전기전자/정보통신

Nikkei Computer_2019.4.18 특집 요약 (p36~43)

패스워드는 이제 안녕
‘비밀’은 유출될 수 있다. 앞으로는 FIDO로 대응

“절대 비밀이야”.
이렇게 다짐했던 비밀이 유출되는 일은 드물지 않다. 패스워드도 마찬가지다. 이용자와 서버간에 ‘비밀’을 공유하는 방식은 이미 한계에 다다랐다. 억 단위의 유출 정보가 유통되는 현 시대. 이를 극복할 수 있는 열쇠는 새로운 기술인 ‘FIDO(Fast IDentity Online)에 달려있다.

패스워드가 위기에 노출되는 사건이 끊이질 않고 있다. 미국 페이스북은 2019년 3월 21일(미국 현지 시간), 페이스북 등의 사용자 수 억 명분의 패스워드를 사내 시스템에 문서 형태로 보존하고 있었다고 발표. 국내에서는 2019년 1월 24일, 오지스종합연구소가 파일전송서비스인 ‘타구파일빈(宅ふぁいる便)’의 전체 등록자의 패스워드 480만건이 유출되었다고 공표했다.

유출된 ID 및 패스워드는 특수한 접속 수단이 필요한 ‘다크웹 (Dark Web)’뿐만 아니라, 일반 인터넷을 통해서도 유통되고 있다. 수억 건의 규모에 달하는 거대 파일도 존재한다.

소리톤 시스템즈의 나가야(長谷) 이사집행위원은 “유출 데이터가 한번 유통되면 없어지지 않는다”라고 잘라 말한다. 사이버 범죄자는 유출 정보를 밑천으로 다른 웹사이트에 부정으로 로그인하는 ‘리스트 형 공격’을 꾀하며 악순환은 이어진다.

정보를 누설 당한 사업자가 취할 수 있는 방법은 유저에게 동일한 패스워드를 사용하고 있는 서비스의 패스워드를 변경하라고 호소하는 것뿐이다. “가능하다면 패스워드를 가지고 있기 싫다”라고 LINE의 이치하라(市原) 시큐리티 전략팀 매니저는 본심을 토로한다.

이용자도 패스워드 이용에 지쳐있다. “번복해서 쓰면 안 된다” “유추하기 어렵게 해야 한다” “정기적으로 변경을 해야 한다”---. 쓸 때마다 이렇게 들어왔기 때문이다.

정보처리추진기구(IPA)가 2018년 12월에 공표한 시큐리티 관련 의식조사에 따르면, 인터넷 서비스의 개정을 ‘6개 이상’ 가진 응답자의 비율이 40%를 넘어섰다. 21개 이상의 개정을 가진 사람도 10%가 넘었다.

따라서 패스워드 관리가 번거롭다. “서비스마다 다른 패스워드를 설정하고 있다(돌려 쓰지 않는다)”고 응답한 사람은 절반에도 미치지 못하는 48%였다. “패스워드를 정기적으로 변경하고 있다”라는 응답자는 30%에 그쳤다.

패스워드 관리의 부담을 사용자에게 떠맡기는 방식은 이미 한계에 와있다. 안전한 로그인 구조를 제공하기 위해 웹 서비스 사업자와 IT밴더가 ‘패스워드리스’의 기술 개발과 보급에 나서기 시작했다.

-- 패스워드리스가 1년만에 4배로 --
“패스워드를 설정하지 않고 야후 재팬을 사용하는 이용자 수가 순조롭게 증가하고 있다”. 야후의 사카이(酒井) 서비스총괄본부 패스워드리스 프로젝트 매니저는 이 같은 반응에 대해 설명한다.

야후의 웹 서비스에 월 1회이상 로그인하는 ‘액티브 유저’ 수는 4,700만명 이상. 그 중 20%인 800만명 이상이 패스워드를 설정하지 않고 로그인 한다. 1년간 약 4배가 증가했다.

지금까지는 이 프로젝트를 단계적으로 추진해 왔다. 먼저 2017년 4월에 패스워드를 설정하지 않고 신규 ID를 등록할 수 있는 기능을 제공하기 시작. 등록된 휴대폰으로의 SMS(Short Message Service) 및 메일로 확인 코드를 전송해 이용자가 확인 코드를 정확하게 입력하면 로그인 할 수 있는 ‘SMS 인증’ 방식을 도입했다.

패스워드로 로그인 하지 않기 때문에 부정 접속을 방지하기 쉽고 이용자는 패스워드를 기억해야 할 필요가 없다. 1년 후인 2018년 5월에는 등록된 패스워드를 무효로 하는 기능을 제공하기 시작했다.

