‘패스워드 없는’ 인증 실현 노력은 계속된다…애플·구글·MS, FIDO 지원 확장
애플·구글·마이크로소프트는 인터넷을 보다 안전하게 사용하도록 한다는 공동 노력 일환으로 FIDO(Fast IDentity Online) 얼라이언스와 월드와이드웹 (W3C) 컨소시엄이 함께 만든 ‘패스워드에 의존하지 않는 온라인 로그인 표준 기술’을 확대 지원한다는 계획을 6일 발표했다.
새로운 지원으로 이들이 제공하는 웹사이트와 앱은 앞으로 모든 디바이스와 플랫폼에서 일관성 있고 안전하며 사용하기 쉬우면서도 패스워드에 의존하지 않는 온라인 로그인을 환경을 소비자들에게 제공할 수 있게 될 전망이다.
전세계 수백여개의 IT 기업들과 서비스 제공업체들이 FIDO 얼라이언스와 W3C 내에서 공동으로 작업해 수십억 개의 디바이스와 모든 최신 웹 브라우저에서 이미 지원되는 패스워드에 의존하지 않는 온라인 로그인 기술 표준을 만들었다. 애플, 구글, 마이크로소프트는 이번 확장된 기능 세트 개발을 주도했고, 현재 각 플랫폼에 대한 지원을 추진하고 있다.
물론 기존에도 이들 3사의 플랫폼은 이미 FIDO 얼라이언스 기술 표준을 지원해 전세계 수십억개의 디바이스에 패스워드 없는 로그인을 가능케 했다. 이전까지는 사용자가 패스워드가 필요 없는 기능을 사용하기 전에 각 웹사이트나 각 디바이스에 로그인해야 했다. 이번 발표에서는 이러한 플랫폼 구현을 확장해 사용자에게 보다 원활하고 안전한 패스워드가 필요하지 않는 온라인 로그인을 사용하기 위한 두 가지 새로운 기능을 제공하게 된다.
한가지는 사용자가 모든 계정을 다시 등록하지 않고도 다양한 디바이스에서 FIDO 로그인 계정 자격 증명(‘패스키’라고 지칭되기도 함)에 자동으로 액세스할 수 있게 된다. 아울러 사용자가 실행 중인 운영체제(OS) 플랫폼 또는 웹브라우저에 관계없이 모바일 디바이스에서 FIDO 인증을 사용해 가까이 있는 디바이스의 앱 또는 웹 사이트에 로그인할 수 있다.
이 기술 표준 기반 접근법의 광범위한 지원은 더 나은 사용자 경험을 촉진하는 것 외에도 서비스 제공자들이 대체 로그인 또는 계정 복구 방법으로 패스워드 없이도 FIDO 자격 증명을 제공할 수 있게 된다. 이러한 신규 기능은 올해부터 내년에 걸쳐 애플, 구글, 마이크로소프트 플랫폼에서 사용할 수 있게 된다.
확장된 표준 기반 역량은 웹 사이트와 앱에 엔드투엔드로 패스워드가 필요 없는 옵션(기능)을 제공할 예정이다. 온라인 서비스 사용자는 자신의 디바이스 잠금장치 해제를 위해 익숙하게 이용하고 있는 지문이나 안면인식, 패턴 그리기, 핀(PIN) 넘버 입력 등과 같은 간단한 동일 작업을 통해 로그인할 수 있다. FIDO 얼라이언스측은 “이 새로운 접근방식이 단문 문자 메시지(SMS)를 통해 전송되는 일회용 비밀번호와 같은 기존 멀티팩터 인증(MFA, 다중요소 인증) 기술과 비교할 때 피싱으로부터 보호되며 훨씬 더 안전할 것”이라고 밝혔다.
커트 나이트 애플 플랫폼 프로덕트 마케팅 수석 이사는 “우리가 제품을 직관적이고 기능이 뛰어나게 디자인하는 것처럼, 제공되는 제품과 서비스를 프라이버시를 보고하고 보안성이 높게 디자인한다. 업계와 협력해 더 나은 보호 기능을 제공하고 패스워드가 가진 보안 취약성을 제거하면서 새롭고 더 안전한 온라인 로그인 방법을 구축하는 것은 사용자의 개인정보를 안전하게 유지한다는 목표를 가지고 최대한의 보안과 투명한 사용자 경험을 제공하는 제품을 구축하기 위한 우리의 핵심 약속이다”고 말했다.
