최근 핀테크 및 IoT를 위한 차세대 인증기술에 대한 시장 관심이 급증하고 있다. 현재 많은 경우 패스워드를 이용해 사용자 인증하고 있지만 패스워드는 치명적인 보안 취약성이 있다. 첫째는 사용자들이 패스워드를 기억하기 쉽게 간단한 문자열을 이용한다는 것이고 두 번째는 본인이 가입한 여러 사이트에 동일한 패스워드를 사용한다는 점이다. 보안이 취약한 웹사이트에서 패스워드가 해킹되면 연쇄적으로 다른 사이트들도 침입이 가능한 상황이 발생한다. 많은 개인정보 유출 및 ID 도용은 이러한 취약성에 의해서 발생하고 있지만 저렴하고 편리성 때문에 현재까지 광범위하게 사용되고 있다. 이러한 보안 취약성을 개선하기 위해 생체인증을 사용하거나 다중요소 인증(MFA: Multi-factor authentication) 기술을 적용하고 있지만 기술에 따라 사용자의 편리성이 떨어지거나 이용하기에 비용부담이 증가하여 다양한 응용서비스에 적용되지 못하고 있다.
현재 우리나라의 경우에는 공인인증서를 이용해 강도 높은 인증기술을 사용하고 있지만 공인인증서도 패스워드를 사용한다는 점에서는 같은 문제점을 가지고 있다. 얼마 전에는 노트북에서 지문인식을 제공하기도 했지만 요즘은 대부분 사용하지 않고 다시 패스워드를 사용하는 추세다. 이것은 대부분의 운영체제들의 로그인 방식이 패스워드로 돼 있기 때문이다. 하지만 이러한 추세는 스마트폰과 같은 모바일 기기들이 등장하면서 바뀌고 있다. 모바일 기기들은 일단 화면이 작아 입력이 불편하고 노트북보다는 자주 이용하는 경향이 있어 패스워드를 입력하기가 쉽지 않다.
이러한 이유로 모바일 기기에서는 숫자로 된 PIN을 입력하거나 패턴을 이용하는 방법으로 사용자 인증을 수행하는 추세다. 최근 모바일 기기의 인증은 점차 발전해 음성인식, 지문인식, 홍채인식, USIM 기반 인증기술들이 사용돼 간편하면서 보안강도가 높은 기술을 적용하는 추세다. 현재 사용자 인증을 위해 사용되는 인증방식들은 크게 지식 기반, 소유 기반, 생체 기반으로 구분되며 각 인증방식은 사용자 편의성, 보안성 등에서 차이점을 가지고 있다. 특히 생체인식 기술이 최근 부각되고 있는 이유는 기존의 인증방식에 비해 복제 및 분실의 위험성이 적으며 보다 높은 수준의 보안성을 확보할 수 있기 때문이다. 현재 지정맥 인증, 비접촉 지문인식 등 다양한 생물학적 기반의 생체인증 기술이 실용화 중에 있다. 지문인식 및 홍채인식이 탑재된 스마트폰도 출시돼 생체인증이 대중화되고 있다. 이러한 생물학적인 특징을 이용하는 생체인증의 경우 서버에 저장된 생체정보가 탈취되면 재발급이 불가능하기 때문에 최근 행위기반의 생체인증에 대한 관심이 높아지고 있다. 지금까지 대부분의 생체인증도 손쉽게 해킹되면 재사용이 가능하기 때문에 보안성이 확보되지 않은 곳에서는 생체인증을 사용할 경우도 심각한 보안 이슈가 발생한다.