그리고 2018년 10월, FIDO2(파이도2)로 불리는 구조를 일본 기업에서 가장 먼저 도입했다. 스마트폰의 웹 브라우저에서 로그인 하려고 하는 이용자를 스마트폰 생체인증을 사용해 인증하는 시스템이다. 구글의 OS ’Android’의 버전7.0 이후에 탑재한 스마트폰으로 구글의 웹 브라우저인 ‘Chrome’을 이용하면 지문 센서 등을 사용해 패스워드리스로 로그인 할 수 있다.

-- Web의 표준으로서 권고 --
“취약한 패스워드를 뛰어넘어 웹 이용자의 보안 및 체험을 향상시킬 때가 왔다”. 2019년 3월 4일에 인터넷의 표준화단체 W3C(월드와이드웹컨소시엄)의 제프 자페 CEO는 이렇게 선언해 패스워드 없이도 로그인을 실현하는 사양, ‘Web Authentication (WebAuthn)’을 웹의 표준 기술로서 권고했다. 앞으로 웹 브라우저는 WebAuthn으로 반응할 필요가 있다.

WebAuthn의 기초가 된 것은 야후가 도입한 FIDO2이다. 2012년 설립한 업계단체, FIDO 얼라이언스는 패스워드 및 생체 정보 등을 네트워크 상에 노출하지 않고 개인을 인증하는 규격의 표준화에 힘써 왔다.

현재는 마이크로소프트 및 구글, 아마존닷컴, 페이스북 등이 보드멤버로 이름을 올리고 있다. 생체 인증 장치 등의 ‘인증기기’를 이용해 본인 여부를 단말기 측에서 검증해 그 인증기기가 등록된 상태인지를 서버 측에서 인증함으로써 개인을 인증하는 방식이다.

2014년에 등록한 FIDO의 버전1에서는 스마트폰의 앱이 인증기기를 불러 내는 방식을 상정하고 있었다. NTT도코모가 ID관리 서비스 ‘d 어카운트’의 인증에 채택했을 뿐만 어니라, 미즈호은행 및 미쓰비시 UFJ은행이 인터넷 뱅킹 앱의 인증에 도입했다.

2018년 공개된 FIDO2에서는 웹 브라우저로부터 JavaScript를 통해 인증기기를 불러내는 방식을 정했다. W3C는 이 FIDO2를 웹 표준에 도입했다. 웹 브라우저는 가장 먼저 대응한 상태이다. 구글의 Chrome, 마이크로소프트의 ‘Edge’, 미국 모질라 재단의 ‘Firefox’의 최신판은 모두 FIDO2에 대응. 애플은 FIDO2에 대응한 ‘Safari’의 프리뷰 판을 공개 중이다.

-- LINE도 올해 안에 FIDO 채택 --
LINE도 가까운 시일 내에 FIDO에 의한 인증을 시작할 예정이다. LINE에서 ID 관련의 시스템을 담당하는 이치하라 매니저는 “2019년 안에 FinTech 관련의 서비스에 도입한다”라고 밝혔다. FIDO 버전1의 UAF 규격을 사용해 LINE 앱으로부터 스마트폰 내의 인증기기를 통해 본인 확인을 할 수 있게 할 계획이다.

실은 QR 코드 결재 서비스인 ‘LINE Pay’에 있어서 결재 시에 스마트폰의 생체 인증 장치를 불러내는 시스템을 이미 장착하고 있다. 다만, 사전에 설정한 개인 식별 번호(PIN)를 스마트폰 OS에 의한 생체 인증으로 승인을 요청하는 방식이다. “FIDO 대응으로 바뀌어도 이용자는 차이를 잘 모를 수 있다. 그렇지만 스마트폰 OS와 어플리케이션 간에 PIN 교환이 불필요해져 보안이 강화되는 효과가 크다” (이치하라 매니저).

LINE은 PC의 웹 브라우저에서 LINE에 로그인 할 수 있는 서비스도 올해 안에 FIDO2에 대응시키는 등, 패스워드리스 인증의 적용 범위를 확대할 계획이다. FIDO의 전체 규격에 대응하는 인증 서버를 이미 구축한 상태이며 2018년 12월에는 FIDO 얼라이언스의 인증을 받았다.

-- 업무 시스템의 로그인을 간단하게 --
사원이 사용하는 업무 시스템에서 FIDO에 의한 인증을 사용하는 기업도 등장했다. 도쿄전력 홀딩스 산하로, 송배전 사업을 맡고 있는 도쿄전력 파워 그리드(PG)가 그 중 하나이다.

도쿄전력 PG의 사내 규정에서는 사원들만 접속하는 업무 시스템에서는 복잡한 패스워드를 설정해야 할 필요가 있다. “업무 개혁을 목적으로 새로운 시스템을 구축해도 패스워드가 번잡하다는 이유로 사용하지 않게 되면 의미가 없다고 생각했다”. 배전부 배전업무개혁그룹의 미나미데(南出)팀 리더는 FIDO 도입의 경위를 이와 같이 회상한다.