마크 리셔 구글 안드로이드 인증 제품 관리 책임자는 “이번 마일스톤이 온라인 사용자 보호를 강화하고 오래된 패스워드 기반 인증을 제거하기 위해 업계 전반에 걸쳐 협력하고 있다는 증거”라며 “구글은 패스워드가 필요치 않는 미래를 향한 지속적인 혁신의 일환으로 FIDO 얼라이언스와 함께 지난 10여년간 작업을 해왔다. 안드로이드, 크롬 및 기타 플랫폼에서 FIDO 기반 기술을 사용할 수 있도록 하고 앱과 웹사이트 개발자들이 이를 채택하도록 장려해 전세계 사람들이 패스워드가 야기하는 위험과 사용상의 번거로움에서 안전하게 벗어날 수 있기를 기대한다”고 했다.
알랙스 시몬스 마이크로소프트 아이덴티티 프로그램 관리 부사장은 “패스워드가 없는 세상으로의 완전한 전환은 소비자들이 삶의 자연스러운 부분으로 만드는 것에서 시작될 것이다. 모든 실행 가능한 솔루션은 오늘날 사용되는 패스워드와 기존 다중요소 인증 방법보다 안전하고 간편하며 빨라야 한다. 플랫폼 전체가 하나의 커뮤니티로 협력해 마침내 이 비전을 달성하고 패스워드 제거를 위한 상당한 진전을 이룰 수 있게 됐다”고 강조했다. 그는 “우리는 일반 소비자 온라인 환경 시나리오와 기업 환경 시나리오 모두에서 FIDO 기반 자격 증명의 밝은 미래를 전망하고 있으며 마이크로소프트 애플리케이션 및 서비스 전반에 걸쳐 지원을 지속적으로 구축할 것이다”고 덧붙였다.
앤드류 시키어 FIDO 얼라이언스 이사장은 “편리하지만 강력한 인증은 협회의 슬로건일 뿐만 아니라 회원사들의 기술 스펙 및 배포 지침이기도 하다. 어디에나 존재하면서 사용성을 편리한 다중요소 인증을 대규모로 채택할 수 있도록 지원하는 것이 매우 중요하며, 우리는 애플, 구글, 마이크로소프트가 플랫폼과 제품에 사용자 친화적 혁신을 지원함으로써 이러한 목표를 실현하는 데 도움을 준 것에 박수를 보낸다”고 말했다. 이어 시키어 이사장은 “이 새로운 기능은 지속적으로 증가하는 FIDO 보안 키 활용률과 함께 사용자 편의성을 해치지 않는 FIDO 인증 구현의 새로운 물결을 이끌어낼 수 있으며, 서비스 공급업체는 온라인 피싱 공격에 강력하게 대응할 수 있는 최신 인증 환경을 구현할 수 있는 모든 옵션을 제공하게 된다”고 강조했다.
한편, FIDO는 패스워드를 입력하지 않고도 지문, 얼굴, 홍채 등 사람의 다양한 생체정보를 이용해 쉽고 안전하게 사용자를 인증할 수 있는 기술이다.
패스워드 기반 온라인 인증은 이미 많은 보안 문제를 노출시키고 있다. 사용자들은 너무 많은 패스워드를 사용·관리해야 하는 번거로움으로 다양한 온라인 서비스에 동일한 패스워드를 재사용하는 경우도 많이 나타나고 있다. 이런 관행은 자칫 비싼 대가를 지불해야 하는 온라인 계정 탈취, 데이터 침해, 심지어 신원 도용까지 초래할 수 있다.
이에 따라 패스워드 매니저 서비스와 2차 인증은 개선된 환경을 제공했지만, 보다 편리하고 안전한 온라인 로그인 기술을 만들기 위한 글로벌 대표기업 모두가 참여한 협업이 이뤄졌다는 게 FIDO 얼라이언스의 설명이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
