본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

FIDO, 공인인증서 비밀번호를 대체하다.

2016.02.23

안녕하세요. 대학생 기자단 석승연입니다.

IT가 급속하게 발전하면서 정보에 대한 접근성은 편리해지고 있는데요. 하지만 사용자들이 수많은 사이트와 서비스에 개인 정보를 제공하고 이용함으로써, 개인정보에 대한 보안은 점차 취약해지고 있습니다.

사용자 인증 시 가장 많이 사용되는 방식은 아이디와 패스워드 입력을 통한 방식입니다. 그러나 이 방법은 많은 사용자들이 패스워드를 기억하기 쉽도록 하기 위해 간단하게 만들고, 가입 중인 여러 사이트에 동일한 아이디와 패스워드를 사용한다는 치명적인 보안 취약성을 가지고 있습니다.

이 경우 하나의 사이트에서 개인정보가 유출되었을 때 다른 웹사이트까지 줄줄이 해킹되는 것은 시간 문제입니다. 실제로 위와 같은 이유로 개인정보 유출 및 ID 도용이 매우 빈번하게 발생하고 있는데요. 이러한 문제를 방지하기 위해서는 패스워드를 복잡하게 만들거나, 웹사이트 별로 다른 아이디와 패스워드를 만들어 사용해야 합니다. 하지만 사용자들이 일일이 패스워드를 관리하기란 현실적으로 매우 어려운 일입니다.

최근 이런 패스워드 문제를 해결하기 위해 다양한 인증방식이 등장하고 있는데요. 그중에서도 오늘은 안전하고 편리한 인증방식인 ‘FIDO(Fast Identity Online)’를 소개해 드리겠습니다.

FIDO란?

FIDO(Fast Identity Online)는 기존의 아이디와 비밀번호를 입력하는 방식보다 더 쉽고 강력한 보안성을 제공하기 위해 만든 인증 서비스인데요. FIDO에 대해 자세히 알아보겠습니다.

1. FIDO에서 주목받는 ‘바이오 인식 기술’

FIDO 얼라이언스1에서 가장 주목하고 있는 인증 기술은 ‘바이오 인식 기술’입니다. 얼굴이나 지문을 인식해 본인 여부를 확인하는 인증 방법으로, 컴퓨터나 스마트폰에 얼굴을 비추거나 손가락 지문을 인식하여 사용자를 구분하는 방법입니다. 최근 핀테크와 같이 금융과 IT의 결합으로 인해 강력한 보안성을 갖춘 인증 수단의 필요성이 커지면서 FIDO의 중요성 역시 더욱 커지고 있습니다.

2. ‘FIDO 인증방식의 원리’

최근 발표된 FIDO의 인증방식은 아이디와 패스워드 대신 생체정보를 이용하는 UAF방식과 아이디, 패스워드와 함께 별도의 인증 장치를 이용해 2차 인증을 수행하는 U2F방식의 2가지 방식이 있습니다.

<FIDO의 두 가지 프로토콜 (출처: https://fido.kica.co.kr/#section2)>

먼저 UAF(Universal Authentication Framework)방식은 지문, 음성, 얼굴 인식 같은 사용자의 생체정보가 서버가 아닌 개인 소유 단말에 저장되는 방식입니다. 이는 서버에 생체정보가 저장되어 유출 위험이 있던 기존의 생체인증기술과 달리 스마트폰에 별도로 할당된 하드웨어 보안영역(Trust Zone)이나 USIM칩, IC칩, HSM칩에 저장되어 안전하게 보관할 수 있습니다.

U2F(Universal Second Factor)방식은 우선 기존의 아이디와 비밀번호로 1차 인증 후, 2번째 인증요소로 UAF와 같은 강력한 인증을 추가할 수 있는 방식을 말합니다.

따라서 어떤 방식이든 FIDO 기술 표준은 생체정보를 외부로 유출하지 않고 디바이스의 독립 공간인 ‘트러스트존’이라는 암호화된 공간에 데이터를 저장하고, 인증 결과만 외부 서버에 보내는 방식이기 때문에 기존의 생체인식기술보다 훨씬 안전합니다.

FIDO와 공인인증서

1. 보안상의 취약점을 가진 공인인증서

온라인상에서 공인인증서는 필수적인 존재입니다. 전자거래, 민원업무, 제세공과금 납부, 본인확인 등 수많은 분야에서 공인인증서가 사용되기 때문인데요. 이렇게 공인인증서가 다양한 분야에서 사용되는 만큼 한 번 유출되면 그 피해는 상당히 클 수 밖에 없습니다.

공인인증서의 개인키는 개인이 독립된 매체에 보관해야 안전하지만, 우리나라 공인인증서는 NPKI라는 폴더에 개인키와 함께 저장되고 있습니다.

