2020.02.25

애플, FIDO 협회 합류··· 비밀번호 대체 시도에 동참

Lucas Mearian | Computerworld
애플이 온라인 서비스와 앱에 로그인하기 위한 패스워드를 다른 보다 빠르고 안전한 방법으로 대체하는 인증 표준 그룹인 FIDO 협회(FIDO Alliance)에 가입했다. 애플로서는 다소 이례적인 움직임이다.

이로써 애플은 IT 거대 기업 중 마지막으로 FIDO(Fast IDentity Online)에 합류했다. 현재 아마존, 페이스북, 구글, 인텔, MS, RSA, 삼성, 퀄컴 그리고 VM웨어가 합류하고 있는 이 그룹에는, 이 밖에도 아메리칸 익스프레스, ING, 마스터카드, 페이팔, 비자, 웰스 파고와 같은 12개 이상의 금융서비스 회사가 참여하고 있다.

J. 골드 어소시에이트의 사장 겸 수석 애널리스트인 잭 골드는 “애플은 새로운 조직에 합류하는 데 있어서 보통 앞서 움직이지 않는다. 가입하기 전에 충분히 알기 위해 종종 기다린다. 이번 FIDO 합류는 애플치고는 상당히 이례적인 행보다. 애플은 자사의 기술을 업계 표준으로 제시하려는 경우는 종종 있지만, 일반적으로 멀티벤더 업계 표준을 조기에 채택하지는 않기 때문이다”라고 말했다.

그는 이어 “내 생각에 FIDO의 경우 애플이 동참해야 한다는 압박감을 느끼고 있을 만큼 충분한 모멘텀을 갖고 있다. 특히 클라우드 기반 세계 및 인증 측면에서 FIDO는 기업이 무시할 수 없는 핵심 이니셔티브로 인정받고 있다”라고 말했다.

가트너 보안 및 프라이버시 연구 책임자인 데이비드 마흐디 또한 애플의 이러한 움직임이 주목할 만하다고 평가했다. 마흐디는 “암호 없는 세상을 실현하기 위한 의미 있는 움직임이다. 애플의 가입은 주목할 만한 조치다”라고 말했다.

2012년에 조직된 FIDO의 목적은 본질적으로 불안정한 암호 사용 대신 서비스와 앱에 대해 2단계 인증을 추진하는 것이다. 버라이즌의 데이터 유출 조사 보고서에 따르면, 해커에 의한 모든 보안 유출의 81%가 도난 되거나 엉성한 비밀번호 때문이다.  

버라이즌은 보고서는 “사용자 이름/이메일 주소 및 비밀번호에 의존하는 경우 소비자 기기에서 다른 유출 또는 악성코드로부터 비밀번호 재사용이 우려해야 한다. 즉 기업 또한 위험에 처해 있는 셈이다”라고 기술하고 있다. 

FIDO는 W3C와 함께 새로운(WebAuthn으로 더 잘 알려진) 웹 인증 API(Web Authentication API)를 사용하고 있다. ‘WebAuthn’ 웹 인증 사양은 이미 구글의 크롬, 모질라의 파이어폭스, 마이크로소프트의 엣지와 같은 주요 브라우저에서 지원되고 있다. 또한 이들 브라우저는 블루투스, 근거리 무선 통신(NFC) 또는 USB를 사용하여 온라인 서비스와 앱에 2단계 인증을 제공할 수 있는 U2F 토큰을 사용한 클라우드 자격 증명 생성을 지원한다.

2018년 애플은 사파리에서의 웹 인증 프로토콜에 대해 ‘실험적’ 지원을 추가한다고 발표했던 바 있다. 애플은 또 12월 iOS 13.3에서 근거리 무선 통신, USB 또는 라이트닝보다 웹 인증 표준을 사용하는 유비코(Yubico)와 파이티안(Feitian)의 보안키와 같은 FIDO 호환 보안 키에 대한 기본 지원을 추가했다.

