영화 ‘미션 임파서블’ 시리즈는 매번 시대상을 반영하는 최신 IT 기술을 영화 소재로 등장시키는 것으로 유명하다. 주인공인 ‘에단 헌트’는 적에게 특정한 단어를 읽게 유도해 음성 인식을 통과하거나, 카메라가 장착된 특수 렌즈를 통해 얼굴을 스캔하여 용의자를 찾아내는 등 첨단 IT 기술을 활용해 불가능해 보였던 임무들을 하나하나 해결해나간다.

작년 여름에 개봉한 ‘‘미션 임파서블: 로그네이션’에서도 인상적인 장면이 많이 등장했다. 특히, 최근 뜨거운 이슈로 떠오르고 있는 생체 인식 및 인증 기술을 묘사한 모습이 돋보였다. 지문, 음성, 홍채 인식은 물론 걸음걸이 패턴을 응용한 보안 시스템을 통과해 적지에 잠입하고, 영국 총리에게서 다양한 생체 정보를 수집해 주요 정보를 획득하는 등 생체 인증의 보안성과 편리성이 재치 있게 묘사되었기 때문이다.

생체 인증의 보안성과 편리성에 주목한 곳은 영화계뿐만이 아니다. 높은 수준의 보안을 필요로 하는 금융권을 중심으로 생체 인증 도입이 빠르게 확산되고 있는 추세다. 특히 ‘FIDO(Fast IDentity Online, 파이도)’는 뛰어난 보안성과 다양한 기기에 대한 호환성, 높은 사용 편의성으로 기존의 패스워드 방식을 대체하는 차세대 인증방식으로 급부상하고 있다. 이에 사용자 기기에서 생체 정보를 활용해 편리하고 안전하게 인증을 수행하도록 개발된 글로벌 생체인증 기술 표준인 FIDO에 대해 알아보는 시간을 가져보고자 한다.

▲ 이글루시큐리티 김학태 컨설턴트

FIDO가 부각 받는 이유를 알기 위해서는 우선적으로 지금까지 많은 기업들이 사용하고 있던 패스워드 인증 방식에 대해 짚어볼 필요가 있다. 기존 패스워드 인증은 지식 기반과 소유 기반 인증 2가지로 크게 분류되는데, 각각 사용자의 기억과 소유물에 기반하여 인증 과정을 거친다. 지식 기반 인증은 사용자가 만든 아이디와 패스워드를 토대로, 소유 기반 인증은 OTP, 보안카드, 보안인증서 등의 매개에 기반하여 사용자를 인증하는 식이다.

지식 기반, 소유 기반 인증은 시스템 구축이 쉽고 비용이 저렴한 반면, 패스워드를 사용하고 보안에 취약하다는 공통 분모를 가지고 있다. 기업, 기관 별로 제시하는 패스워드 정책에 차이가 있어 범용적으로 허용되는 하나의 패스워드를 정하고 이를 여러 곳에서 사용하는 사람들이 적지 않은 만큼, 한번 패스워드가 유출되면 그 피해가 확산될 가능성이 높다. 또한, 서버에 패스워드가 저장되므로 자칫 탈취될 위험이 있고, 사용자를 인증할 시 실제 사용자가 맞는 지 검증하기 어렵다는 점도 문제점으로 지적된다.

반면, FIDO는 패스워드 사용 없이 생체 정보 기반 인증을 이용해 사용자 편의성과 보안성을 높인 것이 특징이다. 별도의 보안 매체를 들고 다니거나 복잡한 패스워드를 외울 필요 없이 사용자 고유의 정보를 활용하고, 데이터를 암호화하는 키와 암호를 푸는 복호화 키가 다른 공개키기반구조(PKI) 기술에 기반해 개인 단말기(생체 정보, 개인 키)와 서버(공개 키)에 정보를 분리하여 사용자를 인증한다.

