패스워드 없는 인증기술 FIDO

패스워드 없는 인증기술 FIDO

#. 직장인 김신영 씨(38)는 부모님께 드릴 건강식품을 구매하기로 맘먹었습니다. 최근에 장만한 갤럭시 노트6로 해당 제품 구매 사이트에 접속한 뒤 제품을 선택하자 결제 인증 종류를 선택하라는 메뉴가 나왔고, OTP(One Time Password), 공인인증서, 문자, 지문 중 지문을 선택하고 스마트 폰에 손 지문을 대자 곧바로 결제가 됐습니다. 카드번호나 공인인증서 암호를 입력할 필요 없이 생체정보인 지문만으로 결제 인증이 됐고 바야흐로 패스워드 없이 결제가 가능해진 셈입니다.

FIDO 사용 모습
패스워드 없이 생체정보로 결제 가능

생체인증은 내 몸의 고유정보를 이용하니 도난 위험이 적고, 위조가 불가능해 보안이 높다는 평가를 받고 있습니다. 생체인증을 적용해 모바일로 물건을 구매하는 방법이 이처럼 손쉽게 이용할 수 있는 데는 글로벌 온라인 생체인증 표준 FIDO (Fast IDentity Online) 협회가 인증한 ‘생체인증 솔루션’덕분입니다.

FIDO협회는 삼성전자, 구글, Microsoft, VISA, PayPal 등 약 190개 글로벌 회사가 참여 중이고 본인을 확인해주는 온라인 생체 인증 국제표준 단체입니다. 해외에선 미국 녹녹랩(Nok Nok Labs)이 페이팔과 알리페이(Alipay) 등에서 FIDO 클라이언트와 서버를 판매하고 있고 유비코(Yubico)도 FIDO 인증에 필요한 동글을 시판 중에 있습니다. 국내에선 라온시큐어, 크루셀텍, ETRI도 FIDO 인증을 받은 생체인증 솔루션을 각각 출시하고 시장을 확대하고 있습니다.

삼성SDS는 국내에서 처음으로 FIDO로부터 인증받은 데 이어 지난 8월부터 한국 정보인증과 제휴해 삼성 페이에 생체인증 솔루션을 적용해 상용서비스를 해오고 있습니다.

국내외 솔루션업체들, 시장 확대 나서

생체인증 솔루션의 역할은 스마트 폰에 있는 생체 인식 센서에서 취득한 생체정보와 인증 데이터를 폰의 독립된 안전한 저장소(TrustZone)에 저장하고 인증/결제 업체에 설치된 서버와 연계해 사용자를 인증해줍니다. 즉 사용자의 생체정보로 FIDO가 정한 표준에 따라 간단하고(Simpler) 강력한(Stronger) 인증 방식을 제공해주고 있는 셈입니다.

삼성SDS 는 “개인 단말기(생체정보, 개인키)와 서버(공개키)에 분리돼 있는 정보를 이용, 공인인증서 원리(공개키 암호화)로 사용자를 인증하기 때문에 단말이 분실돼도 타인의 부정사용이 불가능하다” 라며 “지금까지 개발된 본인인증 기술로는 보안과 사용성이 최고 수준”이라고 강조했습니다.

이처럼 FIDO를 이용한 생체인증은 노트북, 스마트폰 등 스마트 디바이스에서 사용하는 인증기술을 온라인에도 적용하는 점입니다. 한마디로 특정 웹 서버에 인증하기 위해 패스워드를 사용하지 않고 디바이스 인증을 이용하면 사용자는 편리하고, 웹 서비스는 필요에 따라 인증기술을 선택할 수 있는 장점이 있습니다.

이같이 보안성과 편리성이 알려짐에 따라 미국 Bank Of America는 9월부터 FIDO 인증 방식을 적용한 데 이어 미국 PBM(Pharmacy Benefit Managers) 업체인 Medimpact 역시 의사들이 PBM Portal에 Login하는 기능을 FIDO로 대체한 바 있습니다.

공개키 암호화구조(PKI)로 보안 더욱 강화
FIDO 보안 시스템 설명

FIDO에 사용자의 생체인증을 위해선 생체정보 등록과 인증 2단계를 거치는데 사용자 등록은 사용자의 생체정보와 공개키 개인 키를 생성 등록하는 과정입니다. 즉 사용자가 로그인 시 FIDO 인증 등록을 선택하면 단말에 저장된 생체정보(지문)를 이용 해당 서비스에서 인증에 사용할 공개 키와 비밀키가 생성되고, 공개키는 서비스 서버로 전송 저장되고, 개인키는 단말의 보안 영역에 저장됩니다.

사용자 인증은 훨씬 간단합니다. 사용자가 인증을 요청할 경우 서비스 업체는 인증에 필요한 한 번만 쓸 수 있는 난수(One Time Challenge)와 인증 리스트를 보내 인증을 요청합니다. 사용자는 디바이스에 등록된 지문으로 개인키가 저장된 보안 영역을 열고, 개인 키를 꺼내 서버에서 전송된 난수(One Time Challenge)에 전자 서명해 서버로 전송합니다. 서버는 사용자가 보내온 전자서명을 등록된 공개키로 검증하여 원문의 위∙변조가 없음을 확인하면 사용자 인증 요청을 최종 승인하는 방식이다. 생체정보 활용 부분을 제외하면 현재 우리가 사용하는 공인인증서 원리(PKI)와 흡사합니다.

PKI 기술의 특징은 암호화 키와 암호를 푸는 복호화 키가 다르다는데 있습니다. 공개 키와 비밀키가 한 쌍이 되며 공개키로 암호화하면 비밀키로 복호화를 하고 비밀키로 암호화하면 공개키로 복호화를 합니다.

간단한 예를 들면 A한테 중요한 문서가 있고 B한테 전달한다고 한다면 A는 B한테 B의 공개 키를 요구하고 B는 자신의 공개 키를 A에게 전달합니다. 공개키는 타인이 알아도 되는 키이기 때문에 해커가 중간에 가로채기를 해도 문제가 되지 않는다. A는 B의 공개 키를 가지고 중요한 데이터를 암호화하고 B에게 전달합니다. 이때 암호화된 정보는 타인에게 노출이 되어도 다른 사람은 못 보고 오직 B의 비밀 키로만 내용을 알 수 있다. B의 비밀키는 B만 가지고 있기 때문입니다.

기존 인증기술은 FIDO로 대체 될 듯

FIDO는 패스워드 사용 없이 인증 방식을 다양화함으로써 사용자는 생체 기반 인증을 이용하여 서비스에 로그인 할 수 있어 편리성을 높였고 사용자와 서버 간은 공개키 기반으로 사용자를 인증하여 패스워드 보다 더욱 안전성을 보장할 수 있습니다.

업계에서는 “ 기존 인증기술인 비밀번호, 인증서, OTP 등의 방식은 FIDO로 빠르게 대체될 것으로 보이며, 유사한 기술인 Touch ID가 애플의 독자 규격의 기술인 것과 달리 FIDO는 기술사양이 공개되어 향후 온라인 생체인증 분야의 사실상의 표준(de facto)이 될 것”으로 예상했습니다.

FIDO 생체인증을 지원하는 다양한 하드웨어가 증가하고,‘16년에는 생체 인식기가 없는 PC 환경도 통합 지원하는 FIDO 2.0 기술까지 상용화돼 FIDO 기술의 보급 확산은 더욱 빨라질 전망입니다.

공유하기