‘패스워드 없는 웹’ 시대 성큼…한국기업들, FIDO2 인증시험 대거 통과

– 한국전자인증, ETRI, 라온시큐어, 삼성SDS 등 8곳 인증 획득 

한국 연구기관과 기업들이 글로벌 생체인증표준협회인 FIDO(Fast IDentity Online) 얼라이언스가 진행한 차세대 FIDO 생체인증 표준기술인 ‘FIDO2’ 상호운영성 시험을 대거 통과했다.

최초로 진행된 이번 시험에는 인증서버와 인증장치 분야에서 국내 8곳을 포함해 총 20여곳이 참여했다. 웹브라우저를 제공하는 플랫폼 기업인 구글, 마이크로소프트, 모질라도 시험에 참가해 앞으로 보다 빠르게 웹과 앱 환경으로 생체인증이 확대될 것으로 보인다.

FIDO 얼라이언스는 26일(현지시간) 보안키와 생체인증장치(Authenticator), 클라이언트와 서버 관련 분야에서 15곳이 FIDO2 인증을 획득했다고 발표했다. 한국에서는 총 8곳이 인증을 받았다. 한국전자인증, 드림시큐리티, 한국전자통신연구원(ETRI), 이더블유비엠(eWBM), 이니텍, 라온시큐어, 삼성SDS, 와이키키소프트(WhyKeyKey)(FIDO 얼라이언스 발표 순)다.

해외 기업으로는 IBM, 인피니언테크놀로지스, 녹녹랩스(Nok Nok Labs) , 야후재팬 등이 포함됐다.

FIDO 기술은 패스워드를 입력하지 않고도 지문, 얼굴, 홍채 등 사람의 다양한 생체정보를 이용해 쉽고 안전하게 사용자를 인증할 수 있는 기술이다. 기존의 FIDO 1.0 기술은 스마트폰을 중심으로 생체정보로 본인 인증 서비스를 제공했다.

FIDO2는 모바일 외에도 PC 웹브라우저에서 온라인 서비스를 생체정보로 편리하고 안전하게 인증할 수 있도록 지원한다. 구글 크롬, 마이크로소프트 엣지, 모질라 파이어폭스 웹브라우저 자체에서 FIDO2 표준 인증을 제공한다. 향후 더욱 다양한 플랫폼에서도 생체인증 서비스가 가능할 것으로 기대되고 있다.

FIDO2는 웹 표준제정기구인 W3C에서 정의한 웹 인증규격(WebAuthn)과 FIDO 얼라이언스의 인증기관 프로토콜인 CTAP(Client-to-Authenticator Protocol)으로 이뤄져 있다. 인증 제품들은 상호운영성과 FIDO2 사양을 준수한다는 점을 공식 검증받았다.

브렛 맥도웰(Brett McDowell) FIDO 얼라이언스 이사장(executive director)은 “기술업계는 FIDO2를 사용, 웹에서 강력한, 피싱 방지 인증을 할 수 있는 기술 표준을 제공해 더 나은 보안과 향상된 사용자 경험을 제공하겠다고 약속했다. 이번 인증 제품 발표는 그 약속을 이행하는 것”이라며 “소비자와 기업, 그리고 모바일과 데스크톱상의 모든 웹 애플리케이션은 독립적인 인증 프로그램을 통해 인터넷 규모에서 혁신의 혜택을 취할 수 있게 됐다”고 밝혔다.

FIDO2 서버 개념도. 출처 : ETRI

ETRI는 지난 2015년 FIDO 1.0 인증 기술을 개발해 시험인증을 받은 데 이어 FIDO 인증서버 기술을 추가로 개발해 이번 시험에 참여, 통과했다. FIDO2 규격 플랫폼에서 제공하는 빌트인 인증장치는 물론, 외부 업체에서 제공하는 독립적인 인증장치와 기존 U2F(Universal 2nd Factor) 인증장치 모두 연동되는 것이 특징이다.

ETRI는 FIDO 1.0 인증 기술에 이어 이번에 새롭게 인증 받은 기술을 민간에 이전해 상용화할 계획이다. 조상래 ETRI 정보보호연구본부 책임연구원은 “연말까지 스마트폰을 인증장치로 사용하는 저전력 블루투스(BLE) 기반의 얼굴인식 인증장치를 추가 개발, 시험인증을 준비해 민간에 기술 이전할 계획”이라고 설명했다.