도쿄전력 PG는 2019년 3월, 새로운 시스템인 ‘TEPCO 스냅’을 가동시켰다. 전선의 절단 및 전봇대가 기울어지는 것과 같은 사고를 주민이 통보하는 경우, 현장 사진을 올려 받기 위한 시스템이다.

해당 시스템에 의해 도쿄전력 PG의 보수 담당자는 사진을 보고 복구 수리 작업의 위급 정도를 판단하거나 자사 설비인지 타사 설비인지를 판단할 수 있게 되었다. 현장에 출동해 타사의 통신선이 절단된 것이라는 사실을 확인한 뒤에 해당 기업에 의뢰하는 등의 번거로움을 줄일 수 있다.

‘TEPCO 스냅’은 회사 전체에서 ‘개선’활동의 일환으로 구축했다. “스피드를 최우선으로, 우선은 클라우드 상에서 구축해 사용하면서 개량을 반복하는 방침으로 추진했다”라고 배전업무개혁그룹의 와다(和田) 씨는 말한다. 클라우드 상에서 구축했기 때문에 사내 시스템용으로 도입을 마친 싱글 사인 온(Single Sign-On, SSO)의 시스템은 사용할 수 없다.

이에 시스템 이용자인 약 2,000명의 유지보수 담당자가 복잡한 패스워드를 매번 입력하지 않아도 시큐리티를 보장할 수 있는 시스템으로서 FIDO를 채택하기로 결정. 스마트폰이나 PC의 웹 브라우저에서 TEPCO 스냅의 서버에 접속하면 FIDO 인증 서버로부터 본인 확인이 요구된다.

스마트폰 상의 인증 앱이 FIDO의 인증기기로서 작동해 스마트폰의 지문센서로 본인이 확인되면 필요한 정보를 인증 서버에 건네준다. 이것으로 로그인이 완료되는 방식이다.

-- 생체 인증으로 싱글 사인 온(통합 로그인) --
기업용 IT서비스를 제공하는 밴더에서도 패스워드리스로의 움직임이 나오고 있다. 마이크로소프트는 2018년 11월 FIDO2 대응의 생체 인증 기기와 웹 브라우저를 이용해 ID관리 서비스인 ‘Azure Active Directory(AD)’에 패스워드리스로 로그인할 수 있게 하는 계획을 공표했다. 2019년 안에 프리뷰 판을 공개한다.

마이크로소프트는 2018년 11월부터 소비자용 ID관리 서비스인 ‘Microsoft Account’에서 웹 브라우저의 Edge로부터 FIDO2를 사용해 패스워드리스로 로그인할 수 있는 기능을 제공하고 있다. 이것과 동일한 기능을 기업용으로 제공하는 모양새이다.

“취약한 패스워드 사용을 줄이고 싶다”. 일본 마이크로소프트의 후지모토(藤本) 마이크로소프트 365비즈니스 본부 시큐리티 비즈니스개발부 부장은 말한다. 기업에 대해 일단은 싱글 사인 온의 서비스로도 이용할 수 있는 Azure AD와의 ID 연계로 각종 웹 서비스에 로그인 하는 형태를 제안해 나간다.

NTT커뮤니케이션즈는 2019년 2월부터 기업용 ID관리 서비스인 ‘ID Federation’에서 ‘생체 인증 메뉴’를 제공하기 시작했다. 온프레미스의 업무 시스템에서의 로그인을 패스워드리스로 하고 싶어 하는 잠재적 수요를 개척하기 위한 목적이다.

서비스 도입 기업의 사원에게는 얼굴 인증 및 지문 인증, 성문 인식의 기능을 갖춘 전용 스마트폰 앱을 배포한다. PC로부터 사내 시스템 및 웹 서비스에 로그인 하려고 하면 ID Federation의 인증 서버로부터 앱에 본인 확인의 요구가 뜬다. 등록된 얼굴 및 지문으로 본인 확인이 이루어지면 접속 측의 시스템 및 서비스에 인증 서버가 ID정보를 건네주는 방식이다.

“FIDO나 생체인증에 관한 상담이 상당량 늘고 있다”라고 어플리케이션 플랫폼부문 제3그룹 전민경 씨는 말한다. 패스워드리스의 세계가 점점 가까워지고 있다.

▶ FIDO2의 3가지 이점
1. PC나 핸드폰의 여러 웹 브라우저로 이용할 수 있다.
2. 복수의 제조사 인증기기에 대응한다.
3. 개인을 특정하는 정보가 네트워크 상에 돌아다니지 않는다.

 -- 끝 --