마흐디는 “FIDO는 인증 분야의 블루투스와 같다. 인증 제공에 사용할 수 있는 특징과 기능을 갖춘 기기를 우리는 많이 보유하고 있다는 의미다”라고 말했다. 

예를 들어, 모바일 기기나 노트북 다수에서 지문 인식기나 얼굴 인식 기술을 사용해 로그인할 수 있다고 그는 설명했다. 2가지 기술 중 어느 것이든 인증에 활용될 수 있지만 공통 언어가 없으면 실행하기가 어렵고 독점적인 드라이버와 소프트웨어를 필요로 하게 된다. 

마흐디는 “그렇기 때문에 강력한 인증을 안정적으로 활성화하기란 꽤 어려운 작업일 수 있다. FIDO는 블루투스와 마찬가지로, 강력한 인증(예: 모바일 앱이나 웹사이트에서)을 실행하고자 하는 애플리케이션 개발자와 보안 리더가 최소한의 코드를 가진 기기에서 이용할 수 있는 광범위한 인증 방법을 커버할 수 있도록 해준다. 그리고 많은 독점적인 드라이버에 관해 걱정할 필요가 없게 해준다”라고 말했다.

전체적으로 FIDO가 제시하는 사양은 은행, 전자상거래 사이트 등에서 제공하는 디지털 서비스가 사용자 이름과 암호가 아닌 그들의 기기를 통해 사용자를 인식할 수 있다는 것을 의미한다. 예를 들어, 사용자는 온라인 서비스에 등록하고, 사용자 이름을 만들고, 기기를 등록하고, 선호하는 인증 방법(손가락, 얼굴 또는 PIN 등)을 선택할 수 있다. 비밀번호는 필요 없게 되는 것이라고 마흐디는 설명했다.

FIDO의 사양이 작동하는 방법
FIDO의 사양은 이를 사용하는 모든 사람이 개인 및 공용 키 페어로 앱이나 온라인 서비스에 접근할 수 있도록 한다. 

사용자가 페이팔과 같은 온라인 서비스에 등록하면 인증자 장치(서버)가 고유한 개인/공용 키 페어를 만든다. 개인 키는 사용자의 기기에 저장되며, 공용 키는 온라인 서비스나 앱을 통해 해당 장치와 연결된다.
 
ⓒ FIDO

인증은 클라이언트 서버가 사용자의 장치에 전자적 도전과제를 전송하여 실행된다. 클라이언트의 개인 키는 사용자가 기기에서 로컬로 잠금 해제한 후에만 사용할 수 있다. 로컬 잠금 해제는 생체 인식 판독기(즉, 지문 스캔 또는 얼굴 인식), PIN 입력, 마이크에 말하기 또는 2차 요소 기기 삽입과 같은 안전한 동작에 의해 달성된다.

FIDO 회원과 인증 업체인 유비코에 따르면, U2F는 인터넷 사용자가 드라이버나 클라이언트 소프트웨어를 필요로 하지 않고 즉시 하나의 보안 키로 안전하게 접속할 수 있는 개방형 인증 표준이다. FIDO2는 최신 세대의 U2F 프로토콜에 해당한다.

지난 4월 구글은 새로운 온라인 ID 관리 툴을 만드는 일환으로 FIDO에 가입했다. 구글은 안드로이드 7 이상 기기에 대해서 FIDO 사양을 통한 2단계 인증을 추가했다. 맥 플랫폼용 다단계 기업 인증 관리 소프트웨어 공급 업체인 잼프(Jamf)는 지난달 FIDO에 가입했다.

