[보안뉴스 김성미 기자] “보다 편리하고 강력한 인증으로 비밀번호로 인해 발생하는 문제를 해결하자.” ‘ISEC 2019(제13회 국제 시큐리티 콘퍼런스)’가 10월 1~2일 서울 삼성동 코엑스에서 열렸다. 이번 ISEC에서는 특히, 융합/물리보안 트랙(3층 오디토리움)이 처음 마련돼 다양한 분야의 물리/융합 보안 기술과 사례에 대해 소개했다. 이준혁 FIDO얼라이언스 아시아태평양 사업담당 매니저는 ‘FIDO 프로토콜의 국내외 적용사례’를 사물인터넷(IoT)와 금융, 정부를 중심으로 소개하며 FIDO얼라이언스의 목표에 대해 이같이 말했다.
[사진=iclickart]
이준혁 매니저는 “FIDO나 FIDO얼라이언스는 아직 낯설 수 있다. 한국사람이라면 삼성페이에 들어간 보안 프로토콜이라고 생각하면 조금 쉽게 이해할 수 있을 것 같다”면서 FIDO얼라이언스와 케이스 스터디 위주로 강연을 진행했다.
이 매니저는 “외신 보도에 따르면 평균 60%의 온라인 사용자가 공통 비밀번호를 다양한 계정에 사용한다는 통계가 있다. 45%의 온라인 사용자가 유추하기 쉬운 비밀번호를 사용하고 한명의 사용자가 관리하는 계정은 수십에서 수백개에 이르며 65%의 온라인 사용자가 비밀번호를 종이나 파일에 기록하고 있다. 이처럼 유추가 쉽고 탈취 가능성이 높은 비밀번호 때문에 온라인 해킹의 81%가 발생한다. 5명중 1명은 자기 계정이나 비밀번호가 탈취된 경험이 있다고 봐도 무방하다”고 지적했다.
이어 이 매니저는 “이런 문제가 있음에도 아직도 다양한 노력없이 비밀번호를 복잡하게 만들라거나 계정마다 다른 비밀번호를 쓰라는 권고가 이뤄지는 것이 고작”이라면서 “FIDO는 쉽게 유추되고 탈취가 가능하며 도난당하면 모든 계정에 영향을 줄 수 있는 비밀번호를 대신할 다른 방법이 없을까라는 생각에서 출발했다”고 설명했다. 이어 “사용자가 이용하기에 복잡하지 않도록 사용성을 높이고 보안성은 강력한 인증이 바로 FIDO 프로토콜이며, 월드와이드앱과 국제전기통신연합(ITU), 국제표준화기구(ISO) 등에서 표준으로 인정받고 있다”고 덧붙였다.
이 매니저의 FIDO얼라이언스 소개에 이어 FIDO얼라이언스 회원들의 케이스 스터디 소개 릴레이가 진행됐다. 김원욱 회원은 스마트홈의 안전을 위협하는 사물인터넷(IoT) 기기의 취약성과 이을 보완할 수 있는 강력한 보안으로서의 FIDO 프로토콜에 대해 얘기다.
이어 이영섭 회원은 해외 사례를 소개했다. 14만명의 사용자를 갖고 있는 미국의 톱10 은행에서는 11만명 콜센터 직원의 고객 응대를 위한 고객정보 관리 보안성을 높이기 위해 FIDO 프로토콜을 도입했으며, 미국 정부기관에서는 투표시 유권자 인증을 위해 FIDO 프로토콜을 도입했다고 설명했다. 이와 함께 영국 정부는 해외주재자를 위한 전자정부 서비스를 위해 FIDO 인증을 도입했다고 덧붙였다.
또한, 한상우 회원은 국내 활용 사례로 국민은행의 스마트폰 뱅킹 서비스에 FIDO 인증 서비스가 접목됐다고 소개했다. 과거에는 아이디와 패스워드, 인증서 기반의 로그인이 이뤄져 비밀번호 유출 위험이 상존하고 인증서를 휴대하는 등 불편함이 있었지만, FIDO 인증이 도입되면서 보안성을 높이고 간편화된 사례다. 국민은행은 현재 월 2,500만건의 FIDO 인증 거래가 이뤄지고 있으며, 도입이래 5억 2,000만건의 누적 거래가 진행됐다. 국민은행 사례는 FIDO얼라이언스에서도 우수 사례로 홍보하는 케이스다. 국내에서는 국세청의 홈텍스에도 FIDO 인증이 도입됐다.
끝으로 홍영석 회원은 대민봉사를 위한 공공분야 사례와 공공 와이파이 접속, 공공분야 CCTV 접근제어 등에 FIDO 보안 키를 사용한 B2G 사례를 소개했다.
[김성미 기자(sw@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>