0을 사용하려면 서비스 제공자가 운영하는 FIDO 서버가 인증 서버 역할을 하고, 사용자 디바이스에 애플리케이션이 설치돼야 한다. 또, 인증 장치와 인증 장치들을 관리하는 FIDO 클라이언트도 필요하다. 그러나 FIDO 1.0은 모바일 환경에 맞게 설계돼 웹에서 사용하기가 힘들고, 여러 프로그램이 필요해 사용하기가 복잡했다. 다양한 인증 장치가 부족하다는 문제점도 대두됐다.
\r\n
\r\n이러한 문제를 해결하기 위해 마이크로소프트와 구글 같은 플랫폼 업체들은 플랫폼에서 FIDO 기능을 지원하는 FIDO 2.0 표준을 2015년 초부터 개발하기 시작했다. 여기서 플랫폼은 윈도우와 안드로이드를 포함하는 운영 체제와 웹브라우저를 기반으로 하는 웹 플랫폼을 의미한다.
\r\n
\r\n운영 체제에 기능을 탑재하기 위해서는 표준이 필요하지 않지만 웹브라우저에 기능을 탑재한 후 자바스크립트로 호출해 사용하기 위해서는 W3C(국제 웹 표준화 기구)의 표준화가 필요하다. 현재 ‘Web Authentication Working Group’이라는 작업반에서 이런 표준화를 진행하고 있다.
\r\n
\r\n인증 장치는 크게 사용자 단말기에 내장되는 빌트인 인증 장치와 외부에서 연결돼 동작하는 외부 인증 장치 두 가지 종류로 구분한다. 빌트인 인증 장치는 플랫폼 회사와 사전에 협약을 맺고 개발되기 때문에 표준 규격이 필요하지 않다. 스마트폰, 데스크톱, 노트북, 웨어러블 기기 등 다양한 모바일 기기를 인증 한 번으로 통합 사용하는 CTAP(사용자 인증 프로토콜)도 구현한다. CTAP은 USB와 NFC, 블루투스 등을 사용하는 외부 인증 장치와 운영 체제, 웹브라우저가 서로 통신할 수 있게 해준다.
\r\n
\r\nFIDO 2.0 표준이 개발되면서 나타나는 변화는 크게 두 가지로 꼽을 수 있다. 첫 번째는 플랫폼 자체적으로 FIDO 기능을 지원하게 되므로 서비스 제공자가 FIDO 기술을 다양한 응용 서비스에 활용할 수 있다는 점이고, 두 번째는 디바이스 제조사에서 다양한 빌트인 인증 장치를 제공하게 되면서 응용 서비스가 사용할 수 있는 인증 장치의 선택폭이 넓어진다는 점이다.
\r\n
\r\n앞으로 국내 인증 시장은 당분간 공인 인증 기술의 대체 인증으로 FIDO 기술을 광범위하게 사용할 전망이다. 플랫폼을 기반으로 한 FIDO 기술이 확산되면서 바이오인증 기술도 더욱 발전할 것으로 보인다. 현재 FIDO 기술이 주로 핀테크와 온라인 금융서비스 위주로 적용되고 있지만 향후 사물인터넷(IoT)과 O2O(Online to Offline) 등 더 광범위한 분야의 인증 및 거래확인 기술로도 사용될 것으로 기대된다.
\r\n[글 조상래 한국전자통신연구원 책임연구원(sangrae@etri.re.kr)]
\r\n
\r\n[월간 시큐리티월드 2017년 3월호 통권 242호(sw@infothe.com)]