ETRI, 국제 표준 기반 3종 인증장치 국제인증 통과

	▲ERTI 사이버보안기반연구부 인증기술연구실 김수형 실장

[시큐리티월드 김성미] 한국전자통신연구원(ERTI)이 최근 국제표준 규격에 맞는 인증장치를 개발, 국제적으로 인정받았다. 스마트카드, 스마트워치 인증장치와 iOS에서 사용할 수 있는 FIDO(Fast IDentification Online) 인증기술 3종으로 1월말 미국 팔로알토에서 열린 상호연동 시험을 통과한 것이다.

ERTI 사이버보안기반연구부 인증기술연구실 김수형 실장을 만나 자세한 이야기를 들어봤다.

ETRI 인증기술연구실을 소개해주시기 바랍니다.
ETRI 인증기술연구실은 1999년 공인인증서 시스템을 개발한 이래로 통합인증(Single Sign On) 시스템, ID 관리 시스템, 모바일인증 시스템 등 변화하는 인터넷 환경에 적합한 인증 기술들을 15년 이상 지속적으로 연구했습니다.

전자금융 거래의 안전성을 보장하면서 사용 편의성과 이용자 프라이버시를 보장하기 위한 보안 기술들을 개발하여 국내 업체들에 보급한 실적을 가지고 있습니다. 최근에는 핀테크 서비스에 적용할 수 있는 연구들을 수행하고 있습니다.

최근 국제인증을 받은 기술이 있다고 들었습니다.
작년 12월에 FIDO 연합체로부터 국제인증 받은 인증장치 기술은 스마트카드와 스마트워치 인증장치, 아이폰용으로 개발된 인증장치 기술입니다.

스마트카드 인증장치는 FIDO 규격의 보안모듈이 탑재된 신분증, 신용카드 등 스마트카드를 스마트폰에 터치하여, 전자서명 및 암호화를 스마트카드 내에서 수행하는 기술입니다.

암호화에 필요한 보안 정보가 스마트카드에만 저장되어 유출 위험 등에 높은 안전성을 보입니다.

스마트워치 인증장치는 스마트폰을 꺼내지 않고도 스마트워치만으로 인증과 결제를 수행할 수 있어 편의성 측면에서 장점이 있습니다.

아이폰용 인증장치는 FIDO 기술을 아이폰까지 확대 적용하기 위해 개발한 것으로, 아이폰의 터치아이디 등과 같은 다양한 인증수단을 이용해 FIDO 인증을 수행할 수 있게 합니다.

기존 개발한 FIDO 기술과 상호연동이 가능하다던데요.
FIDO 국제표준은 바이오 기반 인증, 소유기반 인증, 지식기반 인증 등 다양한 인증수단을 수용할 수 있는 범용 인증 플랫폼을 정의한 기술 규격입니다.

ETRI는 작년 5월에 처음으로 범용 인증 플랫폼을 구축하기 위해 필요한 서버/클라이언트/인증장치 일체를 인증 받았으며, 올 1월에는 FIDO 인증 플랫폼과 연동될 수 있는 3가지 인증장치 기술에 대해 추가 인증을 받았습니다.

FIDO 기술 전망은 어떻습니까.
현재 FIDO 연합체는 FIDO 2.0 기술 규격을 준비 중에 있는데, 이 기술의 핵심은 FIDO 기술을 웹브라우저와 다양한 OS 환경에서도 지원하는 것입니다.

따라서 현재 스마트폰에서만 사용되는 바이오 기반 인증 등 기술을 데스크탑이나 노트북에서도 조만간 사용할 수 있게 됩니다. FIDO 기술을 브라우저에서 직접 지원하면 액티브X와 같은 플러그인 설치 없이 편리한 인증이 가능해집니다.

FIDO 2.0 표준 초안은 현재 W3C(World Wide Web Consortium) 웹 표준 단체에 제안된 상태이며, 표준화가 완료되는 시점에 브라우저에서 FIDO 기술을 활용할 수 있게 됩니다.

