안녕하세요. 대학생 기자단 석승연입니다.
IT가 급속하게 발전하면서 정보에 대한 접근성은 편리해지고 있는데요. 하지만 사용자들이 수많은 사이트와 서비스에 개인 정보를 제공하고 이용함으로써, 개인정보에 대한 보안은 점차 취약해지고 있습니다.
FIDO(Fast Identity Online)는 기존의 아이디와 비밀번호를 입력하는 방식보다 더 쉽고 강력한 보안성을 제공하기 위해 만든 인증 서비스인데요. FIDO에 대해 자세히 알아보겠습니다.
FIDO 얼라이언스1에서 가장 주목하고 있는 인증 기술은 ‘바이오 인식 기술’입니다. 얼굴이나 지문을 인식해 본인 여부를 확인하는 인증 방법으로, 컴퓨터나 스마트폰에 얼굴을 비추거나 손가락 지문을 인식하여 사용자를 구분하는 방법입니다. 최근 핀테크와 같이 금융과 IT의 결합으로 인해 강력한 보안성을 갖춘 인증 수단의 필요성이 커지면서 FIDO의 중요성 역시 더욱 커지고 있습니다.
최근 발표된 FIDO의 인증방식은 아이디와 패스워드 대신 생체정보를 이용하는 UAF방식과 아이디, 패스워드와 함께 별도의 인증 장치를 이용해 2차 인증을 수행하는 U2F방식의 2가지 방식이 있습니다.
<FIDO의 두 가지 프로토콜 (출처: https://fido.kica.co.kr/#section2)>
먼저 UAF(Universal Authentication Framework)방식은 지문, 음성, 얼굴 인식 같은 사용자의 생체정보가 서버가 아닌 개인 소유 단말에 저장되는 방식입니다. 이는 서버에 생체정보가 저장되어 유출 위험이 있던 기존의 생체인증기술과 달리 스마트폰에 별도로 할당된 하드웨어 보안영역(Trust Zone)이나 USIM칩, IC칩, HSM칩에 저장되어 안전하게 보관할 수 있습니다.
U2F(Universal Second Factor)방식은 우선 기존의 아이디와 비밀번호로 1차 인증 후, 2번째 인증요소로 UAF와 같은 강력한 인증을 추가할 수 있는 방식을 말합니다.
따라서 어떤 방식이든 FIDO 기술 표준은 생체정보를 외부로 유출하지 않고 디바이스의 독립 공간인 ‘트러스트존’이라는 암호화된 공간에 데이터를 저장하고, 인증 결과만 외부 서버에 보내는 방식이기 때문에 기존의 생체인식기술보다 훨씬 안전합니다.
KISA(Korea Information Security Agency, 한국인터넷진흥원)에서는 이런 공인인증서의 한계점을 보완하여, FIDO의 생체인식기능과 공인인증서를 연계한 기술을 개발하고 있습니다.
지문, 홍채, 얼굴 인식 등 바이오 인식 기술과 공개키 암호 기술을 융합하여 비밀번호 입력 없이 스마트폰을 통해 자신의 지문을 저장해두면 PC와 스마트폰을 연결하여 공인인증서를 사용할 수 있는 것인데요. 이렇게 하면 결제를 하는 과정에서 공인인증서를 실행한 뒤 손가락을 스마트폰 지문인식 센서에 갖다 대어 지문을 검증한 뒤 결제가 이루어지게 됩니다.
현재 지문인식 기능이 모든 스마트폰에 적용되어 있지는 않지만, 점차 많은 스마트폰이 지문인식 기능을 갖추고 출시되고 있습니다.
FIDO와 공인인증서가 결합함으로써 생체인증기술은 공인인증서의 한계점을 보완해주고 모바일 결제의 편리함을 가져다 주었습니다.
기존의 공인인증서는 결제를 하기 위해 엑티브X의 설치는 물론 비밀번호를 입력해야 하는 번거로움이 있었습니다. 하지만 FIDO는 생체정보 인증 방식을 이용하여 일일이 비밀번호를 기억할 필요가 없으며 본인이 아니면 인증이 불가능하기 때문에 보안상의 취약점까지 해결해주었습니다.