애플 맥 인증 및 ID 관리 솔루션 제공 기업인 잼프 커넥트(Jamf Connect)의 조엘 레니치 이사는 “수많은 다중 요소 장치와 서로 다른 ID 제공업체를 지원해야 했기 때문에 상당히 빠르게 복잡해졌다. 그리고 우리는 여전히 암호 사용으로 돌아가야 한다는 문제가 있었다. 맥에서는 암호를 입력하지 않고 사용자 자격 증명을 지원하는 내장된 방법이 없기 때문이다. 그러나 애플은 상당히 탄탄한 스마트 카드 설치 사용자 기반을 갖고 있기도 하다”라고 말했다.

레니치는 잼프가 FIDO 인증 프로토콜을 수용하는 이유에 대해 FIDO 인증 프로토콜이 ‘믿을 수 없을 정도로’ 안전하며 광범위한 업계 지원 때문에 많은 유연성을 허용하고 있기 때문이라고 설명했다. 특히 애플 시큐어 인클레이브(Apple Secure Enclave)가 사용하는 것과 동일한 FIDO의 ECC(Elliptical Curve Cryptography) 사용은 많은 가능성을 제시한다. 레니치는 예를 들어 아이폰에 대한 엔터프라이즈급 접속을 쉽게 구현할 수 있다고 설명했다.

레니치는 “즉 우리는 이미 장치에 있는 그 하드웨어를 최소한의 노력으로 FIDO 프로토콜과 함께 작동시키는 데 사용할 수 있다. 이것은 발전을 정말 빠르게 만들었다”라고 말했다.

아직 출하되지는 않았지만, FIDO의 사양과 같은 방식으로 ECC 페어링 키를 사용하여 클라우드에서 맥 장치에 로그인할 수 있게 해주는 가상 스마트 카드도 준비된 상태다. 

레니치는 “애들을 굳이 옹호하려는 것은 아니지만 그들은 꽤나 많은 작업을 하고 있다. 우리는 애플이 더 많은 것을 독자적으로 해내기를 정말로 바란다. 그러나 이와 동시에 FIDO 인증이 있는 로그인 창에서 맥에 로그인할 수 있기를 기대한다”라고 말했다. ciokr@idg.co.kr



2020.02.25

애플, FIDO 협회 합류··· 비밀번호 대체 시도에 동참

Lucas Mearian | Computerworld
애플이 온라인 서비스와 앱에 로그인하기 위한 패스워드를 다른 보다 빠르고 안전한 방법으로 대체하는 인증 표준 그룹인 FIDO 협회(FIDO Alliance)에 가입했다. 애플로서는 다소 이례적인 움직임이다.

이로써 애플은 IT 거대 기업 중 마지막으로 FIDO(Fast IDentity Online)에 합류했다. 현재 아마존, 페이스북, 구글, 인텔, MS, RSA, 삼성, 퀄컴 그리고 VM웨어가 합류하고 있는 이 그룹에는, 이 밖에도 아메리칸 익스프레스, ING, 마스터카드, 페이팔, 비자, 웰스 파고와 같은 12개 이상의 금융서비스 회사가 참여하고 있다.

J. 골드 어소시에이트의 사장 겸 수석 애널리스트인 잭 골드는 “애플은 새로운 조직에 합류하는 데 있어서 보통 앞서 움직이지 않는다. 가입하기 전에 충분히 알기 위해 종종 기다린다. 이번 FIDO 합류는 애플치고는 상당히 이례적인 행보다. 애플은 자사의 기술을 업계 표준으로 제시하려는 경우는 종종 있지만, 일반적으로 멀티벤더 업계 표준을 조기에 채택하지는 않기 때문이다”라고 말했다.

그는 이어 “내 생각에 FIDO의 경우 애플이 동참해야 한다는 압박감을 느끼고 있을 만큼 충분한 모멘텀을 갖고 있다. 특히 클라우드 기반 세계 및 인증 측면에서 FIDO는 기업이 무시할 수 없는 핵심 이니셔티브로 인정받고 있다”라고 말했다.

