기존의 인증방식은 아이디와 비밀번호가 기반인데, 시간이 지날수록 분실할 확률이 높아지고 모바일 기기에서는 비밀번호의 입력이 상대적으로 어렵다는 단점이 있습니다. 이를 보완한 생체 인증 시스템이 등장했지만, 생체 정보 전송 위험과 서버에 저장되어 있던 생체 정보가 유출될 수도 있기 때문에 신뢰도가 높지 않은 편 입니다. 삼성전자와 구글 그리고 마이크로 소프트 등 200여개의 글로벌 기업들이 FIDO 연합체를 꾸려 이러한 한계를 극복하기 위한 움직임을 보이고 있습니다. 2014년 12월에는 온라인에서도 생체인식 기술을 활용한 안전 인증이 가능한 ‘국제 인증 기술표준 FIDO 1.0’을 발표했습니다.
목차
분실확률이 적은 인증시스템
편의성
모바일에서 웹 브라우저로
분실확률이 적은 인증시스템
피도는 지문, 홍채, 얼굴인식, 목소리, 정맥 등을 활용한 신식 인증 시스템 입니다. 이러한 생체 정보는 분실의 확률이 낮다는 장점이 있습니다. 또한 기존 생체 인증에서 안정성이 단점으로 꼽혔는데 이를 보완하기 위해 인증 프로토콜과 인증수단을 따로두어 보안과 편의성을 챙겼습니다.
피도 표준은 UAF와 U2F 두 가지 프로토콜을 제안했습니다. UAF의 대표적인 예로는 삼성페이가 있으며 U2F의 대표적인 예로는 구글의 USB 보안키를 활용한 방식이 있습니다.
편의성
FIDO의 편의성은 사용자에게 국한되지 않으며 기업도 적용할 수 있습니다. 피도는 클라이언트와 서버 그리고 이 두개의 개체 사이에 주고받는 프로토콜로 구성되어 있습니다.
피도인증 토큰과 인증토큰 API라는 인증토큰 추상화 단계에서 피도 클라이언트가 연동하는 역할을 합니다. 다시말해, API만 적용하면 모든 종류의 인증토큰을 피도 클라이언트에서 사용할 수 있게 됩니다. 뿐만아니라 피도 클라이언트는 피도 서버와 프로토콜을 송수신하고 등록, 인증, 조회 서비스를 제공합니다.
피도 서버에 피도 클라이언트가 로그인을 할 때, 서버는 클라이언트에 로그인에 사용할 인증토큰 목록을 전송합니다. 사용자는 목록에서 원하는 인증토큰을 선택한 뒤 본인인증 과정을 거칩니다. 클라이언트는 이렇게 만들어진 키 쌍에 공개키를 서명하고 피도 서버로 전송합니다. 피도 서버는 클라이언트와 UAF 프로토콜을 송수신하여 서비스를 제공합니다. 서버는 사용자가 목록에서 선택한 인증토큰과 공개키를 등록하고 이후에 인증이나 전자서명 검증에 사용합니다.
인증 프로토콜의 흐름은 등록 과정보다 훨씬 간단합니다. FIDO 서버는 인증에 필요한 값인 난수와 가용 인증토큰을 클라이언트에 전송하여 인증 요청을 합니다. 클라이언트에서는 기기에서 등록된 인증토큰을 통해 사용자 인증 절차를 거치며, 서버에 등록된 비밀키를 복호화하여 서버에서 전달받은 요청 메시지에 대한 응답으로 전자서명을 만들어 서버로 전송합니다. 서버는 클라이언트에서 수신한 전자서명 등록된 공개키를 활용하여 검증해 사용자 인증절차를 거칩니다.달 리말해, FIDO 프로토콜은 사용자 기기와 서버 간 세 가지 메시지를 전달합니다.
모바일에서 웹 브라우저로
2014년 12월 FIDO 1.0 규격을 최초로 발표하였습니다. 다음해 4월에는 처음으로 호환성 및 연동성 테스트를 진행하였습니다. 이후로는 분기당 1회 정도 테스트를 하고 있습니다. FIDO 연합체는 시험에 통과한 기술에 대해 국제인증서를 발급합니다. 한국에서는 한국전자통신연구원을 포함해 여러개의 업체에서 피도 국제 인증을 획득하였습니다. 현재 피도 기술은 여러가지 분야에서 활용되고 있습니다. 공인인증서 의무사용이 폐지된 이후 생체인식 기술을 활용한 인증 서비스가 확산되고 있는 분위기 입니다. 다양한 결제 및 금융 분야에서 피도를 기반으로 한 지문인증 서비스, 생체인증 기반 서비스를 제공하고 있습니다.
이렇게 피도는 새로운 인증수단으로 자리매김하고 있으며 점점 그 영역이 넓어지고 있는 추세 입니다. FIDO 연합체는 이런 흐름에 맞춰 모바일 응용프로그램 중심이었던 피도 기술을 웹 브라우저에서도 활용 가능하게 FIDO 2.0 표준 초안을 준비하여 W3C에 제출하였습니다. 현재 Google과 Microsoft의 주도 산하 웹 표준화 작업이 진행되고 있는 중이며, 2017년 상반기까지 표준화 작업 완료를 목표로 하고 있습니다. 웹 표준화가 완료되면 FIDO 기술은 훨씬 많은 분야에 적용될 것으로 보입니다.