2014.12.10

아이디·비번 방식 대안 '파이도'(FIDO) 규격 확정··· "쉽고 편한 인증 시대 열린다"

Tim Greene | Network World

아이디, 비밀번호 방식보다 더 간단하면서도 안전한 인증 표준 '파이도'(FIDO-Fast Identity Oline) 최종 규격이 9일 마침내 등장했다. 모바일 기기 제조사들이 도입 대열에 서둘러 합류할 것으로 관측된다. 

파이도는 아이디와 비밀번호를 입력하는 방식보다 더 강력한 보안성을 제공하면서도 활용하기에 쉬운 인증 서비스다.

파이도 규격을 규정하는 파이도 연합(FIDO Alliance) 대표 마이클 바렛은 이번 파이도 인증 규격이 최종 확정됨에 따라 활용 기업이 크게 증가할 것으로 기대했다. 기존에는 소수의 기업들만이 미확정 사양을 이용해 왔지만, 내년에는 모바일 기기 제조사 분야에서만 20~30여 곳이 자사의 제품에 파이도를 적용할 것으로 예상된다는 설명이다.

그는 이번 최종 규격이 확정됨에 따라 파이도에 관심 있는 누구나 제원 변경에 대한 우려 없이 이를 활용할 수 있는 근거를 마련할 수 있게 됐다고 강조했다. 그는 이어 파이도 인증 기술이 나아가 최종 사용자, 서비스 공급자, 기업에서도 널리 활용되도록 하는 것이 목표라고 덧붙였다.

150여 업체가 참여 중인 파이도 연합 소속사로는 구글, 페이팔, 뱅크오브아메리카, 웰즈파고, 마이크로소프트, 비자, 레노버, 알리바바 등이 있다.

바렛은 “파이도는 2가지 자체 보안인증 방법으로 보안성이 약했던 아이디와 비밀번호 입력 인증 방법을 대체해 해킹 위험성을 크게 줄인다"라고 설명했다.

이번에 발표된 최종 파이도 규격은 비(非) 비밀번호 인증 표준(UAF)과 이중인증 표준(U2F) 2 가지 인증 방식으로 구성된다. 




UAF는 지문, 음성, 얼굴 인식 등 사용자 고유의 생체 정보 인식을 통해 인증하는 것이다. 기기를 통해 생체정보를 인식시키면 파이도 서버에 접속할 수 있고, 그 다음 기기에서 제공하거나 저장돼있는 보안 키를 입력하는 순으로 진행된다.

U2F는 아이디 비밀번호 방식으로 1차 인증한 뒤 1회용 보안키를 저장한 동글(dongle)을 USB 포트에 꽂아 2차 인증하는 방식이다. 

바렛은 내년에 USB뿐 아니라 블루투스, 근거리무선통신(NFC), LTE무선 서비스를 지원할 것이라고 말했다.

한편 온라인 인증 보안에 대한 우려에 빠르게 대응해 이미 파이도 클라이언트-서버 인증 기술을 사용하고 있는 기업들도 있었다.

삼성 갤럭시 S5와 레노버는 지문인식 기능을 내장한 자사의 스마트폰과 노트북에 파이도 클라이언트를 설치해 공급하고 있으며 페이팔 역시 파이도 서버를 도입해 온라인 보안 인증에 활용하고 있다. 구글의 경우 U2F를 크롬브라우저에 적용해 구글계정 로그인 보안을 강화했다.

이 밖에 녹녹랩(Nok Nok Labs)은 페이팔과 알리페이(Alipay) 등에서 이미 사용하고 있는 파이도 클라이언트와 서버를 판매하고 있고 유비코(Yubico)는 파이도 인증에 필요한 동글을 시판 중이다. 동글은 50달러 이내에 구매할 수 있다. ciokr@idg.co.kr




2014.12.10

아이디·비번 방식 대안 '파이도'(FIDO) 규격 확정··· "쉽고 편한 인증 시대 열린다"

Tim Greene | Network World

아이디, 비밀번호 방식보다 더 간단하면서도 안전한 인증 표준 '파이도'(FIDO-Fast Identity Oline) 최종 규격이 9일 마침내 등장했다. 모바일 기기 제조사들이 도입 대열에 서둘러 합류할 것으로 관측된다. 

파이도는 아이디와 비밀번호를 입력하는 방식보다 더 강력한 보안성을 제공하면서도 활용하기에 쉬운 인증 서비스다.

파이도 규격을 규정하는 파이도 연합(FIDO Alliance) 대표 마이클 바렛은 이번 파이도 인증 규격이 최종 확정됨에 따라 활용 기업이 크게 증가할 것으로 기대했다. 기존에는 소수의 기업들만이 미확정 사양을 이용해 왔지만, 내년에는 모바일 기기 제조사 분야에서만 20~30여 곳이 자사의 제품에 파이도를 적용할 것으로 예상된다는 설명이다.

그는 이번 최종 규격이 확정됨에 따라 파이도에 관심 있는 누구나 제원 변경에 대한 우려 없이 이를 활용할 수 있는 근거를 마련할 수 있게 됐다고 강조했다. 그는 이어 파이도 인증 기술이 나아가 최종 사용자, 서비스 공급자, 기업에서도 널리 활용되도록 하는 것이 목표라고 덧붙였다.

150여 업체가 참여 중인 파이도 연합 소속사로는 구글, 페이팔, 뱅크오브아메리카, 웰즈파고, 마이크로소프트, 비자, 레노버, 알리바바 등이 있다.

바렛은 “파이도는 2가지 자체 보안인증 방법으로 보안성이 약했던 아이디와 비밀번호 입력 인증 방법을 대체해 해킹 위험성을 크게 줄인다"라고 설명했다.

이번에 발표된 최종 파이도 규격은 비(非) 비밀번호 인증 표준(UAF)과 이중인증 표준(U2F) 2 가지 인증 방식으로 구성된다. 




UAF는 지문, 음성, 얼굴 인식 등 사용자 고유의 생체 정보 인식을 통해 인증하는 것이다. 기기를 통해 생체정보를 인식시키면 파이도 서버에 접속할 수 있고, 그 다음 기기에서 제공하거나 저장돼있는 보안 키를 입력하는 순으로 진행된다.

U2F는 아이디 비밀번호 방식으로 1차 인증한 뒤 1회용 보안키를 저장한 동글(dongle)을 USB 포트에 꽂아 2차 인증하는 방식이다. 

바렛은 내년에 USB뿐 아니라 블루투스, 근거리무선통신(NFC), LTE무선 서비스를 지원할 것이라고 말했다.

한편 온라인 인증 보안에 대한 우려에 빠르게 대응해 이미 파이도 클라이언트-서버 인증 기술을 사용하고 있는 기업들도 있었다.

삼성 갤럭시 S5와 레노버는 지문인식 기능을 내장한 자사의 스마트폰과 노트북에 파이도 클라이언트를 설치해 공급하고 있으며 페이팔 역시 파이도 서버를 도입해 온라인 보안 인증에 활용하고 있다. 구글의 경우 U2F를 크롬브라우저에 적용해 구글계정 로그인 보안을 강화했다.

이 밖에 녹녹랩(Nok Nok Labs)은 페이팔과 알리페이(Alipay) 등에서 이미 사용하고 있는 파이도 클라이언트와 서버를 판매하고 있고 유비코(Yubico)는 파이도 인증에 필요한 동글을 시판 중이다. 동글은 50달러 이내에 구매할 수 있다. ciokr@idg.co.kr


X