어떤 창도 막을 수 있는 방패, 모든 방패를 뚫을 수 있는 창. 모순(矛盾)의 유래가 된 창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다.
애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다.
이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다.
물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새로운 기능을 통해 확장하는 방안을 담고 있다.
우선은 사용자가 모든 계정을 다시 등록할 필요 없이 새 장치를 포함하여 많은 장치에서 FIDO 로그인 자격 증명에 자동으로 접근할 수 있다. 또한 사용자가 모바일 장치에서 FIDO 인증을 사용하여, 실행 중인 운영체제 플랫폼이나 브라우저에 관계없이, 주변 장치에서 앱이나 웹사이트에 로그인할 수 있도록 지원한다.
아직은 이들 업체들이 어떤 방식으로 암호 없는 로그인 표준을 자사의 플랫폼이나 장치에서 구현할 것인지는 구체적으로 알려진 것이 없다. 다만, 기존에 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을, 운영체제나 자사의 플랫폼 차원에서 정식으로 지원할 것으로 추측된다. 아울러 이들 기업이 상호 협력을 약속했다고 공식적으로 발표한 만큼, 실제적이고 실현 가능한 암호 없는 로그인 기능 지원에 가속도가 붙을 것으로 기대된다.
암호 없는 로그인의 작동 과정은 단순하다. 고객이 사용하는 스마트폰을 활용해 사용자 등록과 인증에 필요한 암호 키(패스 키)라고 하는 자격 증명을 생성한다. 암호 키는 공개 키 암호화 기술을 기반으로 생성되며, 개인 키는 스마트폰과 같은 클라이언트에 보관하고, 공개 키는 웹사이트나 앱 서비스에 등록한다. FIDO 작동 방식을 참고하면 보다 자세한 내용을 확인할 수 있다.
이렇게 암호 없는 로그인 기능이 적용되면, 이후부터는 스마트폰이 일종의 열쇠 역할을 한다. 대부분의 경우 스마트폰 잠금을 해제할 때, 지문 또는 얼굴 인식, 핀 번호, 패턴 중에서 한 가지를 사용한다. 이렇게 잠금을 해제했다는 것은 스마트폰의 주인이 맞다는 것을 의미하며, 암호를 입력해 로그인이 필요한 사이트나 서비스가 있을 때, 스마트폰 잠금을 해제하는 것과 동일한 방식으로 암호 없이 로그인 과정을 진행할 수 있다.
인증 과정에서 암호를 사용하는 방식은 여러 가지 문제를 안고 있다. 웹 사이트나 서비스마다 서로 다른 암호를 설정하고 이를 기억하는 것이 쉽지 않고, 이러한 점이 번거로운 사람들은 하나의 암호를 여러 사이트나 서비스에서 중복 사용하는 경우가 적지 않다. 어렵고 복잡한 암호는 기억하기 쉽지 않다는 이유로, 너무 쉽고 간단한 암호를 설정해 문제가 되는 경우도 허다하다.
FIDO 얼라이언스에 따르면 암호는 데이터 침해 사고의 80%를 차지하는 심각한 문제의 근본 원인이며, 사용자는 90개 이상의 온라인 계정을 가지고 있는 것으로 조사됐다. 같은 비밀 번호를 중복해서 재 사용하는 경우도 무려 51%나 되고 있으며, 비밀번호 분실로 인한 온라인 구매를 포기하는 경우도 1/3이나 되는 것으로 알려졌다.
암호 기반의 사용자 인증은 그러한 사용자들의 습관이나 관행 때문에 계정 탈취 및 도용, 개인 정보 및 데이터 유출 등 다양한 보안 침해 사고의 주요 요인으로 갈수록 문제가 되고 있다. 이러한 문제를 보완하기 위해 다단계 인증이나 암호 관리자 등의 대안 등을 적용하는 기업들이 늘어나고 있는 상황이다. 암호 없는 로그인은 이러한 암호 기반의 사용자 인증의 문제점을 해결할 수 있는 대안으로 주목을 받고 있다.
미국 사이버 보안 및 기반 시설 보안국(US Cybersecurity and Infrastructure Security Agency) 이사인 젠 이스털리(Jen Easterly)는 "FIDO 얼라이언스와 W3C에서 개발하고 이러한 혁신적인 회사에서 주도하는 표준은, 궁극적으로 미국인을 온라인에서 더 안전하게 보호할 미래 지향적인 사고라고 할 수 있다. 서비스 제공자를 위한 유연성과 고객을 위한 더 나은 사용자 경험을 추가하는 개방형 표준에 대한 민간 부문 파트너의 노력에 박수를 보낸다"고 밝혔다.
⧉ Syndicated to WWW.CIOKOREA.COM
'🅝•NEWS•NOTICE > SECURITY' 카테고리의 다른 글
"데이터 침해 당해도 51%만 보안 투자"...AI/자동화로 조기 탐지와 빠른 대응 필요 (0) | 2023.08.14 |
---|---|
'자동차 API 공격 2022년 380% 증가'...세일즈포스, 자동차 보안 위협과 의식 심각 (0) | 2023.05.17 |
위치 추적 오용 방지위해 뭉쳤다...구글 & 애플, '원치 않는 추적을 위한 업계 사양 마련' (0) | 2023.05.04 |
의료 데이터 보안에 관한 동상이몽…보안 의식 떨어지고, 실행은 더 미온적 (0) | 2023.04.17 |
구글, 타이탄 보안 키 2가지로 간소화...USB-A와 USB-C로 나누고 NFC는 모두 지원 (0) | 2021.08.10 |
가트너, "2025년까지 사이버 공격자가 인간을 해치는 운영 기술 갖게 될 것" (0) | 2021.07.26 |
줌(Zoom), 종단간암호화 기능 제공...무료 및 유료 사용자에게 모두 무료 (0) | 2020.10.27 |
순찰용 인공지능 & 자율비행 드론...선플라워 랩, 보안용 드론 시스템 (0) | 2020.01.09 |