FIDO 얼라이언스, 웹 표준화 단체 W3C와 FIDO2 공식 출시
구글·MS·모질라 등이 제공하는 웹 브라우저에서 FIDO 인증 사용
W3C는 Web API 사양을 기반으로 FIDO가 제출한 WebAuthn(Web Authentication)을 후보자 추천 상태인 CR(Candidate Recommendation) 단계로 전진시켰다. 이 성과는 30개 이상의 FIDO 회원사들로 구성된 웹 인증 워킹 그룹이 수년 동안 노력한 결과물이다.
WebAuthn이 CR로 선정 되었다는 것은 FIDO 2의 웹 표준화를 전 세계에 알리는 것으로, W3C이 온라인 서비스 제공자들과 웹 어플리케이션 개발자들에게 WebAuthn 도입을 요청하는 단계이다.
WebAuthn은 인터넷 사용자들이 브라우저를 사용하여 여러 웹 사이트 및 디바이스에서 안전하게 온라인 인증이 가능한 새로운 방법을 웹 브라우저, 연계된 웹 플랫폼 인프라에 표준화된 API(Application Program Interface) 정의를 내린다.
CTAP(Client to Authenticator Protocol) 사양은 WebAuthn와 함께 FIDO2의 중요한 요소 중 하나로 FIDO 얼라이언스와 공동으로 제작되었다. CTAP는 보안 키, 휴대전화, 등과 같은 외부 인증 디바이스들이 USB, 블루투스, 또는 NFC 등을 통하여 사용자의 PC, 스마트폰 등 인터넷 접속 기기에 강력한 인증 증명서를 교신하도록 한다.
이러한 FIDO2 사양들은 인터넷 사용자들이 온라인 패스워드 피싱에 대한 걱정 없이 편하게 온라인 서비스를 데스크톱이나 모바일 환경에서 사용할 수 있도록 지원한다.
브랫 맥도웰 FIDO 얼라이언스 이사장은 “신규 FIDO2 사양의 다양한 웹 브라우저 지원 발표를 통하여 우리는 FIDO 온라인 인증 솔루션이 모든 플랫폼과 디바이스에 걸쳐 유비쿼터스한 환경에서 사용할 수 있게 되는 의미 있는 전진을 하게 되었다”며 “점점 심각해져만 가는 서버 데이터 침해와 비밀번호 절도와 같은 범죄에 오랫동안 당해야만 했던 온라인 서비스 제공자들이 이제는 취약한 비밀번호나 일회성 패스 코드에 대한 의존성을 끝내고 온라인 피싱 공격이 불가능한 FIDO 인증 솔루션을 받아들여야 할 때가 왔다”고 밝혔다.
구글, 마이크로소프트, 모질라, 오페라와 같은 기업들이 제공하는 웹브라우저에 WebAuthn을 기본으로 지원하기로 약속했으며 윈도우, 맥, 리눅스, 크롬 OS, 안드로이드 플랫폼 적용을 시작했다. 오늘을 기준으로 WebAuthn, CTAP 사양 모두 개발자와 벤더가 개발하고자 하는 제품과 서비스에 차세대 FIDO 인증 솔루션을 지원할 수 있도록 제공되고 있다.
제프 자페 W3C 최고경영자는 “보안은 웹이 우리 사회에 끼치는 수많은 긍정적인 요소를 방해하는 문제로 오랫동안 인식이 되어왔다”며
“이러한 보안 문제를 해결한다는 것은 매운 어려운 것이며 모든 문제를 한번에 해결할 수 있는 단 하나의 특효약이 없다는 것 또한 잘 알고 있다”고 말했다.
또한 제프 최고경영자는 “비밀번호에 의존한다는 것은 웹 보안에 있어서 가장 취약한 부분 중 하나로 오늘 다중 인증 요소를 포함하는 WebAuthn의 표준화를 통하여 그 가장 취약한 부분을 제거하고자 한다”며 오늘 출시 발표 의미를 추가 설명하면서 “안심할 수 있고 개인 정보가 보호되는 동시에 사용이 편리한 인증 솔루션인 FIDO2 WebAuthn은 사람들이 웹을 사용하기 위하여 컴퓨터와 스마트 디바이스를 접속하는 형태에 큰 변화를 가져올 것이다”고 덧붙였다.
FIDO2 표준화 노력, W3C 표준 트랙에 따른 WebAuthn의 단계별 진전, 앞서가는 웹 브라우저 벤더들의 이행에 대한 약속 등등이 모두 더해져서 유비쿼터스한 환경에서 하드웨어 지원을 받는 FIDO 인증 솔루션이 인터넷을 사용하는 모든 이들을 위한 새로운 시대를 열게 된 것이다.
비밀번호와 연계된 피싱, 중간자 공격, 도난당한 자격증의 남용 등과 같은 위험성으로부터 자신들과 고객을 보호할 수 있는 수단을 찾고 있는 기업과 온라인 서비스 제공자들은 웹 브라우저나 외부 인증기기를 통하여 작동되는 표준화된 강력한 인증 솔루션을 곧 전개할 수 있을 것이다. 온라인 서비스 제공자가 FIDO 인증 솔루션을 전개한다는 것은 상호운용 가능한 생태계에서 사용자가 항상 사용하는 휴대폰이나 보안 키와 같은 디바이스 선택의 기회를 제공한다는 것을 의미한다.
웹 브라우저와 운영 시스템에 새롭게 적용되는 FIDO2 표준화 사양은 이미 전 세계 수 억대의 디바이스와 구글, 페이스북, NTT 도코모, 뱅크 오브 아메리카 등과 같은 수 많은 기업의 서비스 사용자로 등록된 3억5000만명을 넘어 FIDO 인증 솔루션의 적용 범위를 더욱 확장 시키게 되면서 전 세계 규제 당국들과 표준화 설정 기관들에 참고로 활용될 것이다.
새로운 FIDO2 사양은 현존하는 비밀번호가 필요하지 않은 FIDO UAF(Universal Authentication Framework), 이중 인증방식 FIDO U2F (Universal 2nd Factor)의 사용 사례를 보완하게 되어 FIDO 인증 유효성을 더욱 확장하게 될 것이다. FIDO2 웹 브라우저와 온라인 서비스는 기존에 인증 받은 FIDO 보안 키와 완벽하게 호환이 된다.
FIDO 얼라이언스는 FIDO2 사양을 지키는 서버, 클라이언트, 인증기에 대한 상호운용성 테스트와 인증서 발행을 곧 실행할 것이다. 적합성 테스트 툴은 FIDO 얼라이언스 웹사이트에서 제공이 되고 있다. 아울러 모든 FIDO 인증 형태(FIDO UAF, FIDO U2F, WebAuthn, CTAP)에 대한 서버의 상호운용성을 인증하기 위한 신규 유니버설 서버 인증(Universal Server Certification) 또한 도입될 것이다.
◇WebAuthn, FIDO2 프로젝트가 제공하는 혜택
W3C의 WebAuthn API는 각각의 웹사이트가 강력하면서도 독특한 공개키 기반 인증 정보를 활용할 수 있도록 하여 하나의 사이트에서 도난당한 비밀번호가 다른 사이트에서 사용되는 위험성을 제거한다. 이를 통해 FIDO 인증기가 탑재된 디바이스에서 로딩된 브라우저 내 웹 응용 프로그램을 공용 API로 쉽게 호출하여 암호화 작업을 통해 더욱 간단하고 강력한 FIDO 인증을 서비스 제공자와 사용자가 누릴 수 있는 다양한 혜택을 제공한다.
간단한 인증: 사용자는 단일 제스처로 간단히 로그인할 수 있다.
-PC, 랩톱, 및 모바일 디바이스 내부 또는 외부 인증기기(예: 지문, 생체인식 등)
-FIDO 얼라이언스 개발 WebAuthn을 보완하는 외부 인증 프로토콜 CTAP을 사용하는 편리한 장치 대 장치 인증 보안 키 및 모바일 디바이스
강력한 인증: FIDO 인증은 비밀번호 또는 이와 관련된 인증 방식에만 의존하는 것보다 훨씬 강력하며 다음과 같은 이점이 있다.
-사용자 인증 정보와 생체 정보는 사용자의 디바이스를 절대로 떠나지 않으며 서버에 저장되지 않는다.
-도난된 비밀번호를 사용하는 피싱, 중간자 공격, 재전송 공격 등으로부터 계정이 보호된다.
