한국정보통신기술협회(TTA)가 내년중 차세대 인증보안 표준화단체 FIDO얼라이언스의 생체인식부품 자격인증(Biometric Component Certification) 프로그램 운영을 추진 중이다. 성사된다면 내후년부터 한국 생체인식 부품 및 시스템 공급업체들이 글로벌 시장에서 통용되는 생체인식부품 성능 테스트를 국내서 받을 수 있을 전망이다.
FIDO얼라이언스의 자격인증 프로그램 총괄 담당자인 레이 헤이워드(Rae Hayword) 디렉터는 지난 14일 "생체인식부품 자격인증을 수행할 수 있는 곳(시험소)이 현재 미국에 1곳뿐인데, (대륙별 2곳을 추가 지정해) 내년에 3곳까지 확대할 예정"이라며 "한국에서는 TTA가 이 자격인증 시험소 운영을 준비하고 있다"고 밝혔다.
유럽에 1곳, 아시아에 1곳 배정될 가능성이 높다는 점을 고려하면 TTA가 세계 두번째, 아시아권 첫번째 생체인식부품 자격인증 시험소가 될 수 있다. TTA가 시험소로 지정되면 한국에서 생체인식 부품 제조 및 시스템 개발을 하고 있거나, 이 기술을 활용한 인증장치를 제조하는 기업이 세계 시장에 접근하기가 한결 수월해진다. FIDO 표준은 FIDO얼라이언스 회원사가 포진한 세계 각국 시장에 통용될 수 있어서다.
■ 국내 생체인식기술 공급업체 해외진출에 긍정적
해당 프로그램은 FIDO 인증기술 표준 규격을 따르는 인증장치에 탑재될 생체인식 부품과 구성요소의 인식 정확도와 안정성을 검증하기 위한 테스트를 제공한다. 각국 정부 관할인 공항, 항만 등 출입국관리 및 경찰 등 사법기관은 생체인식 시스템 평가 프로그램을 자체 운영하고 있지만, 이런 목적으로 민간 소비자 시장 부문에서 표준화한 테스트를 운영하는 사례는 처음이라는 게 FIDO얼라이언스 측 설명이다.
TTA는 앞서 이달 5일부터 9일까지 과학기술정보통신부 핀테크 지원사업 일환으로 'FIDO 생체인식 시험 행사'를 진행했다. 내년 FIDO얼라이언스의 생체인식부품 자격인증 시험소로 지정받기 위한 준비였다.
TTA 측은 현장에 300명이상의 테스트 패널이 FIDO얼라이언스의 생체인식 테스트 절차를 따라 시험에 참여했다고 설명했다. 사전 제작된 위조지문, 얼굴 마스크, 홍채의안 등을 활용한 생체정보 위조탐지 테스트도 진행됐다고 밝혔다. 이를 통해 국내 중소기업인 바이오로그디바이스, 슈프리마아이디, 오이지소프트, 옥타코, 이더블유비엠이 생체정보 위조탐지기술을 개선할 기회를 얻었다고 강조했다.
TTA 소프트웨어(SW)시험인증연구소 정보보호단 신준호 팀장은 16일 "내년말 시험소 지정을 받는 걸 목표로 준비 중인 것은 맞다"면서도 "시험소로 지정되려면 (행정적인 요건 외에) 국제공통평가기준(CC) 보안인증 등 국제공인 인증에 준하는 절차를 따라 실제 생체인식관련 테스트를 운영한 경험을 갖고 있어야 하고, 제반 요건 충족이 바로 지정으로 직결되는건 아니다"라고 조심스럽게 언급했다.
■ TTA, 작년 지정받아 보안인증시험소 운영 중…생체인식부품인증시험소 추가지정 추진
현재 FIDO얼라이언스의 전체 자격인증 프로그램은 생체인식부품, 기능(Functional), 보안(Security), 3가지다. FIDO얼라이언스가 기능 자격인증과 보안 자격인증 일부를 자체 수행하고, FIDO얼라이언스가 별도 지정한 '시험소'가 고수준 보안 자격인증과 생체인식 부품 자격인증을 수행하는 체계로 운영된다.
이 가운데 기능 자격인증은 신청업체의 인증장치(Authenticator)나 인증서버 제품이 UAF, U2F, FIDO2 등 FIDO얼라이언스 표준 기술 규격에 맞춰 개발됐는지, 타사 제품 및 플랫폼과 맞물려 돌아가는지 확인해 인증서를 발급하는 절차다. 기능 인증서가 발급된 인증장치 제품은 보안 자격인증 절차를 밟을 수 있다.
