PC와 웹 환경에서 생체인증을 가능하게 한 '파이도(FIDO)2' 표준이 공개됐다. 모바일 환경 중심 FIDO1에 이어 PC·웹 중심 FIDO2까지 공개되면서 수십년 이어온 문자중심 비밀번호가 사라질 전망이다.
11일 FIDO얼라이언스와 국제 웹 표준화 단체(W3C)는 FIDO2 표준을 발표했다. W3C는 FIDO가 제출한 '웹인증(WebAuthn)'을 'CR' 단계로 진전시켰다. CR은 각종 웹 개발자에게 WebAuthn 도입을 요청하는 단계다. 사실상 웹 표준화가 완료됐다는 의미다. 개발자·벤더 등이 FIDO2 제품을 개발하도록 관련 정보를 공개했다.
브랫 맥도웰 FIDO 얼라이언스 이사장은 “FIDO2는 심각한 서버 데이터 침해와 비밀번호 절도 등 범죄를 근절하는 계기가 될 것”이라면서 “온라인 피싱 공격이 불가능한 FIDO 인증 솔루션이 대세를 이룰 것”이라고 말했다.
웹 인증은 구글, 마이크로소프트(MS), 모질라, 오페라 등 웹 브라우저를 모두 지원한다. 윈도, 맥, 리눅스, 크롬, 안드로이드 운용체계(OS) 적용도 시작했다. FIDO1과 FIDO2 차이점은 사용 환경이다. FIDO1이 모바일 앱플리케이션(앱) 중심 표준이라면 FIDO2는 PC, 사물인터넷(IoT) 등 다양한 환경에서 사용 가능하다.
FIDO2는 FIDO모듈을 플랫폼화했다. FIDO2는 이전 버전과 달리 FIDO클라이언트, ASM(Authenticator Specific Module), 빌트인 인증자를 하나로 묶었다. 외부 인증장치도 사용 가능하다. 스마트폰, 데스크톱, 노트북, 웨어러블 기기 등을 인증 한 번으로 통합 사용하는 클라이언트인증프로토콜(CTAP·시탭)을 구현했다. FIDO2 웹 브라우저와 온라인 서비스는 기존 인증 받은 FIDO 보안키와 호환 가능하다.
업계 관계자는 “FIDO2는 생체인식을 지원하지 않는 PC에서도 기존 사용자가 보유한 스마트폰 지문, 홍채 인식기능 활용이 가능하다”면서 “기존에 인증 받은 FIDO 보안키와 호환 돼 생체인증 확산속도는 빨라질 것”이라고 말했다.
FIDO 얼라이언스는 향후 FIDO2 표준을 준수하는 서버, 클라이언트, 인증기에 상호운용성 테스트와 인증서를 발행한다. 적합성 테스트 툴은 FIDO 얼라이언스 웹사이트에서 제공한다. 모든 FIDO 인증 형태 서버 상호 운용성을 인증하기 위해 신규 '유니버설 서버 인증'도 도입한다.
업계 기대감은 크다. FIDO2 공개로 새로운 시장이 열린다. 삼성전자, LG전자, 레노버 등 글로벌 PC제조업체는 이미 지문인식 기능을 탑재한 제품을 출시했다. 라온시큐어, 로웸, 한컴시큐어 등도 새로운 인증솔루션 개발에 주력한다.
김운봉 라온시큐어 이사는 “라온시큐어는 FIDO얼라이언스 이사회 멤버로 인텔과 PC기반 FIDO 생체인증 사업 협력뿐 아니라 생체인증장치 동글 등으로 FIDO2 시장을 준비해왔다”면서 “FIDO2는 PC, IoT 환경에서도 패스워드 없이 안전하고 편리한 인증환경을 만들어 생활의 변화를 가져 올 것”이라고 말했다.
정영일기자 jung01@etnews.com