가트너 보안 및 프라이버시 연구 책임자인 데이비드 마흐디 또한 애플의 이러한 움직임이 주목할 만하다고 평가했다. 마흐디는 “암호 없는 세상을 실현하기 위한 의미 있는 움직임이다. 애플의 가입은 주목할 만한 조치다”라고 말했다.

2012년에 조직된 FIDO의 목적은 본질적으로 불안정한 암호 사용 대신 서비스와 앱에 대해 2단계 인증을 추진하는 것이다. 버라이즌의 데이터 유출 조사 보고서에 따르면, 해커에 의한 모든 보안 유출의 81%가 도난 되거나 엉성한 비밀번호 때문이다.  

버라이즌은 보고서는 “사용자 이름/이메일 주소 및 비밀번호에 의존하는 경우 소비자 기기에서 다른 유출 또는 악성코드로부터 비밀번호 재사용이 우려해야 한다. 즉 기업 또한 위험에 처해 있는 셈이다”라고 기술하고 있다. 

FIDO는 W3C와 함께 새로운(WebAuthn으로 더 잘 알려진) 웹 인증 API(Web Authentication API)를 사용하고 있다. ‘WebAuthn’ 웹 인증 사양은 이미 구글의 크롬, 모질라의 파이어폭스, 마이크로소프트의 엣지와 같은 주요 브라우저에서 지원되고 있다. 또한 이들 브라우저는 블루투스, 근거리 무선 통신(NFC) 또는 USB를 사용하여 온라인 서비스와 앱에 2단계 인증을 제공할 수 있는 U2F 토큰을 사용한 클라우드 자격 증명 생성을 지원한다.

2018년 애플은 사파리에서의 웹 인증 프로토콜에 대해 ‘실험적’ 지원을 추가한다고 발표했던 바 있다. 애플은 또 12월 iOS 13.3에서 근거리 무선 통신, USB 또는 라이트닝보다 웹 인증 표준을 사용하는 유비코(Yubico)와 파이티안(Feitian)의 보안키와 같은 FIDO 호환 보안 키에 대한 기본 지원을 추가했다.

마흐디는 “FIDO는 인증 분야의 블루투스와 같다. 인증 제공에 사용할 수 있는 특징과 기능을 갖춘 기기를 우리는 많이 보유하고 있다는 의미다”라고 말했다. 

예를 들어, 모바일 기기나 노트북 다수에서 지문 인식기나 얼굴 인식 기술을 사용해 로그인할 수 있다고 그는 설명했다. 2가지 기술 중 어느 것이든 인증에 활용될 수 있지만 공통 언어가 없으면 실행하기가 어렵고 독점적인 드라이버와 소프트웨어를 필요로 하게 된다. 

마흐디는 “그렇기 때문에 강력한 인증을 안정적으로 활성화하기란 꽤 어려운 작업일 수 있다. FIDO는 블루투스와 마찬가지로, 강력한 인증(예: 모바일 앱이나 웹사이트에서)을 실행하고자 하는 애플리케이션 개발자와 보안 리더가 최소한의 코드를 가진 기기에서 이용할 수 있는 광범위한 인증 방법을 커버할 수 있도록 해준다. 그리고 많은 독점적인 드라이버에 관해 걱정할 필요가 없게 해준다”라고 말했다.

전체적으로 FIDO가 제시하는 사양은 은행, 전자상거래 사이트 등에서 제공하는 디지털 서비스가 사용자 이름과 암호가 아닌 그들의 기기를 통해 사용자를 인식할 수 있다는 것을 의미한다. 예를 들어, 사용자는 온라인 서비스에 등록하고, 사용자 이름을 만들고, 기기를 등록하고, 선호하는 인증 방법(손가락, 얼굴 또는 PIN 등)을 선택할 수 있다. 비밀번호는 필요 없게 되는 것이라고 마흐디는 설명했다.

FIDO의 사양이 작동하는 방법
FIDO의 사양은 이를 사용하는 모든 사람이 개인 및 공용 키 페어로 앱이나 온라인 서비스에 접근할 수 있도록 한다. 

