전기전자/정보통신

Nikkei Computer_2022.7.7 키워드 (p61)

FIDO (Fast Identity Online)
온라인 인증 모델 규격의 하나, 공개키 암호방식 기반

FIDO는 패스워드가 필요 없는 온라인 인증 모델의 규격 중 하나로서 공개키 암호 방식을 기반으로 하며, 사용자와 서버 간에 패스워드와 같은 비밀 정보를 공유하지 않는 것이 강점이다.

공개키 암호 방식은 공개키와 비밀키라는 2종류의 키를 세트로 이용한다. 2개의 키는 쌍을 이루고 있으며, 한쪽 키로 암호화한 데이터는 다른 쪽 키로만 복호화할 수 있다.

FIDO에서는 사용을 시작할 때, PC나 스마트폰 등의 사용자 디바이스(인증기)에서 공개키와 비밀키를 쌍으로 생성. 공개키만을 인증 서버에 보내고, 비밀키는 디바이스 내에서 보관한다.

인증 시에는 먼저, 인증 서버가 인증기에 '챌린지 코드'라고 불리는 랜덤 데이터를 보낸다. 챌린지 코드를 받은 인증기는 PC나 스마트폰 이용자가 정당한 사용자임을 생체인증 등으로 확인한다. 인증기는 본인인증 후 챌린지 코드에 개인키로 서명하고 인증 서버에 반송한다. 인증 서버는 서명을 공개키로 검증하여 접속을 허가한다.

이처럼 FIDO에서는 ID와 연결된 인증 정보가 네트워크에 흘러 들어가지 않는다. 또한 유저는 패스워드의 암기가 불필요해 패스워드의 돌려막기에 의한 누설 리스크도 줄일 수 있다. 안전성과 사용자 편의성을 양립할 수 있는 것이 FIDO의 특징이다.

FIDO가 필요한 배경으로는 사용자를 진짜와 꼭 닮은 가짜 사이트로 유도해 아이디와 비밀번호를 입력시켜 정보를 빼내는 피싱 사기가 급증한 것을 들 수 있다. 피싱대책협의회에 따르면 2021년 피싱 보고 건수는 52만 6,504건으로 역대 최다였던 2020년의 2배를 넘어섰다.

피싱에서는 아이디와 비밀번호를 넣은 후에 장치로 전송되는 일회용 패스워드에 의한 2단계 인증마저 해킹 당할 위험이 있다. FIDO의 경우, 사용자가 비밀번호를 입력하지 않기 때문에 피싱 피해를 입지 않아도 된다.

-- 도코모 및 애플, 구글 등이 대응 --
국내에서의 FIDO의 활용 사례로 NTT도코모의 ‘d 어카운트’가 있다. 서버에서의 패스워드 인증을 무효화하고 FIDO로 전면 이행하는 서비스도 2020년부터 제공되기 시작했다.

FIDO의 구상은 2009년에 만들어졌다. 2012년에는 인증 규격의 표준화와 도입 추진을 목표로 FIDO 얼라이언스가 설립되었다. “FIDO 기술의 발전으로 대응 디바이스도 보급되고 있다.

향후 서비스측에서 보다 적극적으로 FIDO의 실장을 추진한다면, 더 많은 보급이 이뤄질 것으로 보고 있다”. NTT 도코모의 모리야마(森山) 치프 시큐리티 아키텍트는 말한다. NTT도코모는 2015년부터 FIDO 얼라이언스의 보드 멤버를 맡고 있다.

향후에는 사용자 편의성을 더욱 높이는 움직임이 가속화될 전망이다. 2022년 5월 5일에 애플, 구글, 마이크로소프트가 FIDO의 지원을 확대할 계획을 공동으로 발표했다.

이와 같은 서포트 확대에 따라 지금까지 필요했던 단말기별 FIDO 등록이 불필요해진다. 예를 들어 아이폰으로 FIDO 인증을 할 경우, Window가 탑재된 PC에서 크롬 상의 웹사이트에 패스워드를 사용하지 않고 로그인하는 일이 가능해진다고 한다.

 -- 끝 --

Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.