계정 정보 유출로 인한 보안사고가 끊임없이 이어지는 가운데, 차세대 인증 솔루션 FIDO2를 적용하는 기업들이 늘어나며 해당 기술에 대한 관심이 높아지고 있다.

2018년 4월 마이크로소프트와 온라인 인증보안 글로벌 기업 Yubico가 FIDO2를 발표하며 차세대 인증 서비스를 선보였다. Yubico는 U2F에서 시작됐던 보안키에 사용자 인증 정보를 복제할 수 없도록 저장하고, 인증이 필요할 땐 개인키를 이용해 서버에서 공개키를 전달하여 사용자를 식별하고 인증할 수 있도록 했다. 인증을 요구하는 서비스에서 서버 ID와 같은 내용도 확인해야만 키 교환이 이뤄지기 때문에, 피싱이나 MITM과 같은 공격에도 보안을 유지할 수 있다는 장점이 있다.

생체 또는 보안키를 사용해 ID와 패스워드 없이도 사용자 인증이 가능한 방식은 가장 빈번히 발생하는 사용자 계정 탈취 범죄를 원천적으로 차단하는 역할을 하는데, 한국을 포함해 Google, Amazon, Facebook, Salesforce 등 글로벌 기업들은 FIDO를 적용한 보안키를 내부 직원 인증용으로 사용 중인 것으로 알려졌다.

또한 마이크로소프트는 2018년 11월부터 SaaS 환경에서 Passwordless 로그인을 지원하기 시작했으며, 향후엔 AD 환경에서도 PC로그인을 FIDO2로 지원할 계획으로도 알려졌다. 서비스 로그인을 아이디와 패스워드 없이 하는 환경에서, 간편하면서도 강화된 보안 환경에서 인터넷 사용이 가능해진 것이다.

Yubico의 한국총판 장윤주 ㈜에어큐브 부사장은 “FIDO는 이제 온라인 기반의 인증에서는 빼놓을 수 없는 인증 표준으로 자리 잡아가고 있다”며 “세계의 IT는 물리보안과 논리보안이 융합된 ‘융합보안’영역으로 흘러가고 있으며, FIDO뿐만 아니라 여러 가지 패스워드를 대체하거나 추가인증으로 사용할 수 있는 OTP나 스마트카드 같은 추가적인 프로토콜들도 하나의 보안키에서 제공돼 유저들이 믿고 인증할 수 있는 안전한 IT사회가 곧 다가올 것으로 전망한다”고 설명했다.

한편, FIDO는 인터넷 유저가 수많은 사용자ID와 패스워드를 만들고 기억하는데 따르는 불편함과 위험을 해결하기 위해 2013년 처음 만들어졌다.

FIDO Alliance는 UAF(Universal Authentication Framework) 와 U2F(Universal 2nd Factor) 두 가지 프로토콜을 제공해 새로운 보안 환경을 제안했다. UAF는 모바일 기기의 지문, 안면 및 홍채인식 등을 활용해 사용자를 인증하는 서비스이며, U2F는 사용자 ID와 패스워드로 1차 인증을 한 뒤 보안키, 토큰을 이용한 추가 인증절차를 통해 보안 강도를 높이는 방식이다.

조남경 기자 jonamkyung@kukinews.com