FIDO 인증 프로토콜, 강력하고 손쉬운 인증 프레임워크
FIDO 해커톤 – 2019년 개발자 지원 프로그램 개최
FIDO 인증 프로토콜과 FIDO 얼라이언스의 의미 되짚어보는 계기 마련
[보안뉴스= 원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장] 비밀번호(Password) 기반 온라인 인증 방식은 온라인 피싱(Phishing) 공격에 매우 취약하다. 이에 보다 안전하고 사용자에게 편리한 온라인 인증 표준화를 위해 2013년 2월 글로벌 비영리 협회 FIDO 얼라이언스(Alliance)가 설립됐다. 페이팔, 레노버 등 전 세계 유수 기업들이 협력해 FIDO 얼라이언스에 참여하고 있으며, 현재 회원사는 250여개로 성장했다.
[이미지=iclickart]
FIDO 얼라이언스의 슬로건은 ‘더 간단하고, 더 강력한 인증(Simpler, Stronger Authentication)’이다. FIDO는 사용자 기기에서 지문과 얼굴, 목소리 등 생체정보나 PIN번호 또는 하드웨어 키 정보를 확인해 사용자를 인증하고, 서버에서는 공개키 암호화 기술을 활용해 해당 기기를 인증하는 기법을 결합했다. 이를 통해 사용자 기기 밖으로 사용자 정보가 유출될 우려가 없으며, 사용자에게 편리하고도 안전한 인증을 제공할 수 있다.
2018년 12월, 국제전기통신연합(ITU)에서 FIDO표준을 글로벌 인증 표준으로 채택했으며, 최근에는 월드와이드웹컨소시업(W3C)에서 FIDO 스펙을 받아들여 웹 인증(WebAuthn) API 표준을 제정했다. 이렇듯 FIDO 얼라이언스는 의미 있는 성장을 이룩해 내고 있으며 FIDO 스펙은 충분한 기술적 성숙도를 완비하게 됐다.
이를 기념하고 확장을 더욱 촉진하기 위해 FIDO는 북미와 유럽, 아시아 등지에서 다양한 개발자 중심 워크숍, 세미나 그리고 콘테스트를 진행하고 있다. 이에 발맞춰 FIDO 한국워킹그룹도 워크숍, 세미나, 콘테스트 각각의 장점을 약간씩 결합한 하이브리드 형태의 개발자 지원 멘토 프로그램 ‘FIDO 해커톤’을 진행하기로 하고, 지난 4월 2일 삼성SDS 본사에서 설명회를 개최한 바 있다.
▲FIDO 해커톤 설명회 각 회원사의 발표자들[사진=FIDO 얼라이언스 한국워킹그룹]
FIDO 얼라이언스에 대해 검색해 보면 페이팔에서 시작됐다는 내용을 찾을 수 있다. 이는 사실이지만, FIDO 프로토콜 기본 개념에 대한 논의는 이보다 앞선 2010년에서 2011년 사이 미국에 기반을 두고 있는 지문인식 센서 기업들 사이에서 처음 시작됐다.
몇몇 지문인식 센서 기업들이 지문인식 기술을 웹사이트에 로그인 하는 방법으로 사용하자는 아이디어를 페이팔로 가지고 왔던 것이다. 그때만 해도 지문인식은 랩탑 컴퓨터 정도에서 사용되고 있었고, 대부분의 이용자는 기업이나 정부기관이었다. 이에 지문인식 센서 전문기업들은 새로운 기술을 개발해서 페이팔에 먼저 적용한 뒤 일반 소비자 시장으로 확장시키고자 했던 것이다.
당시 페이팔도 비밀번호에 대한 의존도를 낮추고자 노력하고 있었다. 매일 같이 온라인 피싱 공격으로 쉽게 추측이 가능한 비밀번호가 유출돼 이용자들이 피해를 당하고 있다는 것을 파악하고 있었기 때문이다.
최근 발행되는 보안관련 여러 보고서를 살펴보면 온라인 해킹의 80% 이상이 약하거나 유추하기 쉬운 비밀번호로부터 시작된다고 한다. 이를 보면 페이팔은 매우 선제적으로 대응 전략을 추진했던 것으로 보인다.