이는 개인키를 통해 공개키에 접근하고, 그 공개키로 암호화된 인증 정보를 열어서 본인인증정보를 확인하고 전자서명을 발생시킬 수 있다는 의미인데요. 더 심각한 문제는 이 NPKI는 일반 폴더처럼 복사가 자유로워 다른 매체로 쉽게 옮길 수 있다는 것입니다.

또한, 스마트폰에서도 모바일 결제를 위한 인증서를 주로 개인키와 함께 공개된 영역에 저장해서 사용하기 때문에 공인인증서의 보안은 상당히 취약한 상황입니다.

2. 공인인증서, 지문인식과 결합하다.

KISA(Korea Information Security Agency, 한국인터넷진흥원)에서는 이런 공인인증서의 한계점을 보완하여, FIDO의 생체인식기능과 공인인증서를 연계한 기술을 개발하고 있습니다.

지문, 홍채, 얼굴 인식 등 바이오 인식 기술과 공개키 암호 기술을 융합하여 비밀번호 입력 없이 스마트폰을 통해 자신의 지문을 저장해두면 PC와 스마트폰을 연결하여 공인인증서를 사용할 수 있는 것인데요. 이렇게 하면 결제를 하는 과정에서 공인인증서를 실행한 뒤 손가락을 스마트폰 지문인식 센서에 갖다 대어 지문을 검증한 뒤 결제가 이루어지게 됩니다.

현재 지문인식 기능이 모든 스마트폰에 적용되어 있지는 않지만, 점차 많은 스마트폰이 지문인식 기능을 갖추고 출시되고 있습니다.

3. FIDO와 공인인증서의 결합 이점

FIDO와 공인인증서가 결합함으로써 생체인증기술은 공인인증서의 한계점을 보완해주고 모바일 결제의 편리함을 가져다 주었습니다.

기존의 공인인증서는 결제를 하기 위해 엑티브X의 설치는 물론 비밀번호를 입력해야 하는 번거로움이 있었습니다. 하지만 FIDO는 생체정보 인증 방식을 이용하여 일일이 비밀번호를 기억할 필요가 없으며 본인이 아니면 인증이 불가능하기 때문에 보안상의 취약점까지 해결해주었습니다.

또한, 개인정보를 서버가 아닌 개인의 스마트폰에 별도로 할당된 하드웨어 공간에 저장하기 때문에 프라이버시 침해 우려도 적어서 점차 상용화될 것으로 전망하고 있습니다.

KISA는 LG, 삼성, 애플이 FIDO 기술을 탑재한 단말기를 출시한다면 향후 전자금융거래에서도 FIDO와 공인인증서를 연계한 서비스가 활발히 사용될 것으로 기대하고 있습니다. 또한, 공인인증서에 바이오 인식 기술까지 접목한 FIDO 기술은 핀테크의 간편 인증수단으로써 크게 확대될 것으로 예상하고 있습니다.

FIDO 기술의 한계점

지금까지 FIDO의 생체인증과 공인인증서의 연계기술에 대해 살펴보았는데요.

아직 FIDO 기술은 초기단계이기 때문에 공개된 해킹 사례를 쉽게 찾아볼 수는 없습니다. 또한 생체인증 보안의 취약점을 발견하는 해커 대회가 열리는 등 해당 기술을 보완하려는 노력이 꾸준히 이루어지고 있습니다.

하지만 생체인증 방식에도 커다란 단점이 존재하는데요. 바로 생체정보가 ‘대체 불가능한’ 정보라는 것입니다. 생체인증 기술은 자신의 생체정보를 이용하기 때문에 굉장히 안전하지만, 만약 이 생체정보가 복사•유출된다면 비밀번호처럼 다시 바꿀 수도 없기 때문에 보안상의 양면성을 가지고 있는 것입니다.

실제로 지난 2015년 9월 보안업체 파이어아이(FireEye)가 세계적으로 명망 높은 정보보안 행사인 ‘블랙햇 2015’에서 모바일 디바이스의 지문 인증 시스템과 관련된 해킹 가능성을 발표했는데요. 공격자가 멀웨어(Malware)를 통해 지문 인증 프로세스를 뚫을 수도 있고, 루팅 공격을 통해서 트러스트존을 우회해 디바이스에 저장되어 있는 지문정보를 수집할 수도 있습니다.

따라서 FIDO가 공인인증서와 결합하기 위해서는 무엇보다 강력한 보안 기술이 필수적으로 뒷받침되어야 할 것으로 생각합니다.

FIDO 기술이 스마트폰과 밀접하게 연계•발전되고 있는 만큼 FIDO의 인증 기술은 모바일 상거래에 긍정적인 변화를 일으킬 것으로 예상됩니다. FIDO가 모바일 환경뿐만 아니라 생체인식 기능이 없는 PC 환경에서도 이용 가능한 차세대 인증 기술로써 앞으로 상용화될 날을 기대해 봅니다.

챗봇과 대화를 할 수 있어요