한국 워킹그룹에서는 삼성전자와 TTA, 에어큐브 등 주제 발표
[베트남 나트랑=보안뉴스 엄호식 기자] 패스워드 없는 안전한 보안 세상을 논의하기 위해 아시아태평양 지역의 보안전문가들이 한 자리에 모인 ‘FIDO APAC SUMMIT 2023’이 베트남 나트랑 빈펄 리조트에서 8월 29일과 30일 양일간 열렸다. 이번 행사에는 우리나라를 비롯해 중국과 인도, 베트남, 인도네시아, 일본, 말레이시아, 싱가포르 대만, 태국 등 APAC 국가를 비롯해 영국과 미국 등 12개국 350여명이 참석했다.
▲FIDO APAC SUMMIT 2023이 베트남 나트랑 빈펄 리조트에서 8월 29일과 30일 양일간 열렸다[사진=보안뉴스]
이번 행사에서는 이틀간 30여개의 주제 발표가 진행됐으며, 한국 워킹그룹에서는 정형철 삼성전자 MX사업부 시큐리티팀 그룹장과 김재범 TTA 디지털정보보호단 융합보안활용팀 책임, 그리고 도블렛 테케예프 에어큐브 마케팅 디렉터가 발표자로 나섰다.
정형철 삼성전자 MX사업부 시큐리티팀 그룹장은 ‘모바일 eID 및 FIDO 인증(Mobile eID & FIDO Authentication)’을 주제로 “모바일 eID는 편의성과 보안성으로 인해 점점 더 대중화되고 있으며, 이제 모바일 eID 솔루션이 정부 서비스 액세스부터 온라인 뱅킹에 이르기까지 광범위한 애플리케이션에 사용되는 지점까지 기술이 발전했다”고 전했다.
▲정형철 삼성전자 MX사업부 시큐리티팀 그룹장의 발표 모습[사진=보안뉴스]
모바일 eID는 전세계 30개국 이상에 배포되었으며, 최근에는 한국과 중국, 일본 등 아시아 지역에도 도입돼 납세, 의료 등 다양한 목적에 널리 채택되고 있다. 하지만, 모바일 eID는 추가 신분증으로만 사용해야 하며 일부 상황에서는 여전히 주요한 기존 ID 문서를 대체할 수 없다고 정 그룹장은 설명했다.
“모바일 eID 사용에 대한 잠재적 위험 가치도 고려해야 합니다. 예를 들어 휴대전화 도난이나 분실로 인해 중요한 정보에 대한 무단 액세스가 발생할 수 있어, 모바일 eID를 안전하게 보호하고 이러한 위험을 완화하기 위한 적절한 조치를 취하는 것이 중요합니다. 피싱에 대한 저항력을 높이고 기존 패스워드의 불편함을 줄이기 위해 무엇을 사용해야 하는지 매우 명확합니다. 패스워드가 없는 FIDO 인증은 모바일 장치 및 웹 인증을 위한 정책과 표준 기술을 제공합니다. 패스워드를 제거함으로써 온라인 거래의 보안을 향상시키고 인증 프로세스를 사용자 친화적으로 만들어 최고 수준의 보안을 유지하며 모든 사용자에게 더 나은 경험을 제공할 수 있습니다.”
모바일 운전면허증(mDL), 모바일 문서(mDoc) 등 안전하고 효율적인 서비스를 위해 많은 eID가 FIDO와 결합하고 있다고 전한 정형철 그룹장은 FIDO를 활용함으로써 다양한 서비스를 효과적으로 제공할 수 있기에 더 많은 ID 서비스가 FIDO 표준을 충족하기 바란다고 전했다.
김재범 TTA 디지털정보보호단 융합보안활용팀 책임은 ‘FIDO 인증 제품, 서비스 및 전문가의 가치: 현재와 미래(The Value of FIDO-Certified Products, Services and Professionals: Present and Future)’를 주제로 전문 인력 양성과 전문 지식의 획득에 대한 중요성을 강조했다. 제품이나 서비스는 굉장히 다양하고 좋아졌지만 이를 선순환 구조로 운영하려면 전문 지식을 갖춘 전문 인력을 개발하고 교육해 나가는 것이 굉장히 중요하다는 것이다.