페이팔은 이를 실현하기 위한 다양한 옵션을 내부적으로 고민했다. 첫 번째 옵션은 이 기술을 보유한 보안업체를 통째로 인수합병해 기술을 내재화하고, 해당 지적재산을 혼자만 소유하는 것이었다. 두 번째 옵션은 협회를 세워서 그 협회에 해당 기술을 기부하고 관련된 인력과 리소스를 투입하면서 전 세계 다양한 이해관계자들이 참여하는 국제표준화를 달성하는 것이었다.
기술의 확장은 물론 투자대비 효율, 그리고 지적재산 관련해서 예측되는 다양한 이슈를 고려했을 때 페이팔은 전 계 모든 이해관계자들이 함께 참여하는 협회를 만들어서 지원하는 것이 올바른 방법이라고 최종 결정했다. 이후 페이팔의 경쟁사들도 관련 기술에 대한 특허 분쟁 없이, 국제표준을 위해서 상호 노력하기로 한 것이 협회 창설의 매우 중요한 계기가 됐다.
결국 약 1~2년 뒤 여러 준비과정을 거쳐서 FIDO 얼라이언스라는 글로벌 인증 표준 협회가 창립됐다. 구글과 마이크로소프트, 레노버, 아마존 등 유수의 글로벌 기업이 이사회 멤버로 참여했으며, 국내에서는 삼성전자, BC카드, 라온시큐어, eWBM, 라인, 유비코, 비자 등의 기업이 참여하면서 기술 표준화와 확장에 앞장서게 된 것이다.
▲원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장[사진=FIDO 얼라이언스 한국워킹그룹]
최근 온라인 서비스 사용자를 대상으로 조사한 통계를 보면 60% 이상의 온라인 서비스 사용자가 하나의 비밀번호를 수십 또는 심지어 수백개의 계정에 걸쳐서 동일하게 사용하고 있다. 그리고 한 명이 보유하고 있는 아이디나 이메일 계정에 연관된 온라인 계정은 최대 130여개에 달한다고 보고됐다.
상황이 그렇다 보니 온라인 서비스 사용자 중 45% 정도는 123456, password, iloveyou 등 매우 취약한 비밀번호를 사용하거나 겨우 그 끝에 숫자나 기호 몇 개 더 붙이는 유추하기 매운 쉬운 패턴을 계속 사용한다. 각 계정마다 나름대로 어려운 비밀번호를 설정한다 하더라도 수십 수백개의 계정에 각각 고유하게 지정된 복잡한 비밀번호를 모두 외운다는 것은 불가능하다. 이 때문에 결국 온라인 사용자 56% 이상은 비밀번호를 종이나 파일 같은 곳에 기록해 놓고 있는데, 이는 비밀번호가 쉽게 유추되고 도난당하는 사이클이 반복될 수밖에 없는 상황에 처하게 되는 것이다.
FIDO 얼라이언스 초기 창립 멤버들은 비밀번호 자체가 문제이니 우리가 온라인 사용자들에게 비밀번호를 더 안전하고 강하게 만들라고 강요하는 것은 올바른 문제해결 방법이 아니라는 철학을 바탕으로 기술을 개발하고 확장에 앞장서고 있다.
FIDO 프로토콜’ 비밀번호를 서버와 공유되지 않도록 해 온라인 피싱 리스크를 원천적으로 배제시킨다. 또한, 사용자 확인 방법으로 기억하기 어렵고 힘든 비밀번호 대신 생체인증이나 하드웨어 키를 사용하여 사용자 편의성을 극대화한다. 2019년 FIDO 해커톤을 통해서 한국워킹그룹 회원사와 회원사가 관계를 맺고 있는 파트너사들 뿐만 아니라 다양한 모바일 업체, 웹 생태계에서 활동 중인 개발자, 그리고 가까운 미래에 관련 업무를 함께할 파트너인 학생들에게 FIDO 프로토콜이 널리 알려지는 계기가 만들어지기를 희망한다.
[글_원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장·비씨카드 디지털연구소 소장(jjangkoo@bccard.com)]
FIDO 해커톤 – 2019년 개발자 지원 프로그램 개최
FIDO 인증 프로토콜과 FIDO 얼라이언스의 의미 되짚어보는 계기 마련
[보안뉴스= 원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장] 비밀번호(Password) 기반 온라인 인증 방식은 온라인 피싱(Phishing) 공격에 매우 취약하다. 이에 보다 안전하고 사용자에게 편리한 온라인 인증 표준화를 위해 2013년 2월 글로벌 비영리 협회 FIDO 얼라이언스(Alliance)가 설립됐다. 페이팔, 레노버 등 전 세계 유수 기업들이 협력해 FIDO 얼라이언스에 참여하고 있으며, 현재 회원사는 250여개로 성장했다.
[이미지=iclickart]
FIDO 얼라이언스의 슬로건은 ‘더 간단하고, 더 강력한 인증(Simpler, Stronger Authentication)’이다. FIDO는 사용자 기기에서 지문과 얼굴, 목소리 등 생체정보나 PIN번호 또는 하드웨어 키 정보를 확인해 사용자를 인증하고, 서버에서는 공개키 암호화 기술을 활용해 해당 기기를 인증하는 기법을 결합했다. 이를 통해 사용자 기기 밖으로 사용자 정보가 유출될 우려가 없으며, 사용자에게 편리하고도 안전한 인증을 제공할 수 있다.
2018년 12월, 국제전기통신연합(ITU)에서 FIDO표준을 글로벌 인증 표준으로 채택했으며, 최근에는 월드와이드웹컨소시업(W3C)에서 FIDO 스펙을 받아들여 웹 인증(WebAuthn) API 표준을 제정했다. 이렇듯 FIDO 얼라이언스는 의미 있는 성장을 이룩해 내고 있으며 FIDO 스펙은 충분한 기술적 성숙도를 완비하게 됐다.
이를 기념하고 확장을 더욱 촉진하기 위해 FIDO는 북미와 유럽, 아시아 등지에서 다양한 개발자 중심 워크숍, 세미나 그리고 콘테스트를 진행하고 있다. 이에 발맞춰 FIDO 한국워킹그룹도 워크숍, 세미나, 콘테스트 각각의 장점을 약간씩 결합한 하이브리드 형태의 개발자 지원 멘토 프로그램 ‘FIDO 해커톤’을 진행하기로 하고, 지난 4월 2일 삼성SDS 본사에서 설명회를 개최한 바 있다.
▲FIDO 해커톤 설명회 각 회원사의 발표자들[사진=FIDO 얼라이언스 한국워킹그룹]
FIDO 얼라이언스에 대해 검색해 보면 페이팔에서 시작됐다는 내용을 찾을 수 있다. 이는 사실이지만, FIDO 프로토콜 기본 개념에 대한 논의는 이보다 앞선 2010년에서 2011년 사이 미국에 기반을 두고 있는 지문인식 센서 기업들 사이에서 처음 시작됐다.
몇몇 지문인식 센서 기업들이 지문인식 기술을 웹사이트에 로그인 하는 방법으로 사용하자는 아이디어를 페이팔로 가지고 왔던 것이다. 그때만 해도 지문인식은 랩탑 컴퓨터 정도에서 사용되고 있었고, 대부분의 이용자는 기업이나 정부기관이었다. 이에 지문인식 센서 전문기업들은 새로운 기술을 개발해서 페이팔에 먼저 적용한 뒤 일반 소비자 시장으로 확장시키고자 했던 것이다.
당시 페이팔도 비밀번호에 대한 의존도를 낮추고자 노력하고 있었다. 매일 같이 온라인 피싱 공격으로 쉽게 추측이 가능한 비밀번호가 유출돼 이용자들이 피해를 당하고 있다는 것을 파악하고 있었기 때문이다.
최근 발행되는 보안관련 여러 보고서를 살펴보면 온라인 해킹의 80% 이상이 약하거나 유추하기 쉬운 비밀번호로부터 시작된다고 한다. 이를 보면 페이팔은 매우 선제적으로 대응 전략을 추진했던 것으로 보인다.
