쇼핑몰, 포털사이트들은 하루가 멀다하고 해킹 사건이 벌어진다. 비밀번호를 통한 인증이 내포하고 있는 취약성 때문이다. 미국 통신회사 버라이즌의 '데이터 유출 조사 리포트(2016 Data Breach Investigations Report prepared by Verizon)'에 따르면 개인정보 유출 원인의 63%는 해킹이 쉬운 암호 설정에 있다고 한다. 많은 사람들이 아직까지도 '123456789'나 자신의 생일같은 유추하기 쉬운 비밀번호를 사용한다.

그럼에도 불구하고 비밀번호 인증이 유지된 이유는 사용의 용이성과 도입의 용이성 때문이다. 그래서 쇼핑몰이나 온라인 사이트가 고심해서 내놓은 해결책은 비밀번호를 어렵게 만드는 일이다. 어떤 사이트는 반드시 숫자와 영어를 혼재해야 하고, 여기에 특수문자까지 포함시키는 것을 강제한 사이트도 있다. 그러다 보니 다시 문제가 생긴다. 비밀번호 자체를 본인도 기억하기 어렵게 된거다. 영국의 정보서비스 기업인 익스페리언(Experian)이 2012년 내놓은 조사에 따르면 당시 영국인은 평균 25개의 온라인 서비스 계정을 보유하고 있었으며 25~34세 연령층에서는 그 수가 40개가 넘는 것으로 밝혀졌다. 현실적으로 40개가 넘는 온라인 서비스의 비밀번호를 모두 기억하기는 쉽지 않다. 

이런 불편과 위험을 극복할 방법은 없을까? 물론 있으니 이런 장황한 서두를 꺼낸거다. 바로 생체인증 기술이다. 대표적으로 국제 생체인증 표준인 '파이도(FIDO-Fast IDentity Online)'가 부각되고 있다. 이 보안 인증이 적용되면 홈페이지나 앱에서 비밀 번호 대신에 미리 등록한 생체인증 기술로 본인 확인을 대체할 수 있다. 본인 인증을 요구할 때 미리 등록한 이를테면 스마트 워치 화면을 툭툭 터치하는 것만으로 본인 확인을 대체할 수 있었서다. 파이도가 더 기대되는 이유는 공인인증서로 대표되는 국내의 낙후된 보안인증 시장을 극복할 새로운 기술로 기대를 모으고 있기 때문이다.

파이도의 시작은 5년전으로 거슬러 올라간다. 강력한 인증 기술에 부족한 상호 운용성을 확보하기 위해 페이팔, 레노버의 녹녹랩스(Nok Nok Labs) 등의 기업이 모여 2012년 7월 파이도 얼라이언스를 발족시켰다. 파이도 얼라이언스는 사용 편의성, 개인정보보호, 상호 운용성, 보안의 균형이 잡힌 다단계 인증의 작동 방식에 대한 개방형 표준과 사양을 정의하고 있다. 2013년 구글과 로그인 인증 서비스 회사인 유비코 그리고 네덜란드 NXP 세미컨덕터가 참여하며 제안한 스마트폰, 노트북 같은 장치에 대한 개방형 보안 인증 표준을 담은 파이도 1.0이 2014년에 공개됐다.

 

 

윈도우 헬로, 파이도 UAF 프로토콜

파이도에는 두 가지 보안 인증 방법이 있다. 하나는 비밀번호 없이 보안 인증이 되는 'Universal Authentication Framework(UAF)' 프로토콜이고, 다른 하나는 2차 보안 인증의 'Universal 2nd Factor(U2F)' 프로토콜이다. UAF는 손가락 지문을 비롯해 얼굴, 사진, 음성 같은 다양한 생체정보를 인증에 이용할 수 있다. 현재 스마트폰, 데스크톱, 노트북 등 많은 디지털 기기에 카메라와 마이크, 지문 센서가 내장돼 있다. 즉 생체 인증에 대한 인프라는 충분하다. 

가장 친숙한 UAF 보안 인증의 예가 윈도우10의 '윈도우 헬로'다. 윈도우 헬로는 윈도우 로그인에 파이도 보안 인증 방식을 이용할 수 있고, 엣지 브라우저와 연동한 헬로 기능을 통해 부분적으로 웹사이트 로그인에서도 사용된다. 적외선 카메라로 얼굴을 인식해 암호를 입력하지 않고도 윈도우 로그인이 되는 윈도우 헬로는 얼핏 봐서 해킹이 쉬울 것 같지만 절대 그렇지 않다. 자신의 사진은 물론이고, 일란성 쌍둥이도 로그인이 불가능할 정도로 해킹으로부터 안전하다. 공격자가 계정과 프로그램 로그인 정보를 빼내려면 최종 사용자의 인증 정보(ID/비밀번호 등 인증에 필요한 정보)를 포함한 노트북까지 모두 손에 넣어야 하기 때문이다. 파이도에서 이용하는 생체 정보는 단말기에만 존재하기 때문이다.