“기업의 내부 인프라 담당자조차 제로 트러스트 보안 원칙을 통해 다중 인증(MFA)을 적용하면 피싱에 내성이 생긴다고 생각하는 경우가 많습니다. 물론 MFA가 패스워드만 사용하는 것보다 안전하지만 이를 파고들 수 있는 또 다른 취약점이 있으며, 해커들은 이러한 취약점을 집요하게 공격합니다. 따라서 MFA와 FIDO 적용 기술 등에 대해 다 같이 고민하고 전문 지식을 갖춘 인력이 늘어나야 합니다.”
도블렛 테케예프 에어큐브 마케팅 디렉터는 ‘얼굴인식 및 보안 키를 결합한 완벽한 보안인증(Seamless Secure Authentication by Combining Facial Recognition and Security Key)’을 주제로 에어큐브의 추가 인증 전문 솔루션 ‘브이프론트(V-FRONT)’을 소개했다.
‘브이프론트(V-FRONT)’는 사용자의 지식 기반 인증에 추가적인 인증수단(소지, 생체기반)을 제공해 인증 보안을 강화했다. 복잡한 환경에서 로그인 인증을 효율적인 사용자 관리체계로 지원한다. FIDO와 Yubikey, 모바일 OTP(Push, MOTP, QR), 물리적 OTP, 지문 OTP, 얼굴 인증 등 국내 최다의 인증수단을 제공한다. 최고 등급 EAL4 등급의 CC인증, GS인증을 획득했으며, 표준 RADIUS Protocol, OAuth 2.0 FIDO2, FIDO UAF 인증 보안 체계를 지원한다.
한편, 29일 열린 미디어 브리핑에는 앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 이사와 사이먼 트랙 도(Simon Trac Do) VinCSS 최고경영자(CEO), 카니트 파통(Khanit Phatong) 태국 전자거래개발청 수석관리책임자, 히에우 민 응오(Hieu Minh Ngo) 베트남 국가사이버보안센터(NCSC) 위협헌터, 정형철 삼성전자 MX사업부 시큐리티팀 그룹장이 참석했다.
▲29일 열린 미디어 브리핑 모습[사진=보안뉴스]
앤드류 시키어 이사는 FIDO는 아시아태평양(APAC) 지역에서 초기부터 활동해왔으며, 삼성전자와 도코모 등 한국과 일본의 선도적 기업들의 도움이 있었다고 전했다.
이어 패스워드는 네트워크 경제에 대한 위협이자 전염병이라고 표현하며, 올해 서밋의 목표는 안전한 인증에 대한 관심과 수요가 높아지고 있는 APAC 지역에 암호 없는 안전한 인증에 대한 인식을 높이고 확산시키는 것이라고 전했다.
또, 최근 다양한 분야에 적용되고 있는 인공지능이 FIDO에는 어떤 영향을 미치는지에 대해 “현재 환경에서 패스워드는 네트워크를 통해 전송되고 쉽게 해킹할 수 있는 ‘공유 패스워드(Shared Secret)가 되었고, 인공지능 기술 도입이 활발해진 만큼 패스워드가 해킹 당할 수 있는 위험도 높아지고 있어 FIDO의 역할이 더욱 중요해지고 있다”고 전했다.
이어 “개인 보안 키 등 암호가 필요 없는 인증의 도입으로 보다 안전한 환경에서 데이터를 보호하고 편하게 사용할 수 있는 사회가 만들어져야 한다”고 덧붙였다.
베트남 대기업인 빈 그룹의 보안 자회사 빈CSS의 최고경영자 사이먼 미디어브리핑에서 “베트남은 기업뿐만 아니라 정부에서도 보안 인증 솔루션 특히, FIDO에 대한 관심이 높아지고 있다”며, “패스워드 없는 인증 방식이 정부와 기업, 그리고 금융 등 다양한 분야에 적용될 필요가 있다”고 전했다.
[베트남 나트랑=엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>