보안 자격인증은 기능 FIDO 인증장치에 보안요구사항 충족여부, 적용된 암호알고리즘과 구현된 운영환경 검증 등 '보안성평가'를 수행해, 그 수준에 맞는 보안등급(L1, L2, L3, L3+)을 부여하는 절차다. L1 보안등급 평가는 FIDO얼라이언스가 수행하고, L2 보안등급 이상 평가는 지정된 보안시험소가 수행한다. 한국 TTA는 지난해 6월 L2 보안시험소로 지정돼 평가를 진행중이고, 이후 L3 및 L3+ 평가 자격도 획득했다.
FIDO얼라이언스의 기능 및 보안 인증은 수년전부터 운영되고 있었지만, 생체인식부품 자격인증 프로그램은 지난 9월초 새로 발표됐다. 이 프로그램은 발표 당시 FIDO 표준 기반 생체인식 인증장치에 탑재되는 센서 및 모든 하위 구성요소를 대상으로 테스트를 진행해, 그 인식 정확성과 안정성을 검증하는 절차로 소개됐다.
보안 인증처럼 생체인식부품 인증 프로그램도 FIDO얼라이언스가 지정한 시험소를 통해 인증절차를 운영한다. 이 프로그램 발표 시점에 미국서 SW테스팅 전문업체 '아이베타(iBeta)'가 첫 시험소로 지정됐다. FIDO얼라이언스는 미국 외 지역에도 시험소 2곳을 추가 지정해 내년중 이를 3곳으로 확대할 계획이다. 이미 보안인증 시험소인 TTA가 내년 추가될 생체인식부품 인증시험소 2곳 중 한 곳이 되려는 상황이다.
■ FIDO얼라이언스 "TTA 노력에 감사"
헤이워드 디렉터는 "TTA는 지난 1년간 FIDO 보안인증 시험소 운영을 위해 교육을 받고 절차를 마련하는 등 인력과 시간을 투자하며 준비해 왔고 이제 L2 보안등급 인증 작업을 몇 건 준비하고 있다"면서 "FIDO얼라이언스와 함께 이 시장에서 더 편리하고 안전한 인터넷 환경을 만드는 데 노력했다는 점에 감사한다"고 언급했다.
그는 FIDO얼라이언스의 3가지 자격인증 프로그램 운영을 총괄하고 있는 자격인증 전문가다. 인증 프로그램을 알리고, 신청 제품이 기준을 충족하는지 판정하고, 제품이 보안인증 시장에서 신뢰받게 만드는 게 그의 역할이다. 아마존이나 인터넷뱅킹 서비스 운영사 등 인증기술수요자(Relying Party)의 요구를 수렴해 기능인증절차 일부인 상호운용성 테스트에 반영하기도 한다.
헤이워드 디렉터는 지난 12일부터 15일까지 한국 서울 강남에서 진행된 FIDO 표준 상호운용성 테스트 참석차 국내에 체류했다. 이번 테스트는 올해 4월 공개된 'FIDO2' 규격의 상호운용성 테스트를 세계 2번째, 아시아 지역 1번째로 치른 자리였다. 여기서 25개 기업이 신청한 36건의 테스트가 진행됐다.
관련기사
- "FIDO 테스트 최근 3년간 500개 넘어"2018.11.16
- “OS, 보안 등 FIDO2 보급 난제 산적"2018.11.16
- PC와 웹에서도 생체인증...인증업체들 대응 분주2018.11.16
- FIDO얼라이언스, 내달 퍼블릭 세미나 개최2018.11.16
FIDO얼라이언스는 아이디와 패스워드 중심인 온라인 보안인증 환경에서 이용자의 패스워드 의존도를 낮추면서 더 안전하고 편리한 보안인증 기술 보급을 목적으로 하는 민간 표준화 단체다. 앞서 모바일 기기를 활용한 유니버설오센티케이션프레임워크(UAF) 및 유니버설세컨드팩터(U2F) 규격을 FIDO 1.0 표준으로 발표했고, 올해 상반기 웹과 PC 환경을 고려한 통합 인증규격을 FIDO2 표준으로 공개했다.
지난 2012년 출범 이래 구글, 마이크로소프트, BC카드, 라인, 삼성전자, 아마존, NTT도코모, 페이스북, 페이팔 등 세계 250개 이상 민간기업, 공공조직, 학술단체가 회원으로 참여 중이다. 한국에만 30여 회원사가 활동 중이다.