2차 인증 장치로 흔히 사용되는 것이 이동식 USB다. 그리고 U2F 보안 인증을 최초로 지원한 웹 브라우저는 구글 크롬이다. 크롬이 사용하는 '파이도 U2F'는 이동식 USB 장치에 일회성 보안 키 솔루션을 저장해두고 사용자의 보안 키가 랜섬웨어 등 피싱 사이트에 접속하려고 하면 크롬에서 암호화 서명을 막고 인증을 거부한다. 또한 파이도 얼라이언스의 '오픈파이도 통합 이중 인증' 정보 공유를 통해 신뢰성이 떨어지는 사이트에서 사용자 보안 키 사용을 원천적으로 제한한다.

구글의 주장에 따르면 직원들의 일회성 비밀번호(OTP)를 U2F 보안인증으로 대체함으로써 연간 수천 시간을 절약할 수 있었다고 한다. 또한 OTP 보안인증에서는 3% 확률로 인증이 실패했지만 U2F 보안 인증은 인증에 실패하는 경우가 전혀 발생하지 않았다고 한다. 크롬의 파이도 U2F는 물리적 USB를 사용하는 것으로 파이도 얼라이언스 공식 테스트와 승인을 거쳐 공급된다. 크롬 39 버전부터 물리적 USB뿐만 아니라 크롬 확장프로그램을 통해 파이도 U2F 인증 방식을 지원하기 시작했다.

 

국내에서는 최근 SK텔레콤이 스마트 워치를 본인 인증에 활용하는 기술 개발에 성공해 파이도 얼라이언스로부터 국제 공인을 획득했다. 스마트 워치를 통한 본인 인증 기술은 금융 거래나 특정 사이트 로그인 시 보안 USB나 일회용 비밀번호(OTP) 등의 인증이 스마트 워치로 대체된다. 혹여 스마트 워치를 분실해도 원격으로 인증 기능을 무력화할 수 있는 '킬 스위치(Kill Switch)'를 탑재해 보안도 높였다.

사용자 생체정보를 스마트폰 같은 기기에 암호화해 저장하고 인증하는 파이도 관련 서비스가 잇따라 선보이고 있다. 이는 파이도가 최종 사용자와 기업에게 모두 이롭기 때문이다. 보안이 강화된 쉬운 인증의 파이도 이점에 차츰 사용자가 늘면 암호에 의존하는 기존 온라인 서비스는 도태될 것이다. 페이팔, 알리바바, 알리페이는 모두 파이도 기반의 안전한 결제 프로세스를 제공하고 있다. 드롭박스, 깃헙(오픈소스 사이트), 대시레인(안드로이드 비밀번호 관리 앱), 세일즈포스닷컴 등 주요 클라우드 서비스도 파이도 2차 인증 프로토콜을 활용한 인증 시스템을 가동 중이다.

파이도 2.0, 2017년 상반기 발표 예정

파이도 1.0이 스마트폰, 태블릿 등 모바일 중심이었다면 파이도 2.0은 모바일은 물론 웹 공간까지 포괄한다. 구글과 마이크로소프트 등 대형 플랫폼 사업자가 생체 인증을 기본 기능으로 제공하는 내용을 담은 파이도 2.0은 운영체제와 웹 브라우저단의 지원과 공개 키 암호화를 사용하는 단말기간 인증이 가능해진다. 네트워크에 연결되는 사물 인터넷이 활성화되는 계기가 될 수 있다. 스마트폰, 데스크톱, 노트북, 웨어러블 기기 등 다양한 모바일 기기를 인증 한번으로 통합 사용하는 클라이언트 인증 프로토콜(Client-to-Authenticator Protocol, CTAP)도 구현한다. CTAP는 공인인증서가 든 USB 장치나 NFC 단말기, 블루투스 장치 등 외부의 인증 시스템과 운영체제, 웹 브라우저가 서로 통신할 수 있게 하는 역할이다. 최종 사용자가 사용하는 모든 단말기에서 인증을 재등록해야 하는 수고를 줄일 수 있다는 의미다. FIDO 2.0은 2017년 상반기 중으로 발표될 전망이다.

현재 파이도 공식 인증을 획득한 국내 기업은 20여 곳이 넘는다. 삼성전자와 LG전자 등 제조사를 포함해 주요 통신사와 라온시큐어, 드림시큐리티, 한컴시큐어 등 보안 솔루션 벤더가 인증 획득 목록에 이름을 올렸다. 파이도는 빠르게 암호를 대체하는 사실상의 새로운 보안인증의 표준으로 자리매김하고 있다. 현재 단말기 제조사와 주요 은행, 보험사, 신용카드 네트워크, 정부 기관, 다양한 보안 및 생체 인식 기업 등 세계 각국에서 250여개의 조직이 파이도 얼라이언스에 참여하고 있다. 지긋지긋한 공인인증서가 파이도로 인해 사라질지 또 한번 기대해 보자. 

 

[리뷰전문 유튜브 채널 더기어TV]