기존 패스워드 인증 대체하는 첨단 인증방식 도입
FIDO 2.0, 모바일 넘어 모든 기기에 인증표준 적용

최근 과학기술정보통신부가 공인인증서 제도 폐지를 담은 '전자서명법' 전부개정안을 입법예고하며 공인인증을 대체하는 주요 수단으로 FIDO 기반의 인증방식이 주목 받고 있다.

FIDO(Fast Identity Online)는 기존의 패스워드 인증 외 생체인증, NFC 등 다양한 인증 방식을 통해 정보보호를 강화하고 서비스 이용 절차를 간소화시킬 수 있는 표준화된 인증 생태계다.

FIDO 얼라이언스(Alliance)는 기존의 패스워드에 의존적인 인증 방식으로 인한 개인의 민감 정보 유출을 방지하고 전 세계 공통의 표준화된 인증 프로토콜 제공을 목적으로 2013년 2월 공식 출범했으며 올해 6월 기준 전세계 260여개 회원사가 참여하고 있다.

FIDO 얼라이언스 출범 전 인증 시스템 및 솔루션들은 대부분 특허 등록이 되어 있어 이용을 원하는 기업이나 기관은 상당한 비용 부담이 불가피했다.

또 기존 인증시스템 및 솔루션들이 상당수 확장성 및 호환성이 부족해 단말(기기)별, 제공 서비스별로 매번 재구축해야 하는 경우가 빈번하게 발생해 단일 인증시스템 및 솔루션에 대한 니즈가 높아졌다.

한국은 지난해 12월 FIDO 워킹그룹 공식출범 후 국내 21개 금융회사, 7개 신용평가회사에서  FIDO 인증 표준을 도입했으며 향후 공인인증서 제도가 폐지되면 국내 FIDO 인증 도입사례는 더욱 많아질 것으로 예상된다.

보안전문가들은 최근 FIDO 얼라이언스 내에서 FIDO2.0 프로젝트가 추진되며 모바일 뿐만 아닌 거의 모든 기기와 환경에서 표준화된 인증서비스를 제공할 수 있을 것으로 전망하고 있다.

기존 FIDO1.0이 주로 모바일 인증 환경에 국한돼 있었다면 FIDO2.0은 거의 모든 기기에서 제한 없이 NFC, 블루투스 등 여러 통신방식을 이용해 웹 인증 서비스를 이용할 수 있다.

FIDO는 인증정보를 서버에 저장하고 검증하는 방식이 아니기 때문에 해킹 등 위협에 노출될 확률이 적고 서비스 이용 고객 입장에서 복잡한 패스워드를 외울 필요 없이 간편하게 인증을 할 수 있다는 장점이 있다.

하지만 보안전문가들은 FIDO 인증 방식의 여러 장점 및 IoT 기기와의 높은 융합 가능성에도 불구하고 신중한 검토가 필요하다고 강조한다.

우선 FIDO 등록 및 인증을 위해 생성한 공개키와 개인키는 그 값이 변하지 않으며 사용 만기 개념도 없기 때문에 사실상 고객 기기에 저장돼 있는 개인키 유출 가능성에 따라 보안 수준이 결정된다.

또 개인키는 특정 웹 서비스에 대해 FIDO 등록을 완료한 특정 기기 내에만 존재해야 하기 때문에 해당 기기가 분실되거나 하드웨어 오작동 시 고객의 특정 웹 서비스 이용을 위한 로그인이 제한된다.

특히 금융거래 처리 및 개인의료정보 열람 등을 위해 고객의 명시적 동의가 필요한 경우 현행 FIDO 체제에서는 단순 서명기록만 확인할 수 있고 고객의 의도를 특정할 수 없어 법적 분쟁이 발생할 수 있는 가능성이 있다.

금융결제원 이효섭 연구원은 “FIDO2.0은 IoT 기기 수가 급속도로 증가하는 현 시장 환경에서 스마트폰, 웨어러블 기기, PC 등에서 생체인증 등 다양한 인증서비스를 지원할 수 있어 서비스 이용 편의성 제고할 수 있다”며 “하지만 FIDO 인증과 관련해 키 값 만기, 서비스 유연성, 악의적 인증요청, 고객의 명시적 동의 등 보완이 필요한 부분에 대해 충분한 검토가 필요하다”고 조언했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지