페이팔은 이를 실현하기 위한 다양한 옵션을 내부적으로 고민했다. 첫 번째 옵션은 이 기술을 보유한 보안업체를 통째로 인수합병해 기술을 내재화하고, 해당 지적재산을 혼자만 소유하는 것이었다. 두 번째 옵션은 협회를 세워서 그 협회에 해당 기술을 기부하고 관련된 인력과 리소스를 투입하면서 전 세계 다양한 이해관계자들이 참여하는 국제표준화를 달성하는 것이었다.
기술의 확장은 물론 투자대비 효율, 그리고 지적재산 관련해서 예측되는 다양한 이슈를 고려했을 때 페이팔은 전 계 모든 이해관계자들이 함께 참여하는 협회를 만들어서 지원하는 것이 올바른 방법이라고 최종 결정했다. 이후 페이팔의 경쟁사들도 관련 기술에 대한 특허 분쟁 없이, 국제표준을 위해서 상호 노력하기로 한 것이 협회 창설의 매우 중요한 계기가 됐다.
결국 약 1~2년 뒤 여러 준비과정을 거쳐서 FIDO 얼라이언스라는 글로벌 인증 표준 협회가 창립됐다. 구글과 마이크로소프트, 레노버, 아마존 등 유수의 글로벌 기업이 이사회 멤버로 참여했으며, 국내에서는 삼성전자, BC카드, 라온시큐어, eWBM, 라인, 유비코, 비자 등의 기업이 참여하면서 기술 표준화와 확장에 앞장서게 된 것이다.
▲원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장[사진=FIDO 얼라이언스 한국워킹그룹]
최근 온라인 서비스 사용자를 대상으로 조사한 통계를 보면 60% 이상의 온라인 서비스 사용자가 하나의 비밀번호를 수십 또는 심지어 수백개의 계정에 걸쳐서 동일하게 사용하고 있다. 그리고 한 명이 보유하고 있는 아이디나 이메일 계정에 연관된 온라인 계정은 최대 130여개에 달한다고 보고됐다.
상황이 그렇다 보니 온라인 서비스 사용자 중 45% 정도는 123456, password, iloveyou 등 매우 취약한 비밀번호를 사용하거나 겨우 그 끝에 숫자나 기호 몇 개 더 붙이는 유추하기 매운 쉬운 패턴을 계속 사용한다. 각 계정마다 나름대로 어려운 비밀번호를 설정한다 하더라도 수십 수백개의 계정에 각각 고유하게 지정된 복잡한 비밀번호를 모두 외운다는 것은 불가능하다. 이 때문에 결국 온라인 사용자 56% 이상은 비밀번호를 종이나 파일 같은 곳에 기록해 놓고 있는데, 이는 비밀번호가 쉽게 유추되고 도난당하는 사이클이 반복될 수밖에 없는 상황에 처하게 되는 것이다.
FIDO 얼라이언스 초기 창립 멤버들은 비밀번호 자체가 문제이니 우리가 온라인 사용자들에게 비밀번호를 더 안전하고 강하게 만들라고 강요하는 것은 올바른 문제해결 방법이 아니라는 철학을 바탕으로 기술을 개발하고 확장에 앞장서고 있다.
FIDO 프로토콜’ 비밀번호를 서버와 공유되지 않도록 해 온라인 피싱 리스크를 원천적으로 배제시킨다. 또한, 사용자 확인 방법으로 기억하기 어렵고 힘든 비밀번호 대신 생체인증이나 하드웨어 키를 사용하여 사용자 편의성을 극대화한다. 2019년 FIDO 해커톤을 통해서 한국워킹그룹 회원사와 회원사가 관계를 맺고 있는 파트너사들 뿐만 아니라 다양한 모바일 업체, 웹 생태계에서 활동 중인 개발자, 그리고 가까운 미래에 관련 업무를 함께할 파트너인 학생들에게 FIDO 프로토콜이 널리 알려지는 계기가 만들어지기를 희망한다.
[글_원상헌 FIDO 얼라이언스 한국워킹그룹 공동의장·비씨카드 디지털연구소 소장(jjangkoo@bccard.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