생체인증 기술에 대한 각종 규격을 제정하고 이와 호환되는 제품에 대해 'FIDO 인증'을 부여하는 ‘FIDO 연합(FIDO Alliance)’은 패스워드를 대체하는 UAF와 패스워드 체계에 2차 인증 요소를 추가하는 U2F라는 두 개의 기술표준을 제시하고 있다.

UAF(Universal Authentication Framework)는 패스워드 대신 생체정보를 등록하여 인증하는 방식으로, 사용자 등록과 인증의 2단계를 거친다. 우선, 사용자 등록 과정에서 사용자가 FIDO 인증 등록을 선택하면, FIDO 서비스 사업자는 사용자 단말에 저장된 생체 정보에서 개인 고유의 특징을 추출해 낸 템플릿을 이용해 인증에 사용할 공개 키와 비밀 키를 생성하고 이를 각각 FIDO 서비스 서버(공개 키)와 사용자 단말의 보안 영역(개인 키)에 저장하게 된다.

▲ UAF 표준

이후 사용자가 인증을 요청할 시, 서비스 사업자는 인증을 위해 단 한번만 쓸 수 있는 난수(One Time Challenge)를 사용자에게 보내고 단말 보안 영역에 저장된 개인 키를 꺼내 난수에 전자 서명하여 FIDO 서버로 보낼 것을 요청하게 된다. 서버는 사용자가 보내 온 전자서명을 공개 키로 검증해 사용자 인증요청을 최종적으로 승인하게 된다.

▲ U2F 표준

U2F(Universal Second Factor)는 기존처럼 패스워드 방식으로 1차 인증을 한 후, USB 동글, NFC 태그 등 별도의 생체 인증 장치를 사용해 이중으로 본인 여부를 확인하는 방식이다. 기존의 패스워드 인증 방식에 비해 패스워드에 대한 의존성을 낮추면서 FIDO 전자서명을 이용해 실제 사용자가 맞는 지 검증할 수 있는 것이 특징이다.

한편에서는 생체 정보 인증에 대한 우려도 나오고 있는 것이 사실이다. 본인이 몸에 지니고 있는 고유의 정보를 활용한다는 점에서 편리하고 확실한 본인인증수단이 될 수 있으나, 바꿀 수 없는 생체 정보의 특성 상 해당 정보가 유출될 경우 악용될 여지가 상당히 높기 때문이다. 또한, 사용자의 생체정보를 기업의 서버에 저장하는 서버 저장 방식의 경우, 생체정보가 서버로 전송되는 과정에서 해킹이 일어나거나 저장된 정보가 유출될 가능성이 존재한다.

그러나, FIDO는 여타 생체 정보 인증 방식에 비해 뛰어난 보안성을 보장한다. 생체 정보가 아닌 생체 정보에서 특징을 추출해 낸 템플릿으로 공개키기반구조에 따라 전자 서명을 하고, 사용자를 검증하기 위한 고유의 생체정보를 사용자 단말기의 안전한 보안 영역에 저장하므로 다른 사용자는 개인 키에 접근할 수가 없기 때문이다. 즉, 사용자 단말기가 해킹, 분실되어도 생체 정보의 유출 및 위조에서 안전할 수 있다는 얘기다.

보안성과 편의성이 높은 FIDO 인증 규격은 사실상의 생체인증 표준으로 자리잡을 것이라 보여진다. 2012년 7월 처음 FIDO 연합이 설립된 이래 MS, 인텔 등 주요 글로벌 IT 기업과 크루셜텍, 비씨카드 등 국내 업체를 포함한 약 200개의 기업들은 표준 규격에 근거한 제품과 기술을 선보이고, FIDO 1.0 표준에 따라 다른 회사들이 각각 개발한 서비스들이 서로 호환되는지를 확인하는 상호운용성테스트를 개최하며 FIDO 활성화에 나서고 있다.

더 나아가, FIDO 연합은 PC 환경에서도 생체인증 기술을 활용할 수 있게 하는 FIDO 2.0 표준을 WWW 기술 표준화 단체인 W3C에 신청하여 진행 중에 있다. FIDO 확산은 더욱 가속화 될 전망이다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지