삼성전자, 구글 등 글로벌 회사들이 비밀번호가 필요없는 안전한 인증을 위해 속속 합류하고 있다.
22일(현지시간) 미국 지디넷에 따르면 비밀번호 없는 인증기술 생태계를 만들기 위한 기업들의 연합인 'FIDO얼라이언스'는 최근 삼성전자 제품과 구글이 제공하는 서비스 등을 포함해 최근 31개 제품을 FIDO 인증심사를 통과시켰다고 밝혔다.
FIDO얼라이언스는 생체인증, 투팩터 인증 등을 제품이나 서비스에 적용해 관련 생태계를 표준화하는 것을 목표로 한다. 이를 통해 글로벌 시장 어느 곳에서도 통하는 높은 호환성을 가진 인증기술 기반을 만드는 것을 목표로 한다.
구글의 로그인 서비스는 FIDO1.0 인증을 받은 초기 서비스 중 하나다. 구글은 생체인증, 투팩터 인증 등을 적용하기 위해 지메일 로그인 프로세스를 바꿀 예정이다. 로그인 페이지를 두 개로 나눠 첫 페이지에 사용자 ID만 입력하도록 하고, 그 다음으로 나타나는 두번째 페이지에 비밀번호를 입력하도록 하는 방식을 추진해 나간다는 계획이다.
이러한 움직임을 두고 구글은 이달 초 "로그인 페이지에서 비밀번호를 보완하는 미래 추가적인 인증솔루션을 도입하기 위한 조치"였다고 밝힌 바 있다.(관련링크)
구글의 로그인은 U2F 서버인증을 획득했다. 다른 제품들은 UAF 클라이언트/서버/인증기와 U2F 인증기/서버 등을 포함한다.
FIDO 서명은 크게 UAF, U2F라는 두 개의 프로토콜로 나뉜다. UAF는 말 그대로 생체인증을 위한 유니버셜인증프레임워크를 말한다. 온라인서비스를 위해 사용자가 등록한 기기를 활용한 생체인증에 대한 기술표준을 다루고 있다.
U2F는 유니버셜세컨드팩터의 줄임말로, 투팩터 인증을 말한다. 구글을 예로들면 USB에 암호화된 개인키를 집어넣은 뒤 인증이 필요할 때마다 USB드라이브에 꽂아 사용하는 '시큐리티키'와 같은 수단에 대한 기술표준이다. 사용자는 인증이 필요할 때마다 시큐리티키에 부착된 버튼을 누르는 등의 방법으로 일회용 비밀번호(OTP)를 생성해서 쓸 수 있도록 했다.
삼성전자는 시큐어 아이덴티피케이션 프레임워크1.0에 대해 UAF 인증기(authenticator), UAF 클라이언트 인증심사를 통과했다.
삼성전자, 퀄컴, 구글과 함께 인증회사 중에는 유비코와 우리나라 기업/기관으로는 크루셜텍, 한국전자통신연구원(ETRI), 라온시큐어 등이 해당 인증을 받았다.(관련링크)
마이크로소프트는 아직 FIDO 생태계에 합류하지 않고 있으나 윈도10이 본격적으로 출시되는 시점에 맞춰 나오게 될 차기 FIDO 버전에 대한 인증을 획득할 것으로 전망된다.