사용자가 페이팔과 같은 온라인 서비스에 등록하면 인증자 장치(서버)가 고유한 개인/공용 키 페어를 만든다. 개인 키는 사용자의 기기에 저장되며, 공용 키는 온라인 서비스나 앱을 통해 해당 장치와 연결된다.
 
ⓒ FIDO

인증은 클라이언트 서버가 사용자의 장치에 전자적 도전과제를 전송하여 실행된다. 클라이언트의 개인 키는 사용자가 기기에서 로컬로 잠금 해제한 후에만 사용할 수 있다. 로컬 잠금 해제는 생체 인식 판독기(즉, 지문 스캔 또는 얼굴 인식), PIN 입력, 마이크에 말하기 또는 2차 요소 기기 삽입과 같은 안전한 동작에 의해 달성된다.

FIDO 회원과 인증 업체인 유비코에 따르면, U2F는 인터넷 사용자가 드라이버나 클라이언트 소프트웨어를 필요로 하지 않고 즉시 하나의 보안 키로 안전하게 접속할 수 있는 개방형 인증 표준이다. FIDO2는 최신 세대의 U2F 프로토콜에 해당한다.

지난 4월 구글은 새로운 온라인 ID 관리 툴을 만드는 일환으로 FIDO에 가입했다. 구글은 안드로이드 7 이상 기기에 대해서 FIDO 사양을 통한 2단계 인증을 추가했다. 맥 플랫폼용 다단계 기업 인증 관리 소프트웨어 공급 업체인 잼프(Jamf)는 지난달 FIDO에 가입했다.

애플 맥 인증 및 ID 관리 솔루션 제공 기업인 잼프 커넥트(Jamf Connect)의 조엘 레니치 이사는 “수많은 다중 요소 장치와 서로 다른 ID 제공업체를 지원해야 했기 때문에 상당히 빠르게 복잡해졌다. 그리고 우리는 여전히 암호 사용으로 돌아가야 한다는 문제가 있었다. 맥에서는 암호를 입력하지 않고 사용자 자격 증명을 지원하는 내장된 방법이 없기 때문이다. 그러나 애플은 상당히 탄탄한 스마트 카드 설치 사용자 기반을 갖고 있기도 하다”라고 말했다.

레니치는 잼프가 FIDO 인증 프로토콜을 수용하는 이유에 대해 FIDO 인증 프로토콜이 ‘믿을 수 없을 정도로’ 안전하며 광범위한 업계 지원 때문에 많은 유연성을 허용하고 있기 때문이라고 설명했다. 특히 애플 시큐어 인클레이브(Apple Secure Enclave)가 사용하는 것과 동일한 FIDO의 ECC(Elliptical Curve Cryptography) 사용은 많은 가능성을 제시한다. 레니치는 예를 들어 아이폰에 대한 엔터프라이즈급 접속을 쉽게 구현할 수 있다고 설명했다.

레니치는 “즉 우리는 이미 장치에 있는 그 하드웨어를 최소한의 노력으로 FIDO 프로토콜과 함께 작동시키는 데 사용할 수 있다. 이것은 발전을 정말 빠르게 만들었다”라고 말했다.

아직 출하되지는 않았지만, FIDO의 사양과 같은 방식으로 ECC 페어링 키를 사용하여 클라우드에서 맥 장치에 로그인할 수 있게 해주는 가상 스마트 카드도 준비된 상태다. 

레니치는 “애들을 굳이 옹호하려는 것은 아니지만 그들은 꽤나 많은 작업을 하고 있다. 우리는 애플이 더 많은 것을 독자적으로 해내기를 정말로 바란다. 그러나 이와 동시에 FIDO 인증이 있는 로그인 창에서 맥에 로그인할 수 있기를 기대한다”라고 말했다. ciokr@idg.co.kr

X