보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
패스워드 없는 사용자 인증 FIDO
2016.09.07
13,847
1. FIDO(Fast Identity Online) 인증 개요
1) FIDO 정의
FIDO(Fast IDentity Online)는 온라인 환경과 스마트폰 및 노트북과 같은 디바이스에서 보안성이 높고 편리한 인증시스템을 구축하고자 기존 패스워드 방식을 사용자의 지문, 홍채, 정맥과 같은 생체 정보를 가지고 인증하는 방식으로 대체하는 기술들을 의미한다. FIDO의 기술표준을 제정하기 위해 2012년 7월 FIDO Alliance가 설립되어 현재 200여 개의 기업이 참여하고 있다.
2) 기존 지식기반 패스워드 인증의 문제점
서비스별 다른 패스워드 정책이 사용자를 혼란스럽게 하고, 사용자의 인식 한계까지만 사용하기 때문에 여러 기관에서 동일한 패스워드를 사용한다. 이는 패스워드가 유출되면 피해가 극대화 될 수 있다. 또한 패스워드를 통한 인증은 서버에 패스워드를 저장하여 관리한다는 취약점이 존재하고, 사용자 인증 부분에서 실제 사용자가 맞는지 검증하기 어려운 부분이 있다.
3) 기존 인증과의 FIDO의 비교
기존 인증의 방식은 지식기반, 소유기반으로 분류가 된다. 지식기반은 아이디, 패스워드와 같은 사용자의 기억을 토대로 인증을 하는 방식이며, 구축이 쉽고 비용이 저렴하다. 소유기반은 OTP, 보안카드, 공인인증서와 같은 사용자가 소유하고 있는 것을 기반으로 인증을 하는 방식이다. 이 둘의 공통적인 것은 패스워드를 사용하며 보안에 취약하다는 것이다. 반면에, FIDO는 개인이 가지고 있는 디바이스에 생체정보를 통한 사용자 인증을 하고 그 검증 값을 FIDO 서버에 전송하여 검증한다.
[그림 1] 기존의 인증방식
4) 현재 FIDO를 사용중인 사례
FIDO 인증방식을 채택한 삼성페이는 2015년 8월에 국내서비스를 시작하였으며 2016년 5월까지 약 9개월 만에 누적 결제금액이 1조원을 넘어섰다. 이는 FIDO의 간편한 사용성, 강력한 보안, 뛰어난 범용성이 있었기 때문에 가능한 것이다.
[그림 2] FIDO 인증 솔루션을 채택한 삼성페이
2. FIDO의 기술 표준
FIDO Alliance는 UAF와 U2F라는 두 개의 기술표준을 제시하고 있다. 첫 번째 UAF(Universal Authentication Framework)는 패스워드를 사용하지 않고, 사용자 지문, 홍채, 얼굴 인식 등의 생체 정보를 활용한 생체 인증을 말한다. 두 번째 U2F(Universal 2nd Factor)는 기존 패스워드를 사용하는 온라인 서비스에서 로컬에서 USB 장치나 NFC태그 등의 별도의 인증 장치를 사용하는 이중 인증 방식이다.
[그림 3] UAF 표준
[그림 4] U2F 표준
1) UAF(Universal Authentication Framework)
UAF는 두 개의 프로토콜로 사용자 등록과 인증으로 나누어진다. 실제 통신하는 방법은 더욱 복잡하지만 간단하게 설명을 하면 다음과 같다.
사용자 등록 프로토콜
단말기에 등록한 생체정보를 이용하면 해당 서비스에서 인증에 사용한 공개할 공개키와 비밀키가 생성되고, 공개키는 FIDO 서버로 전송되고 개인키는 디바이스 보안영역에 저장된다.
사용자 인증 프로토콜
사용자가 서버에게 서비스를 요청하게 되면 서버는 사용자에게 한 번만 사용할 수 있는 난수를 보내어 인증을 요청하게 된다. 사용자는 디바이스에 등록된 지문으로 개인키가 저장된 보안영역에서 개인키를 꺼내 난수에 전자서명을 하고 서버로 다시 전송하게 된다.
2) U2F(Universal 2ND Factor)
기존 패스워드 방식으로 1차 인증한 뒤 NFC, USB 동글 등을 이용하여 2차 인증을 추가함을 의미한다. 기존의 패스워드에 대해 상대적으로 덜 의존하며 패스워드 인증 완료 시 해당 디바이스가 추가 인증을 하게 되며 FIDO의 전자서명을 이용해 해당 사용자가 디바이스를 소유하고 있는지 여부를 확인할 수 있다.
3. FIDO의 보안상 문제점
일반적으로 사용해오던 생체정보는 서버에 저장되어 만일 유출 시에 개인의 생체 정보가 대량으로 탈취될 가능성이 높다. 특히, 생체 정보는 변경이 불가능하기 때문에 위험한데, FIDO는 생체정보를 저장하는 것이 아니라 생체정보를 공개키 기반 암호를 이용하여 전자서명을 하기 때문에 생체정보가 유출될 가능성이 적다. 또한 개인 디바이스가 분실되어도 사용자만이 가진 고유한 생체정보가 단말기의 보안영역에 저장되어 있기 때문에 다른 사용자가 개인키에 접근할 수 없다.
4. 앞으로의 발전 기대 방향과 FIDO의 미래
200여 개의 기업이 참가한 FIDO Alliance가 주도하여 기술을 발전시켜가고 기술 사양이 공개되어 있기 때문에 사실상의 표준이 될 것이라 기대된다. 일반 PC환경에서도 통합 지원하는 FIDO2.0이 상용화 됨에 따라 FIDO 기술의 보급 확산이 더욱 가속화 될 전망이다.
* 참고 자료
[1] FIDO Allance https://fidoalliance.org
[2] kica 한국정보인증 https://fido.kica.co.kr
[3] 삼성페이 FIDO 솔루션 http://www.samsungsds.com
[4] TTA 한국정보통신기술협회 http://www.tta.or.kr
[5] 전자통신동향분석 http://ettrends.etri.re.kr
[6] FIDO의 정의. 네이버 지식백과