진승헌 ETRI 정보보호연구본부장도 “연구진은 차세대 글로벌 인증 기술로 각광을 받고 있는 FIDO2 기술을 널리 보급하기 위해 기술 개발 및 시험인증을 받았고 기술이전을 적극 추진해 국내 인증 환경을 개선하는데 기여하겠다”고 말했다.

한국전자인증(대표 신홍식)은 서버인증 분야 제품 인증에 참여해 FIDO2 인증을 획득했다. 이를 계기로 모든 기기와 상호운영할 수 있는 생체인증 솔루션을 본격 확대하고 패스워드 없는 안전하고 간편한 웹 환경 조성에 앞장선다는 계획이다.

한국전자인증은 FIDO2 생체인증과 클라우드 방식을 결합한 스마트폰 앱(APP)이 필요 없는 무설치(No-Plugin) 인증서비스 ‘FIDO2 클라우드 간편인증’도 제공하고 있다.

안군식 한국전자인증 본부장은 “이번 FIDO2 인증 획득으로 FIDO 인증기술이 앱과 웹의 경계없이 모든 기기로 확대될 수 있게 됐다. 클라우드 간편인증 서비스도 PC에서 이용이 가능하게 돼 차세대 인증기술인 클라우드 전자서명 기술은 더욱 발전해 갈 것”이라고 내다봤다.

FIDO2 WEBAUTHN+CTAP 플로우. 출처 : FIDO 얼라이언스

라온시큐어(대표 이순형)는 서버 분야에서 ‘터치엔 원패스(TouchEn OnePass)’, 인증장치 부문에서 ‘라온 파이도 동글(RAON FIDO Dongle)’로 각각 FIDO2 인증을 획득했다.

PC와 웹브라우저에서도 패스워드 입력 없이 지문, 홍채 등 생체정보로 로그인 및 결제가 가능한 ‘터치엔 원패스’와 함께 인증받은 USB 형태의 ‘라온 파이도 동글’은 보안 반도체 칩에 생체정보를 암호화해 저장한 인증장치로 지문인식센서가 탑재되지 않은 PC나 노트북에서도 지문인증만으로 비밀번호를 대체하도록 지원한다.

이 제품은 FIDO 기술 규약에 따라 호환하는지 검증하는 ‘기능 인증’과 더불어 이 인증이 완료된 FIDO 인증장치에 한해 보다 높은 보안 요구 사항을 충족하는 경우 부여하는 ‘보안 인증’의 레벨1(L1)을 획득했다.

이순형 라온시큐어 대표는 “PC 위주의 한국 업무환경을 감안하면 그룹웨어, 전사적자원관리(ERP), 고객관계관리(CRM) 등 내부 보안이 중요시되는 업무 툴에서 FIDO2 수요가 기대된다”라며, “FIDO2 인증 획득을 통해 국내 생체인증 점유율 1위를 넘어 K시큐리티(K-Security) 선도기업으로 글로벌 진출을 본격화할 예정”이라고 강조했다.

삼성SDS(대표 홍원표)는 생체인증 솔루션인 ‘넥스사인(Nexsign)’으로 서버 분야 FIDO2 인증을 획득했다.

‘넥스사인’은 개인의 지문, 홍채 등의 생체정보를 이용해 사용자를 인증하는 솔루션으로, 국제공통평가기준(CC) 인증도 획득한 제품이다. 삼성페이, 이베이코리아 등 다양한 서비스에 적용돼 있다.

삼성SDS는 “앞으로 FIDO 2 기술이 표준화되면, 기업은 사용자 인증 과정에서의 해킹이나 피싱과 같은 보안사고 가능성을 더욱 낮출 수 있고, 모바일 기기를 넘어 다양한 플랫폼을 활용한 인증 서비스를 제공할 수 있을 것으로 기대된다”며 “사용자는 로그인할 때 복잡한 비밀번호를 외울 필요 없이 본인의 생체정보로 간편하게 웹이나 모바일 서비스를 모두 이용할 수 있게 될 것”이라고 전망했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다