스마트폰으로 PC의 웹사이트 간편 인증

[사진=게티이미지]
[사진=게티이미지]

구글, 마이크로소프트(MS), 애플이 FIDO얼라이언스, 월드와이드웹컨소시엄(W3C)의 비밀번호(PW) 없는 로그인 표준에 대한 지원을 확대한다. 전세계 PC, 스마트폰, 플랫폼 시장의 빅3의 지원으로 암호 없는 온라인 세계의 구현이 앞당겨질 것으로 기대된다.

암호 없는 로그인은 주변에서 익숙하게 사용하는 기능이다. 스마트폰에서 얼굴인식, 혹은 지문인식으로 잠금화면을 해제하는 것이 그것으로, 이미 전세계 수십억개의 스마트폰을 통해 활용되고 있다.

하지만 이번 발표는 스마트폰과 각사 플랫폼간 경계를 넘어 암호없는 로그인을 활용할 수 있다는 점에서 의미가 있다.

주요 내용은 두 가지다. 모든 계정을 모든 계정을 다시 등록할 필요 없이 새 기기를 포함한 다수의 장치에서 FIDO 로그인 자격증명(패스키)을 통한 자동 액세스 지원하는 점, 사용자 모바일 장치에서 FIDO 인증을 활용해 실행 중인 OS 플랫폼, 브라우저에 관계없이 주변 장치에서 로그인 지원 등이 그것이다.

가령 PC에서 이용하려는 웹사이트의 로그인 요청을 번거로운 ID/PW 요청 없이 주변의 스마트폰으로 간단하게 해결할 수 있음은 물론, 새로운 폰으로 변경하거나 OS 복구를 진행할 때에도 FIDO 자격증명을 활용해 복잡한 인증의 번거로움 없이 사용할 수 있다. 

이는 FIDO얼라이언스와 W3C가 새롭게 발표한 다중장치 FIDO 자격증명(Multi-Device FIDO Credentials)을 활용한 것이다. 따라서 플랫폼 빅3의 지원 확대 발표는 다중장치 FIDO 자격증명가 범용화된 인증 수단으로 자리잡는 계기로 주목된다. 

다중장치 FIDO 인증의 핵심은 동기화다. 여러 장치에 걸쳐 FIDO 자격증명의 암호화 키(키 A)를 동기화함으로써 인증을 유지하는 것이다. 더불어 동기화되지 않는 추가 장치 바인딩 키(키 B, 키 C)를 사용해 자격증명이 이미 승인된 기기, 혹은 새로운 장치에서 발생하는지를 확인할 수 있다. [그림 참조]

다중장치 FIDO 자격증명과 단일장치 FIDO 자격증명 비교 [이미지=FIDO얼라이언스]
다중장치 FIDO 자격증명과 단일장치 FIDO 자격증명 비교 [이미지=FIDO얼라이언스]

이를 통해 여러 기기에서 쉽게 사용자의 신원을 증명할 뿐 아니라, 사용자가 새로운 기기를 이용할 때에도 손쉬운 인증이 가능하다.

새로운 폰을 구입했다면, FIDO 인증이 활용된 기존의 PC를 통해 새로운 폰을 인증하고 활용할 수 있다. 즉 어떤 경우에도 암호가 요구되지 않는 온라인 세계를 구현할 수 있게 되는 것이다. 

이러한 모습은 FIDO얼라이언스와 W3C가 협력해 FIDO2 표준을 제창할 때부터 부르짖던 것이며, 이제 수년간의 노력과 투자 속에서 그 결실을 맺고 있다. FIDO얼라이언스에 따르면, 구글과 MS, 애플은 현재 이러한 기능을 각 플랫폼에서 지원하기 위한 추가 개발을 진행 중이며, 내년부터 적용될 전망이다.

◆FIDO2, 넌 누구냐?
FIDO2의 ‘2’는 FIDO의 두 번째 표준이라는 의미를 지니지만 서로를 보완해 더 쉽고 안전하게 만든다는 의미도 갖고 있다. 상호보완하는 대상은 FIDO 표준과 W3C의 웹인증(WebAuthn)으로, 빠르고 간편한 인증을 위해 탄생한 FIDO얼라이언스와 인터넷 표준화 단체인 W3C의 협업을 의미한다. 

2019년 3월 W3C 공식 웹 표준으로 승인된 웹인증은 사용자가 선호하는 방식이나 기기를 사용해 인터넷 계정에 로그인할 수 있도록 한다.

웹인증의 인증방식은 ‘신뢰된 중재인’이라고 생각하면 이해가 쉬운데, 사용자 신원을 신뢰된 중재인을 통해 증명함으로써 로그인을 허용하는 것이다. 여기서 신뢰된 중재자란, 스마트폰(얼굴/지문인식, PIN), 윈도우 헬로(얼굴/지문인식, PIN) 등이다. 

중재자는 이미 ‘신뢰된 상태’이기에 이용하려는 서비스에서는 암호, 지문 등을 요구하지 않으며, 저장하지도 않는다. 이는 신뢰된 중재자의 역할이기 때문이다. 

웹인증 방식에서 사용자의 민감정보인 얼굴/지문 등은 개인키를 생성하는 일종의 디지털 서명으로만 활용되며, 생성된 개인키가 전송돼 공개키와 적절한 키 쌍을 형성했는지만을 검증한다. 즉 지문 등 민감정보는 사용자 로컬 기기 내부에서만 유지되도록 안전하게 보호된다. 

현재 윈도우10, 안드로이드 플랫폼과 구글 크롬, MS 엣지, 애플 사파리, 모질라 파이어폭스 등 주요 웹브라우저가 모두 웹인증을 지원하고 있으며, 온라인 서비스들이 웹인증을 구축할 수 있도록 표준 웹 API가 제공되고 있다.

