스마트폰 등 모바일 기기를 중심으로 확산한 생체인증 기술이 PC, 웹 사이트까지 파고들기 시작했다. 지문인식, 홍채인식 등을 활용해 웹 사이트 로그인을 하거나 번거로운 비밀번호 입력 없이 인터넷 쇼핑 결제까지 할 수 있는 시대가 성큼 다가올 전망이다.

생체인증 이미지. / IT조선DB
생체인증 이미지. / IT조선DB
국제 온라인 인증 표준화 단체 파이도(FIDO, Fast IDentity Online) 얼라이언스는 최근 국제 웹 표준화 단체(W3C)와의 협업으로 2세대 파이도 표준 'FIDO2'를 공개했다.

파이도 얼라이언스는 기존 비밀번호에 대한 의존에서 벗어나 더욱 강력하고 편리한 표준 인증 기술 구현을 목표로 2012년 7월 출범한 글로벌 비영리 단체다. 구글, 마이크로소프트, 삼성전자, 아마존, 페이팔, NTT도코모 등 전 세계 260개 회원사를 바탕으로 한국, 유럽, 인도, 일본, 중국에 워킹 그룹을 운영 중이다.

FIDO2가 적용되면 사용자는 PC, 노트북, 모바일 기기에 탑재된 지문인식기는 물론, 기기 자체에 생체인식 장치가 없어도 외부 인증 기기와 연동해 로그인을 수행할 수 있다. 기기 로그인뿐 아니라 웹 사이트 비밀번호 등도 대체할 수 있어 복잡한 비밀번호를 일일이 기억하고 타이핑할 필요가 없어진다.

예를 들어 지문인식기가 없는 노트북의 경우 별도의 동글을 이용해 생체인증을 수행하고, 두 기기를 블루투스로 연결해 노트북에서 로그인을 수행할 수 있게 되는 것이다.

사용자 인증 정보와 생체 정보는 사용자 기기 내에서만 처리되고 외부로 빠져나가지 않는다. 서비스 제공자의 서버에도 저장되지 않는다. 유출된 비밀번호를 악용하는 피싱이나 중간자 공격 등으로부터 계정을 안전하게 보호할 수 있다.

FIDO2의 핵심은 웹 애플리케이션 개발자를 위한 웹 인증 기술 'Webauthn'과 사용자 기기를 외부 인증 디바이스와 연결해주는 프로토콜 'CTAP(Client to Authenticator Protocol)'이다.

WebAuthn은 인터넷 사용자가 브라우저를 사용해 여러 웹 사이트 및 기기에서 안전하게 온라인 인증을 할 수 있는 새로운 방법을 브라우저와 웹 플랫폼 인프라에 표준화된 애플리케이션 프로그램 인터페이스(API)로 정의한 것이다.

CTAP는 보안 키와 같은 외부 인증 디바이스에서 생성한 인증 증명서를 USB, 블루투스, 근거리 무선통신(NFC) 등을 통해 사용자 PC, 스마트폰 등 인터넷 접속 기기와 안전하게 교신할 수 있도록 해준다.

파이도 얼라이언스에 따르면 현재 구글, 마이크로소프트, 모질라, 오페라 등 주요 브라우저 업체는 WebAuthn을 기본으로 지원하기로 했다. 이에 따라 향후 윈도, 맥, 리눅스, 크롬 OS, 안드로이드 플랫폼에 적용될 예정이다.

제프 자페 W3C 최고경영자는 "비밀번호에 의존하는 것은 웹 보안에 있어서 가장 취약한 부분 중 하나로, 다중 인증 요소를 포함하는 새로운 생체인증 표준을 웹 인증 기술의 접목은 그 취약한 부분을 제거할 것이다"라며 "FIDO2는 사람들이 웹을 이용하기 위해 컴퓨터와 스마트 기기에 접속하는 형태에 큰 변화를 가져올 것이다"라고 말했다.

#파이도 #FIDO #생체인증 #지문 #홍채 #인터넷 #보안 #비밀번호