FIDO 2.0 기술이 보급되기 시작하면 인증분야의 관련 산업체들은 보다 큰 시장에서 많은 사업적 기회를 갖게 되고, 소비자들은 좀 더 다양한 플랫폼에서 안전한 인증수단을 선택적으로 이용할 수 있게 됩니다.

FIDO 기술의 보안 강도가 궁금합니다.
바이오 기반 인증 기술에서 보안 강도는 주로 타인 수락률(FAR)과 본인 거부율(FRR)로 이야기됩니다. 그러나 사용되는 바이오 정보마다 장단점이 있고, 인식률을 평가하는 방법이 표준화되어 있지 않아서 보안 강도를 객관적으로 말씀 드리기는 힘듭니다.

다만 관리되지 않는 패스워드/PIN보다는 상용화되어 검증된 바이오 기반 인증 기술이 더 안전할 수 있다고 말씀드릴 수 있겠습니다.

보안 강도는 다양한 측면에서 고려되어야 하는 것으로 단순히 인식률로만 평가하기는 힘들고, 인증정보의 보호 메커니즘·운영환경·인증절차·사용자 경험 등이 함께 고려돼야 합니다.

바이오인증과 스마트카드의 차이는 무엇입니까.
스마트카드기반 인증 기술은 소유기반 인증 기술 분류에 속하는 기술입니다.

소유기반 인증 기술은 바이오 기반 인증 기술보다 이용 편의성 측면에서 약점이 있지만, 별도의 승인된 인증장치를 소유하고 이용한다는 측면에서 사용자나 서비스기관에서 안정적인 인증수단을 확보할 수 있다는 점이 장점입니다.

바이오 기반 인증 기술은 사용자 본인임을 확인할 수 있는 중요한 기술이고, 편의성 측면에서도 장점이 있지만, 사용자 프라이버시, 오인식 등에 대한 부담이 존재합니다. 어떤 기술이 더 우월하다기보다 서비스에 따라 적절한 인증수단을 선택하는 것이 중요합니다.

ETRI가 개발한 FIDO 기술 전망은 어떻습니까.
ETRI는 FIDO 기술을 다양한 응용분야에 확대 적용할 수 있는 연구를 함께 진행해왔고, 최근에 FIDO기반 출입통제 시스템, 사물인터넷 표준 연계 기술들을 소개했습니다.

현재는 멀티 팩터 인증 기술에 대해 연구를 진행 중입니다. 멀티 팩터 인증은 두 가지의 서로 다른 속성의 인증수단을 함께 사용하는 것입니다. 인증에 패스워드와 OTP를 함께 사용하는 것을 예로 들 수 있습니다.

ETRI는 기존의 멀티 팩터 인증 기술이외에 사용자의 이용행위나 환경정보를 분석해 추가적인 인증수단으로 활용하는 기술을 연구 중에 있습니다. 향후 기업용 보안 솔루션이나 전자금융 솔루션에 적용이 가능할 것으로 보고 있습니다.

ETRI 인증기술연구실의 올해 계획에 대해 말씀해 주십시오.
ETRI는 FIDO 2.0 기술 등을 준비 중에 있으며, FIDO 연합체의 인증 일정에 따라 추가 인증 획득도 계획 중입니다.

개발된 기술은 모두 기술이전이라는 형태로 원하는 기업에 제한 없이 이전하고 있으며, 상용화 과정에서 발생하는 기술적인 이슈들도 해결해 드리고 있습니다.

현재 15개 업체에 FIDO 기술을 이전했고, 일부 기업은 상용화를 완료해 전자금융 서비스에 적용하고 있습니다. 이 밖에도 다양한 인증 기술 연구를 진행하고 있으니, 기술적인 협력 또는 조언이 필요한 분들의 연락을 환영합니다.
[글 사진 시큐리티월드 김성미 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 230호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>