비밀번호를 중심으로한 인증 방식은 해커의 주요 타깃이 되고 있지만 현재까지 가장 많이 사용됩니다.
그러나 비밀번호는 치명적인 보안취약점을 갖고 있습니다. 사용자는 비밀번호를 잊어버리지 않기위해 'QWER' 'LOVE' 등 간단한 문자열을 이용합니다. 게다가 본인이 가입한 여러 사이트에 동일한 비밀번호를 사용합니다. 해커는 한 곳을 해킹하는 것만으로도 아이디와 비밀번호를 탈취 할 수 있습니다.
사이버 해킹이 증가하자 비밀번호 인증방식을 개선하기 위해 다양한 시도가 이어졌습니다. 이후 OPT인증, 생체인증 등 다양한 인증방식이 개발됐습니다.
하지만 많은 기술개발에도 편의성이 떨어지거나 많은 비용부담으로 확산되지 못했습니다. 이러한 문제를 해결하기 위해 글로벌 기업은 생체인증을 기반으로 한 파이도(FIDO-Fast IDentity Online) 얼라이언스를 결성했습니다. 인증 프로토콜과 인증수단을 분리해 비밀번호 없이도 인증 보안강도는 높이는 데 성공했습니다. 편리성도 크게 개선해 패스워드 문제를 극복해 스마트 환경에 적합한 인증기술로 자리 잡았습니다.
Q:FIDO는 어떻게 탄생했나요?
파이도는 비밀번호 대신 지문, 홍채, 목소리, 얼굴인식, 장정맥 등 생체 정보를 활용하는 인증 시스템입니다. 사람의 신체 정보를 활용하기 때문에 안정성과 편리성 모두를 갖췄습니다. 하지만 누구나 개인의 생체정보를 내가 소유하는 것이 아닌 별도 서버에 저장한다면 불안합니다.
때문에 글로벌 기업은 파이도 얼라이언스(FIDO Alliance)를 구성해 생체 정보 해킹 위험성을 제거하는 표준을 만들기로 했습니다. 2012년 7월 삼성전자, 구글, MS 등이 연합해 표준을 구성했습니다. 2014년 12월 온라인 환경에서 생체인식기술을 활용한 인증방식 '국제 인증기술 표준 FIDO 1.0'을 탄생시켰습니다. 이후 스마트폰을 중심으로 모바일 생체인증 시대가 열렸고 올해 5월에는 PC, USB 등 외부기기와 웹에서 인증을 사용하는 FIDO2 인증을 발표했습니다.
Q:파이도 인증 기술이란 무엇인가요?
파이도 인증은 우리가 사용하는 편리성과 달리 매우 복잡하게 이루어져 있습니다. 파이도는 크게 클라이언트와 서버로 구성됐으며 두 개체 간 주고받는 프로토콜(UAF)로 이뤄져 있습니다.
인증 시 파이도 서버는 인증에 필요한 난수와 사용 가능한 인증토큰을 클라이언트에 보내 인증을 요청합니다. 클라이언트에서는 기기에서 등록된 인증토큰으로 사용자를 인증하고 서버에서 보내온 요청 메시지 응답으로 전자서명을 생성, 서버로 보냅니다. 서버는 클라이언트가 보내온 전자서명을 등록된 공개키로 검증해 사용자를 인증합니다. 쉽게 말해 인증 프로토콜과 인증수단을 분리해 인증하는 방식이라고 생각하면 됩니다.
파이도 표준에서는 생체정보를 서버에 저장하는 방식에서 벗어나 하드웨어 기기에 개개인 생체정보를 저장합니다. 이렇게 저장한 정보는 서버와 암호화된 키를 확인하는 방식을 활용해 개인사용자를 증명합니다.
Q:파이도 기술이 주목받는 이유는 무엇인가요.
파이도 기술은 생체인식을 바탕으로 합니다. 생체인증은 활용성과 편의성이 뛰어납니다. 게다가 지문, 정맥, 얼굴은 사람마다 형태와 특성이 모두 다릅니다. 개인의 고유한 정보로 복제하거나 도용할 수 없고, 다른 사람이 사용할 수 없어 안전합니다.
반면 열쇠, 비밀번호, 패턴 등은 도용과 복제에서 자유로울 수 없습니다. 비밀번호는 누군가 뒤에서 보는 것만으로도 탈취가 가능하며, 열쇠도 복제 가능합니다. 하지만 생체정보는 개인만이 가져다닐 수 있으면 복제도 불가능합니다. 상대방 스마트폰을 탈취 했다고 해도 직접 개인 생체정보가 없다면 풀지 못합니다.
Q:파이도 기술의 미래는 어떻게 되나요?
올해 5월 파이도 얼라이언스는 파이도1.0에 이어 파이도2를 발표했습니다. 파이도1.0이 모바일 중심이라면 파이도2.0은 PC와 웹 중심환경 생체인증 표준이라고 할 수 있습니다. 파이도2는 파이도 모듈을 플랫폼화 했다는 것이 파이도1.0과 다릅니다. 즉 USB 등 외부 인증장치도 사용 가능합니다. FIDO2는 FIDO클라이언트, ASM(Authenticator Specific Module), 빌트인 인증자를 하나로 묶었습니다. 스마트폰, 데스크톱, 노트북, 웨어러블 기기 등을 인증 한 번으로 통합 사용하는 클라이언트인증프로토콜(CTAP·시탭)도 구현했습니다. FIDO2 웹 브라우저와 온라인 서비스는 기존 인증 받은 FIDO 보안키와 호환 가능해 확장성도 넓혔습니다. 이제 모바일, PC 등 모든 환경에서 안전한 생체인증 기술을 사용하게 되면서 '비밀번호가 사라질 것' 이라는 말도 나옵니다.
주최:전자신문 후원: 교육부·한국교육학술정보원
[관련 도서]
◇'원더풀 사이언스. 1: 생체인식', 박송이 지음, 김석련 그림, EBS과학학습 만화
이 책은 EBS 과학 다큐 <원더풀 사이언스>를 과학 학습 만화로 재탄생시켰다. 이번에는 '생체인식'에 대해 다룬다. '도리'와 '마리'가 모달리별에서 우연히 지구로 찾아온 외계인 '알리노'와 함께 펼치는 흥미진진한 사건사고를 통해 생체인식에 대해 재미있게 배워나갈 수 있다. 생체인식에 숨어 있는 과학 원리와 지식을 친절하게 소개한다.
◇'생체 인식 산업분석 보고서', 비피기술거래 지음, 비티타임즈 펴냄
꾸준하게 확대되고 있는 시장인 생체인증 정의와 장점, 종류를 살펴본 후 국내·외 생체인식 기술 현황을 알아보고자 한다. 이러한 생체 인식 기술 시장 흐름에서부터 세부적 주요 기술별 시장 동향을 살펴보며, 각 기술을 주도하거나 주도 가능성이 있는 기업에 대해 분석한다.
정영일기자 jung01@etnews.com
