글로벌 인증 표준으로 빠르게 확산 중인 FIDO(FAST IDentity Online) 기술 2.0 시대를 준비하자는 목소리가 높다. 구글과 마이크로소프트 등 글로벌 기업이 FIDO를 웹 브라우저에 적용하는 FIDO 2.0에 박차를 가하는 탓이다.
FIDO는 지문과 홍채 등 다양한 인증수단을 지원해 ID와 비밀번호보다 간편하고 보안성 높은 범용 인증 기술이다. 2013년 9개에 불과했던 FIDO 연합 회원사는 올해 250여개로 늘었다. FIDO 영향력이 급성장 중이다. 삼성전자와 삼성SDS를 비롯해 KT, 카드사, 보안 기업 등이 앞다퉈 FIDO 인증을 받았다.
한국전자통신연구원(ETRI)은 국내 기업이 `FIDO 2.0`을 준비해 인증플랫폼 주도권을 확보해야 한다고 조언했다. 결제와 온라인 서비스 첫 번째 관문인 인증 기술을 플랫폼 내에 수용하는 전략이다.
FIDO는 사용자와 원격 인증 프로토콜을 분리했다. 사용자 인증은 바이오나 토큰, 패턴으로 다양화했다. 원격 인증은 공개키기반(PKI) 방식이다. 서버 변경 없이 다양한 인증 수단을 쓸 수 있다.
FIDO 1.0은 모바일과 앱 중심 표준이다. 모바일에서 복잡한 비밀번호를 생체인식 등으로 대체한다. FIDO 2.0은 PC와 웹브라우저로 확장이다. PC 운용체계(OS)나 웹 브라우저에서 FIDO 인증 장치를 인식해 서비스하는 형태다. 구글과 마이크로소프트는 웹 표준화 기구인 W3C와 함께 표준화를 주도한다.
FIDO 2.0은 PC와 웹 환경에서 비밀번호 대신 바이오정보를 사용한 편리한 인증과 결제 환경을 제공한다. PC와 노트북에 바이오 인증 장치 확대가 예상된다. 스마트폰을 키로 사용해 다양한 단말기 인증 제공도 가능하다.
구글은 비밀번호를 대체해 사용자를 지속 인증하는 트러스트(Trust) API를 공개할 예정이다. `아바커스(ABACUS) 프로젝트`로 기존 비밀번호를 대체해 여러 센서 정보를 결합한 보안 체계를 개발 중이다. 사용자 키보드 입력 패턴에서 위치, 음성, 얼굴 인식 등 정보에서 계산된 `트러스트 스코어`를 활용해 스마트폰 잠금 해제나 앱로그인을 수행하는 형태다.
진승헌 ETRI 정보보호연구본부 부장은 “차세대 FIDO 시대에는 온라인에 머물렀던 사용자 경험이 오프라인까지 확장될 것”이라며 “사용자와 서버 간 인증에서 사용자 기기와 주변 사물인터넷(IoT) 기기 인증까지 FIDO 영역이 넓어 진다”고 설명했다. 진 팀장은 “국내 기업과 공인인증기관 등은 차세대 FIDO를 준비해야 한다”며 “FIDO를 온라인과 오프라인 인증에 이용하는 플랫폼으로 발전시켜야 한다”고 조언했다.
김인순 보안 전문기자 insoon@etnews.com