FIDO(Fast IDentity Online)는 인증수단과 인증프로토콜을 분리해 보안성을 높이면서 사용자의 편리성도 높이는 기술로 스마트 모바일 환경에 적합한 인증기술이다. FIDO 얼라이언스(Alliance)는 2012년 7월 설립돼 온라인 환경에서 편리하고 안전한 인증시스템을 구축하기 위한 기술표준을 정의하는 연합체다. 현재 아마존, 구글, 삼성, ARM, 마이크로소프트 등 글로벌 기업들이 가입되어 있다. FIDO 핵심은 사용자인증과 원격인증 프로토콜의 분리이며, 사용자 인증수단은 바이오, 토큰, PIN, 패턴 등 다양한 인증을 처리하는 과정이며, 인증장치 내에서 생성된 개인 공개키로 서버는 등록된 원격인증 한다. 즉, 기존 서버의 변경 없이 다양한 인증수단이 사용 가능하다. FIDO 구성요소는 클라이언트와 서버 그리고 두 개체 간에 송수신하는 프로토콜로 구성돼 있으며, FIDO Alliance는 UAF(Universal Authentication Framework)와 U2F(Universal 2nd Factor) 프로토콜을 제안하고 있다.
UAF 프로토콜은 사용자 기기에서 제공하는 인증방법을 온라인 서비스와 연동해 사용자를 인증하는 기술이다. U2F 프로토콜은 기존 패스워드를 사용하는 온라인 서비스에서 인증요소로 사용자 로그인 시에 추가할 수 있는 프로토콜이다. FIDO 클라이언트는 FIDO 인증토큰과 인증토큰 API와 연동하는 역할을 하고 있다. 즉 API만 준용하면 어떤 종류의 인증토큰이라도 FIDO 클라이언트에서 사용할 수 있다. 클라이언트의 다른 역할은 FIDO 서버와 프로토콜을 송수신하며 등록, 인증, 조회 서비스를 제공하는 것이다. FIDO 서버는 클라이언트와 UAF 프로토콜을 주고받아 서비스를 제공하는 것이 주 역할이다. 서버는 클라이언트가 제시하는 인증토큰을 검증하고 등록하는 과정을 수행하고 등록된 인증토큰을 관리해 사용자가 인증을 요청할 때 검증하는 작업을 수행한다. 따라서 사용자는 생체인식 또는 패턴인식 등을 이용해 서비스에 로그인할 수 있어 편리성을 제공할 수 있고 클라이언트와 서버 간은 공개키 기반으로 사용자를 인증해 패스워드보다 더욱 안전성을 보장할 수 있다.
그러나 FIDO를 적용하기 위해서는 서버에 새로운 프로토콜을 처리할 수 있는 소프트웨어를 설치해야 하는 문제가 있다. 또한 사용자 환경에도 FIDO 기반 인증 시스템이 설치돼야 사용자 인증에 사용할 수 있다. FIDO는 스마트 모바일 환경에 더욱 적합하며 웹브라우저를 사용하는 기존의 PC 환경에 적용하기에는 적당하지 않다. 최근 FIDO는 일반적인 서비스의 인증보다는 온라인 지불 결제 시 인증수단으로 사용되고 있다. 예를 들면, 삼성은 FIDO 기반의 생체인식 스마트폰 및 FIDO 기반 삼성페이를 출시했고, NTT 도코모, 화웨이, LG 등 스마트폰 업체는 FIDO 기반의 생체인식 스마트폰 출시했다. Bank of America는 FIDO 기반 뱅킹 응용서비스를 제공하고 있다. 현재 미국 NIST, 영국 정부에 이어 독일 정부의 참여로 FIDO 표준이 전 세계적으로 확산되고 있다.
이러한 글로벌 추세를 맞춰 우리나라도 FIDO 기반의 생체인증 서비스 기술 개발 확산을 위한 산·학·연 협력 체제를 수립해야 한다. 또한 국제표준화기구와 긴밀한 협력을 통해 국제표준에 적극적으로 대처해야 한다. 국제표준의 범정부적 보급, 확산 및 정보공유를 추진하고 동시에 민간 수요를 창출할 수 있는 응용서비스 기술 개발해 새로운 시장을 개척해야 한다.
