[디지털데일리 홍하나기자] “더 단순하고 더 강한 인증으로 세계의 패스워드 문제를 해결한다”-파이도(FIDO) 얼라이언스

인터넷 시대에 진입하면서 패스워드의 사용이 늘어나기 시작했다. 서비스가 많아지다보니 그 수도 비례해서 늘어난다. 결국 사용자들은 다양한 서비스의 패스워드를 기억하지 못하고, 매번 ‘패스워드 찾기’를 해야 한다. 일종의 패스워드 치매 증상은 일상에서 겪는 불편함이다.

그런데 이것이 단순히 불편함에만 그치지 않는다. 여러 서비스의 패스워드를 기억하지 못해 대부분의 사용자들은 한가지 꾀를 낸다. 거의 같거나 비슷한 패스워드를 사용하는 것이다. 그러나 이러한 서비스의 아이디와 패스워드가 해킹되면 여러 서비스의 계정까지 유출되는 최악의 상황이 발생할 수 있다.

실제로도 온라인 사용자 45%가 쉬운 패스워드를 사용한다. 또 온라인 사용자 56%가 패스워드를 종이나 파일에 기록한다. 온라인 해킹 81%는 패스워드 탈취나 유추를 통해 발생하는 것으로 나타났다.

이러한 패스워드의 문제 의식에서 출범한 것이 FIDO얼라이언스다. 앞서 지난 2013년 공식 창립한 FIDO얼라이언스는 ‘더 단순하고 더 강한 인증으로 세계의 패스워드 문제를 해결 한다’는 문구를 슬로건으로 내세웠다.

FIDO얼라이언스에는 구글, 마이크로소프트(MS), 삼성전자, 아마존, 인텔, 페이팔 등 전세계 250여개 회원사들이 참여하고 있다. 한국 워킹그룹은 지난 2017년 출범했다. 현재 31개 회원사가 참여하고 있다.

FIDO는 국제 표준으로 인정됐다. 지난해 12월 FIDO는 국제전기통신연합(ITU) 정보통신 표준화 부분(ITU-T)으로 채택됐다. 최근에는 월드와이드웹컨소시엄(W3C)가 FIDO 스펙을 받아들여 API 표준이 만들어졌다.

◆프라이빗키 보호로 안전성·편리성 잡은 FIDO, 도입 사례 증가 = FIDO의 표준은 세가지로 나뉜다. FIDO 1.0 유니버설오센티케이션프레임워크(UAF), FIDO 1.0 유니버설세컨드팩터(U2F), FIDO2. 먼저 UAF는 모바일 단말에 지문인식, 얼굴인식 등의 생체인식을 통해 패스워드를 대체하는 방식이다.

U2F는 웹 표준의 아이디와 패스워드에 추가적으로 사용자 계정을 보호하기 위한 인증수단으로 이동식저장장치(USB) 토큰이나 근거리무선통신(NFC) 디바이스를 활용한다. FIDO2는 웹표준과 단말을 모두 포함한다.

FIDO 얼라이언스에서 FIDO 기술이 안전하다고 주장하는 것은 '프라이빗키를 서버에 보내지 않기 때문'이다. 사용자가 FIDO 사용을 위해 계정 등록 시, 프라이빗키와 퍼블릭키가 생성된다. 이때 퍼블릭키는 서버에 저장되지만, 프라이빗키는 단말 바깥으로 나가지 않고 내부에 저장된다. 따라서 데이터가 외부에 전달될 때 발생할 수 있는 유출사고를 방지할 수 있다. 특히 프라이빗키는 사용자가 기기의 주인임을 증명할 때만 사용한다. 이때 프라이빗키는 사용자만 가지고 있는 고유의 생체인증이다.

FIDO의 인증 절차는 복잡하지 않다. 우선 서버에서 디바이스로 사용자 인증을 요청(챌린지)한다. 사용자가 생체인증으로 인증에 성공하면, 단말 내부에 저장된 프라이빗 키로 전자서명을 하게 된다. 이 전자서명은 서버로 전달되고, 성공 시 로그인이나 결제 등이 이뤄진다.

신기은 라인 보안 엔지니어는 “FIDO는 개인정보를 중요시 여기기 때문에 생체정보는 서버로 전달되지 않는다”며 “기기에서 사용자인지 아닌지만 확인할 뿐”이라고 설명했다.

다만 풀어야 할 숙제가 없는 것은 아니다. 디바이스에 저장된 프라이빗키를 내보낼 수 없기 때문에 새로운 디바이스에 새 계정을 만들어야 한다. 만약 모든 서비스에 FIDO가 활용된다면, 사용자는 다른 디바이스에 일일이 재등록을 해야 하는 상황이 발생한다. 현재 FIDO 얼라이언스에서도 다른 디바이스에 안전하게 프라이빗키를 옮기는 방법을 고민하고 있다.

모든 기술이 완전 무결할 수 없다. FIDO는 편리하고 보안이 높다는 측면에서 국내외 유수 기업들이 주목하고 있다. 현재 많은 기업들은 자사의 서비스 및 디바이스에 FIDO를 도입했다.

앞서 삼성전자의 갤럭시 스마트폰, 통신3사의 인증 앱인 패스(PASS), 한국전자인증의 클라우드사인 국세청 홈택스 적용 등 다양하다.

삼성SDS는 FIDO솔루션 넥스사인(Nexsign)을 상용화했다. 이베이, 삼성카드, KB국민은행, 삼성카드, 대구은행에 적용됐다. 라인은 향후 라인페이, 라인뱅크 등 금융 서비스 뿐만 아니라 보험, 헬스케어, 증권 등 범용적으로 활용할 계획이다.

이종현 FIDO 한국워킹그룹 공동의장은 "삼성전자 갤럭시 스마트폰의 많은 부분에 FIDO 기술이 적용됐다. 사용자들이 인지하지 못하더라도 많은 곳에 FIDO 기술이 적용됐다"며 "FIDO 기술 구현으로 패스워드에 대한 의존도를 최소화할 수 있다"고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr