비밀번호 대체하는 새로운 인증 표준, 브라우저들에 도입된다

입력 : 2018-04-12 17:12

크롬, 파이어폭스, 에지 브라우저 등 새 인증 API 도입 중에 있어
보다 편리하고 강력한 로그인 과정 사용자들에게 제공될 것으로 기대

[보안뉴스 문가용 기자] 구글, 마이크로소프트, 모질라 등 주류 브라우저 제조사들이 일제히 사용자 인증 장치를 새롭게 도입할 계획임을 발표했다. 이들이 도입할 것은 FIDO 얼라이언스와 W3C가 개발한 인증 표준으로, 비밀번호를 입력할 필요가 없다고 한다.


W3C, 혹은 월드와이드웹컨소시엄은 웹오슨(WebAuthn, Web Authentication)이라는 표준 웹 API를 개발하고, 이를 후보자 추천 단계까지 올리는 데 성공했다. 후보자 추천 단계란 웹 표준으로 받아들여지기 바로 직전 단계다. 이 API가 표준이 된다면 전 세계 인터넷 사용자가 더 강력한 웹 인증 시스템을 누릴 수 있게 될 것으로 예상된다. 윈도우, 맥, 리눅스, 크롬 OS, 안드로이드 플랫폼에서는 이미 도입되어 있다.

W3C의 웹오슨 API는 공공 키를 기반으로 한 강력하고 고유한 크리덴셜들을 모든 사이트들에마다 활성화시키는데, 따라서 비밀번호가 한 사이트에서 도난당한다고 해서 다른 사이트에까지 영향을 주는 위험이 사라지게 된다고 한다. 브라우저와 웹 플랫폼 인프라에 도입이 가능하며, 사용자들에게 새로운 인증 시스템을 제공한다.

웹오슨 API에 대한 상세 내용은 W3C가 개설한 웹 페이지를 통해 열람이 가능하다. 주소는 https://www.w3.org/TR/2018/CR-webauthn-20180320/으로, 영문으로 작성되어 있다.

이 API의 핵심 요소는 FIDO 얼라이언스의 클라이언트 투 오센티케이터 프로토콜(Client to Authenticator Protocol, CTAP)이라고 알려져 있다. 사용자들이 데스크톱이나 모바일 환경에서 쉽게 온라인 서비스의 인증을 받게 해주고 피싱 공격에 대한 기본적인 방어 메커니즘을 제공하는 기능을 담당한다.

또한 CTAP는 강력한 인증 크리덴셜을 USB, 블루투스, NFC와 같은 통신 체제를 통해서도 외부 인증기로 전송할 수 있도록 해준다.

웹오슨과 CTAP 모두 현재 사용이 가능한 상태이다. 상당 수 개발자들과 소프트웨어 제조 업체들이 이미 이 인증 체제를 호환하는 제품과 서비스를 기획하고 만들어내고 있기도 하다. 그리고 여기에 대형 브라우저 업체들이 가세하기 직전인 것이다.

FIDO 얼라이언스의 총괄 책임인 브렛 맥도웰(Brett McDowell)은 “수년 간 데이터와 비밀번호 유출 사고가 심각한 수준으로 발생했다”며 “이제는 비밀번호나 OTP 등에만 의존한 보안은 떠나보내야 할 때가 되었다고 생각한다”고 말한다. 인증에 대한 새로운 시대가 시작되지 않으면 이러한 사고는 계속해서 증가할 것이라고도 설명했다.

또한 “크롬, 파이어폭스, 마이크로소프트 에지 등의 브라우저들에 새 표준이 도입되는 중에 있으며, 안드로이드와 윈도우 10은 이러한 FIDO 인증 체제가 기본 탑재될 예정”이라고도 덧붙였다.

FIDO 얼라이언스는 새로운 표준을 통과시키는 것과 동시에 호환성 실험을 진행하고 서버, 클라이언트, 인증자에 대한 인증서 발부 또한 계획하고 있다. FIDO 웹사이트를 통해 자가 점검 테스트 툴도 이미 제공 중에 있다. 그 외에도 새로운 유니버설 서버(Universal Server) 인증서도 준비 중에 있다고 한다. 이는 모든 FIDO 인증자 유형(FIDO UAF, FIDO U2F, WebAuthn, CTAP)와 호환이 되는 서버들에 발급된다.

FIDO의 인증 시스템이 탑재된 브라우저나 기기에서 운영되는 웹 애플리케이션들의 경우 공공 API를 호출해 사용자들의 FIDO 인증기를 활성화시킬 수 있다고 한다. FIDO 얼라이언스는 개발자들을 위한 웹 페이지도 개설해 리소스를 제공하고 있으니 여기(https://fidoalliance.org/participate/developers/)서 확인이 가능하다.

일반 인터넷 사용자들에게 있어 FIDO의 새로운 웹 인증 표준이 도입된다는 건 보다 간단하면서도 강력한 로그인 시스템을 의미한다. 이제는 비밀번호 대신 지문이나 안면 등의 생체 정보를 활용하거나 인증 키나 모바일 기기를 통한 외부 인증기를 연동시킬 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...