FIDO2의 두 번째 핵심은 클라이언트-인증자 프로토콜(CTAP)로, 확장성을 담당한다. 브라우저에서 와이파이, 블루투스 등을 활용해 스마트폰과 같은 외부 장치를 연결해 웹인증 활용할 수 있도록 하는 규격이 바로 CTAP로, 이를 통해 지문센서, 카메라가 등이 없는 구형 기기에서도 웹인증을 활용할 수 있다.

◆편리성과 안전성, 공존 가능할까?
“편리함과 안전은 공존할 수 없다”는 말은 보안 전문가들에게는 일종의 격언과 같다. 안전을 위해 일정 자릿수 이상의 비밀번호를 요구하고, 하나의 인증 방식이 아닌 두 가지 방식의 인증(예 : ID/PW + OTP)을 요구하는 등 계속해서 보안 단계를 추가하고 있다. 

하지만 이러한 노력에도 불구하고 ID 도용의 문제는 끊이지 않고 있다. FIDP얼라이언스에 따르면, 사용자는 90개 이상의 온라인 계정을 갖고 있으며 절반 이상의 비밀번호가 재사용되고 있다.

각 계정의 ID/PW를 일일이 기억하기란 불가능한 까닭에 여러 사이트에 걸쳐 ID/PW를 중복, 재활용하고 있는 것이다.

더불어 사이버 공격자들은 이러한 취약점을 겨냥하고 있다. 단 한 번이라도 ID/PW 탈취에 성공한다면, 이는 다양한 공격 루트로 활용되는 만능열쇠가 될 수 있기 때문이다. 데이터 침해 사고의 80% 이상은 ID/PW 탈취로 인한 계정 도용이라는 보고도 있다. 

ID/PW를 기억해야 하는 사용자 불편을 해소하는 비밀번호 없는 로그인이 ID/PW 중복사용의 보안 취약점을 해결하는 역설적인 열쇠가 될 수 있을까? 

FIDO얼라이언스는 다중장치 FIDO 자격증명가 더 편리하지만 동시에 투팩터인증보다도 강력하다고 주장한다. FIDO얼라이언스가 기존 표준에서 투팩터 인증을 지원하는 FIDO U2F 규격을 마련했음을 고려하면 이는 획기적인 변화다. 

편의성이 높은 비밀번호부터 보안성이 높은 스마트카드까지 모두 암호없는 로그인으로 대체할 수 있다는 FIDO의 비전. [source=FIDO얼라이언스]
편의성이 높은 비밀번호부터 보안성이 높은 스마트카드까지 모두 암호없는 로그인으로 대체할 수 있다는 FIDO의 비전. [source=FIDO얼라이언스]

FIDO얼라이언스에 따르면, 자격증명은 자동으로 백업되기 때문에 비밀번호 분실에 대한 어떤 손실의 위험도 없으며 새로운 기기 등으로의 교체도 더 편리하다.

이와 동시에 사이버 공격자들에게 암호 데이터베이스 공격을 더 이상 매력적 표적으로 보이지 않게 만듦으로써 보안성을 높이는 효과가 있다. 생체정보 등 FIDO2 자격증명은 사용자의 장치에만 유지되며, 서버에 저장되지 않기 때문이다. 

기업 입장에서도 비밀번호 없는 로그인이 큰 이점을 가져다 준다. 비밀번호를 분실한 사용자의 1/3은 온라인 구매를 포기한다는 조사는 로그인의 편의성 개선 시에 거둘 수 있는 막대한 잠재적 이익을 보여준다.

또 고객의 비밀번호 재설정을 위한 헬프데스크 인건비가 평균 70달러에 달한다는 보고는 로그인 개선이 직접적인 비용절감의 효과를 거둘 수 있음을 의미한다.

◆암호는 완전히 사라질 수 있을까?
현재 90% 이상의 웹 브라우저와 출시되는 대부분의 스마트폰과 PC에서 FIDO2를 지원하고 있다. 하지만 암호가 단숨에 사라지기를 기대하기는 쉽지 않다. 

모든 사람들이 FIDO2 표준을 지원하는 기기를 보유하고 있지 않으며, 이러한 방식을 모든 사용자가 받아들인 것은 아니기 때문이다. 서비스 기업들은 암호가 없는 로그인 체계와 암호 기반 로그인 체계를 병행해 유지해야 한다.

그 기간 역시 결코 짧지 않을 것으로 전망된다. 2014년 4월 지원이 공식 종료된 윈도우XP의 경우에도 아직까지도 전세계 점유율이 0.44%(스탯카운터 자료, 4월 기준)에 달한다. 호환성 등으로 인해 OS로 교체할 수 없는 수요가 존재하기 때문이다.

이에 비춰보면, FIDO의 암호없는 로그인을 지원하는 버전에 전세계 대부분의 사람들이 도달하려면 최소 몇 년 이상이 필요하다. 

사이버보안에서 언제나 완벽한 대안은 없다는 점도 생각해야 한다. 암호없는 로그인이 보편성을 지닐 수 있지만, 최고의 보안성을 요구하는 곳에서는 암호 혹은 이에 준하는 다른 보안 수단이 계속 요구될 것이다.

그럼에도 암호없는 로그인이란 혁신은 주목할 만하다. 수많은 ID와 비밀번호의 늪에 빠진 사용자들과 ID/PW를 겨냥한 사이버 범죄자들의 공격에 시달리는 기업들의 현재 상황을 타개할 수 있는 계기가 될 수 있기 때문이다.

또 사용자 편의성과 안전성을 동시에 만족시킬 수 있다는 가능성도 눈여겨 볼 부분이다. 

관련기사

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지