[보안뉴스 엄호식 기자] 한국정보통신기술협회(이하 TTA)는 1988년에 설립된 국내 유일의 정보통신 단체표준 제정기관이며, 표준화 활동 및 표준 제품의 시험인증을 위해 만들어졌다. TTA는 FIDO 얼라이언스 정회원으로 2017년부터 FIDO 국제공인 보안성 및 생체인식 시험소를 운영하면서 국내 기업 제품의 보안성 개선 및 해외 진출을 지원하고 있다.
▲김재범 TTA 디지털정보보호단 책임[사진=보안뉴스]
그동안 TTA에서 기술들을 평가하며 쌓은 경험치를 바탕으로 생체인증 서비스 전반의 기술 수준 향상을 지원하겠다는 김재범 책임을 통해 FIDO와 TTA의 협력과 미래 비전에 대해 들어봤다.
TTA에서 어떤 업무를 담당하고 있나 TTA 디지털정보보호단에서 지불결제 및 디지털 신원인증과 관련한 규격 적합성 평가 시험과 보안성 평가를 담당하고 있다
그동안 디지털 신원인증에 대해 많은 변화가 있었을 것 같다 2010~2012년쯤부터 스마트폰에 NFC 기능이 탑재되면서 스마트폰을 결제 수단으로 사용하면 어떨까 하는 기술의 흐름이 등장했다. 그리고 스마트폰의 보급이 늘어나며 이를 카드 결제 수단으로 삼는 각종 ‘페이’ 서비스 사용이 활발해졌다. 이 서비스에서 신원인증 수단으로 가장 편리하게 쓰이는 것이 바로 생체인증이다.
스마트폰을 이용한 모바일 결제가 등장하기 전 지불결제와 관련한 표준은 결제기술 분야의 국제 표준화기구인 EMVco가 주도했다. 그리고 2011년 스마트폰과 근거리무선통신(NFC) 기능이 등장하면서 스마트폰 기반의 결제 서비스가 본격적으로 등장할 수 있는 기술 발판이 마련됐다.
당시 TTA가 시험기관 지정을 요청했지만, 금융IT 분야에서는 TTA를 인지하지 못하고 있던 상태여서 기술에 대해 충분히 연구했음에도 시험기관으로 지정받는데 3년이라는 시간이 소요됐다. 그리고 금융 분야는 강력하고 안전한 인증이 필요해 FIDO를 융합하는 방안을 고려하게 됐다.
최근에는 삼성전자나 애플 등이 구현한 생체인증 기술의 수준이 굉장히 높고 보안성 또한 우수하다. 또, 과거 생소하게 여겨졌던 생체인증에 대한 국제 기술표준도 여럿 등장했다. 생체인증이 다양하게 활용됨에 따라 스타트업 등 많은 기업이 생체인증 기술을 개발·적용하고 있다.
FIDO의 보급과 확산을 위해서 어떤 일들이 진행됐나 FIDO를 처음 접한 것은 2015년이었다. 새로운 기술의 표준 초안은 공식 발행됐더라도 규격 자체에 일정 부분 흠과 오류가 있기 마련이며, 미비한 부분의 보완을 위해 사전테스트를 진행하려 해도 테스트를 할 제품이나 서비스가 없었다. 그 때문에 새로운 기술 도입 초기에는 이러한 부분을 중재하고 조정하는 등 TTA와 같은 시험기관이 해야 할 일이 가장 많다. 이 시기를 지나 많은 제품과 서비스가 나오면 그때부터 안정기에 들어가게 되고 성숙기가 되면 시험기관의 역할은 상대적으로 줄어든다.
또한, 생체정보는 한 번 유출되면 수정과 복구가 어려워 다른 인증수단보다 훨씬 강한 보안이 요구되며, 정보 유출 시 대응방법도 중요하다. TTA는 이러한 부분들에 중점을 두고 꾸준하게 연구하고 있다.
제품이나 서비스는 굉장히 다양하고 좋아졌는데, 이를 선순환 구조로 운영하려고 하면 이에 대해 풍부한 지식을 가지고 있는 전문 인력이 필요하다. 이러한 전문 인력이 있으면 우수한 기술에 기반한 제품 개발도 활발해지고, 기술표준에 대한 논의도 빨라질 수 있기 때문이다.
이에 FIDO 얼라이언스는 2018년부터 FCP라는 전문 시험제도를 2021년부터 운영하고 있다. 한국에는 2022년 소개됐지만, 아직 많이 알려지지 않아 전문인력 양성의 필요성과 방법 등을 많이 알리려고 노력하고 있다.
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>