또한, 개인정보를 서버가 아닌 개인의 스마트폰에 별도로 할당된 하드웨어 공간에 저장하기 때문에 프라이버시 침해 우려도 적어서 점차 상용화될 것으로 전망하고 있습니다.
KISA는 LG, 삼성, 애플이 FIDO 기술을 탑재한 단말기를 출시한다면 향후 전자금융거래에서도 FIDO와 공인인증서를 연계한 서비스가 활발히 사용될 것으로 기대하고 있습니다. 또한, 공인인증서에 바이오 인식 기술까지 접목한 FIDO 기술은 핀테크의 간편 인증수단으로써 크게 확대될 것으로 예상하고 있습니다.
지금까지 FIDO의 생체인증과 공인인증서의 연계기술에 대해 살펴보았는데요.
아직 FIDO 기술은 초기단계이기 때문에 공개된 해킹 사례를 쉽게 찾아볼 수는 없습니다. 또한 생체인증 보안의 취약점을 발견하는 해커 대회가 열리는 등 해당 기술을 보완하려는 노력이 꾸준히 이루어지고 있습니다.
하지만 생체인증 방식에도 커다란 단점이 존재하는데요. 바로 생체정보가 ‘대체 불가능한’ 정보라는 것입니다. 생체인증 기술은 자신의 생체정보를 이용하기 때문에 굉장히 안전하지만, 만약 이 생체정보가 복사•유출된다면 비밀번호처럼 다시 바꿀 수도 없기 때문에 보안상의 양면성을 가지고 있는 것입니다.
실제로 지난 2015년 9월 보안업체 파이어아이(FireEye)가 세계적으로 명망 높은 정보보안 행사인 ‘블랙햇 2015’에서 모바일 디바이스의 지문 인증 시스템과 관련된 해킹 가능성을 발표했는데요. 공격자가 멀웨어(Malware)를 통해 지문 인증 프로세스를 뚫을 수도 있고, 루팅 공격을 통해서 트러스트존을 우회해 디바이스에 저장되어 있는 지문정보를 수집할 수도 있습니다.
따라서 FIDO가 공인인증서와 결합하기 위해서는 무엇보다 강력한 보안 기술이 필수적으로 뒷받침되어야 할 것으로 생각합니다.
FIDO 기술이 스마트폰과 밀접하게 연계•발전되고 있는 만큼 FIDO의 인증 기술은 모바일 상거래에 긍정적인 변화를 일으킬 것으로 예상됩니다. FIDO가 모바일 환경뿐만 아니라 생체인식 기능이 없는 PC 환경에서도 이용 가능한 차세대 인증 기술로써 앞으로 상용화될 날을 기대해 봅니다.
- FIDO 얼라이언스(Alliance): 2006년 6월에 설립된 온라인 보안 인증 관련 글로벌 기업들의 연합체로, 온라인에서 편리하고 안전한 인증시스템을 구축하고, 인증시스템에 대한 기술 표준을 제시하는 협회임. 현재 Google, Lenovo, Microsoft, PayPal 등 약 200여 개의 기업들이 참여하고 있으며, 이 협회에서 인증하고 표준화한 기술이 FIDO의 공식 표준 기술이 됨. [본문으로]
'IT Life' 카테고리의 다른 글
| 당신의 건강을 책임져드립니다. 헬스케어 웨어러블 (0) | 2016.02.25 |
|---|---|
| 요리도 스마트하게, 전세계는 지금 푸드테크 열풍! (1) | 2016.02.24 |
| FIDO, 공인인증서 비밀번호를 대체하다. (0) | 2016.02.23 |
| 사람과 대화하듯 자연스럽게 ‘지각 컴퓨팅’ (0) | 2016.02.19 |
| 아이디어에도 비즈니스 모델이 필요하다 - 아이디어와 비즈니스 모델링 (2편) – (0) | 2016.02.18 |
| QR코드를 통한 신종 금융사기수법, ‘큐싱' (0) | 2016.02.17 |