개발자는 FIDO 얼라이언스 홈페이지에서 새롭게 제공되는 개발자 리소스를 활용하여 FIDO 인증을 지원하는 앱과 서비스 제작을 시작할 수 있다.
◇웹 브라우저 업체들의 인용구 모음
샘 스리니바스, 상무이사, 구글 클라우드 보안 제품
‘구글 크롬은 더욱 나은 웹을 구축하는 미션을 이룩하기 위한 계속된 노력 중 하나로 개발자가 구조화된 방식으로 보안 키 스토어와 상호작용할 수 있도록 지원하는데 헌신을 다하고 있습니다. FIDO 얼라이언스의 U2F 그리고 FIDO2 워킹 그룹 창립 멤버로서 우리는 새로운 표준의 시작에 대해 매우 기쁘게 생각하며 지속적인 협력을 기대합니다.’
데이브 보시노, 그룹 프로그램 매니저, 마이크로소프트 운영 시스템 보안
‘디바이스, 앱, 브라우저 그리고 웹사이트에서 모두 사용 가능한 비밀번호 대안 솔루션을 제공한다면 우리가 약속하는 비밀번호가 필요하지 않은 미래를 실현할 수 있습니다. 우리는 FIDO 얼라이언스와의 협력 덕분에 최종 승인 프로세스 단계에 있는 WebAuthn에 대한 추가적인 지원이 계속됨을 발표할 수 있게 되어서 기쁩니다.’
셀리나 데켈만, 엔지니어링 전무이사, 모질라 파이어폭스 런타임
‘WebAuthn을 통하여 우리는 파이어폭스를 사용하는 사람들에게 웹 브라우징 경험에 또 다른 보안 층을 더할 기회를 제공하게 되었습니다. 온라인 보안 관리 방법과 인터넷 보안 강화에 대한 사용자의 통제력을 높일 수 있도록 지원하는 것은 모든 이들이 인터넷을 오픈 된 형태로 유지하고 자유롭게 접근할 수 있도록 하고자 하는 모질라의 핵심 미션과 일치합니다.’
FIDO2 출시를 기념하는 보다 더 많은 이해관계자의 인용구는 FIDO 얼라이언스 웹사이트 내 FIDO2 프로젝트 페이지에서 확인할 수 있다.
FIDO 얼라이언스 개요
FIDO 얼라이언스(Fast IDentity Online Alliance)는 기존 비밀번호에 대한 의존에서 벗어나 보다 강력하고 편리하면서도 상호운용이 가능한 표준 인증 기술 구현을 목표로 2012년 7월 출범한 글로벌 비영리 단체이다. 구글, 마이크로소프트, 삼성전자, 아마존, 페이팔, NTT도코모 등 전 세계 약 260개 회원사를 보유하고 있으며 한국, 유럽, 인도, 일본, 중국에 워킹 그룹을 운영하고 있다. FIDO 얼라이언스는 국가별 산업별로 다른 정책과 생태계에 따라 다양한 온라인 인증에 대해 생체 인증 등의 통합적인 FIDO 국제 표준 규격의 제정을 목표로 한다.
W3C 개요
W3C(World Wide Web Consortium)는 월드 와이드 웹의 빠른 발전에 따른 신속한 표준안의 제정과, 이를 많은 기업과 연구 기관에서 공유하게 하여 정보화 세상을 위한 웹의 기술적, 사회적 확산을 위해 1994년 10월 창립된 국제 웹 표준화 단체로써 잘 알려진 HTML5, CSS, 오픈 웹 플랫폼 등의 표준 사양을 개발해 왔다. 전 세계 400여개 회원을 가진 W3C는 미국 MIT CSAIL(Computer Science and Artificial Intelligence Laboratory), 유럽 ERCIM(European Research Consortium for Informatics and Mathematics), 일본 게이오 대학이 ‘하나의 웹 (One Web)’을 비전으로 공동 운영되고 있다.
웹사이트: http://www.fidoalliance.org
연락처
FIDO 얼라이언스
이준혁 코리아 워킹그룹 프로그램 매니저
010-6481-1468
이메일 보내기
이 보도자료는 FIDO 얼라이언스가(이) 작성해 뉴스와이어 서비스를 통해 배포한 뉴스입니다. 뉴스와이어는 편집 가이드라인을 준수합니다.
