윈도10 컴퓨터 사용자들이 마이크로소프트(MS) 온라인 계정을 패스워드 없이 쓸 수 있게 됐다. 최신 운영체제(OS) 및 MS엣지 브라우저 업데이트에 차세대 보안 기술 '패스트아이덴티티온라인(FIDO)2' 표준 규격이 구현된 결과다. 회사가 상반기 내놓은 '패스워드 없는 세계' 구상을 실현하려는 움직임으로 읽힌다.
MS 아이덴티티 사업부의 프로그램 매니지먼트 담당 알렉스 사이먼스 기업부사장(CVP)은 지난 20일 회사 공식 블로그를 통해 FIDO2 표준과 호환되는 기기로 MS 계정에 사용자명과 패스워드 요구를 받지 않고 로그인하는 기능을 지원하기 시작했다고 밝혔다. [☞원문 바로가기]
MS 계정(Microsoft account)은 원드라이브 스토리지, 아웃룩 웹메일, 오피스365 소프트웨어 구독, 스카이프 인터넷 전화, X박스(Xbox) 게임 콘텐츠 서비스, MS애저 클라우드 서비스, 윈도10의 MS스토어 앱 장터 등 MS가 제공하는 온라인 기반 제품 전반을 쓸 때 필요한 계정이다. 사용자들이 더 이상 이 계정의 사용자명과 패스워드를 입력하지 않고 FIDO2 표준이 지원하는 대체 수단으로 인증을 수행할 수 있게 된 것이다.
사용자명과 패스워드 입력 없이 MS 계정 로그인을 하려면 어떻게 해야 할까. 일단 현재 PC에 윈도10 최신 버전인 2018년 10월 업데이트를 적용해야 한다. 그리고 MS엣지 브라우저로 MS 계정 웹페이지를 들어가 종전대로 로그인을 한 번 해 준다. 이후 계정 페이지 '보안(Security)' 항목의 '추가 보안 옵션(More security options)'을 열고 '윈도헬로 및 보안 키'를 선택하면 하드웨어 보안 키 설정 안내가 나온다.
FIDO2 표준 호환 하드웨어 보안 키를 보유하고 있다면, 윈도10 기기에 그 하드웨어 보안 키를 연결해 인식시킨 뒤 MS 계정의 패스워드 없는 로그인 수단으로 설정할 수 있다. 설정이 제대로 된 이후 처음 MS 계정으로 로그인할 때, 보안 키를 연결한 채로 '추가 옵션' 메뉴의 '보안 키 사용'을 선택하거나, 패스워드 없이 사용자명을 입력하고 보안 키를 사용해 로그인하겠느냐는 물음에 답하면 된다.
FIDO2는 FIDO얼라이언스가 표준화한 차세대 보안인증 규격이다. MS는 지난 2013년 FIDO얼라이언스에 합류해 FIDO2 표준 설계에 참여했다. 이후 2015년 윈도10에 FIDO2 규격을 구현하겠다고 선언하고 올해 상반기 '패스워드 없는 세계'를 만든다는 구호를 통해 단계적 실행에 나섰다. [☞관련기사 바로가기] MS가 자사 OS와 웹브라우저 최신 버전에 FIDO2 표준 기능을 구현해 MS 계정 로그인 편의성을 높이는 조치도 그 일환이다.
MS는 윈도10과 MS엣지 브라우저에 FIDO2 표준을 구현할뿐아니라 그걸 OS의 보안시스템 '윈도헬로(Windows Hello)'와 통합하겠다고 예고하기도 했다. 그래서 이번에 구현된 패스워드 없는 MS 계정 로그인 기능은 FIDO2 호환 하드웨어 보안 키가 아니라 윈도헬로를 통해서도 제공된다. 즉 윈도헬로의 PIN 입력, PC에 탑재된 지문센서나 호환 웹캠을 통한 안면인식 등으로도 MS 계정 로그인이 가능하다.
사이먼스 CVP는 "달마다 8억명 이상이 업무와 여가 용도로 MS 계정을 사용해 어디서나 아웃룩, 오피스, 원드라이브, 빙, 스카이프, X박스라이브로 연결하고 창작하고 공유하고 있다"며 "이제 그들은 이 (FIDO2 기반 MS 계정 로그인이 제공하는) 단순한 사용자 경험과 향상된 보안을 통해서도 그 혜택을 누릴 수 있다"고 강조했다. 윈도헬로 및 FIDO2 로그인이 피싱, 악성코드의 공격으로부터 계정을 보호해준다고 덧붙였다.
회사측이 실제로 MS계정 로그인을 위해 구현한 기술은 FIDO2 표준의 '클라이언트 투 오센티케이터 프로토콜(CTAP)'과 월드와이드웹컨소시엄(W3C)의 '웹오센티케이션(Web Authentication) API'다. CTAP은 FIDO2 호환 외부 인증장치가 온라인서비스 사용자의 계정 인증정보를 그의 PC나 모바일 기기로 건넬 때 쓰는 기술의 규격이다. 웹오센티케이션API는 FIDO2 로그인을 처리시 웹브라우저에 구현돼야 하는 API다.
다만 MS는 윈도헬로와 FIDO2 호환 외부 인증장치 기능을 구현하고 MS계정 로그인을 지원하기 위해 사용자의 윈도10 기기가 신뢰플랫폼모듈(TPM)이라 불리는 내장 보안강화요소(secure enceval)를 갖춰야 한다고 설명했다. TPM은 사용자 얼굴, 지문, PIN 등의 간편 인증시 처리되는 생체정보나 대체정보 및 비밀키를 저장하는 구성요소로 하드웨어 또는 소프트웨어 방식으로 구현될 수 있다. 윈도10 PC 자체의 TPM 대신 FIDO2 호환 하드웨어 보안 키같은 외부 인증장치가 그 역할을 할 수 있다.
관련기사
- 파이어폭스·MS엣지, 구글 '웹P' 포맷 지원2018.11.22
- MS엣지, IE11보다 3배 빨라2018.11.22
- AI, 자동차 제조 확 바꿨다…'고효율·저비용' 혁명2024.05.02
- '노코드·로우코드 컨퍼런스' 찾은 관람객 "AI 도입 고민 해결됐다"2024.05.02
다만 MS의 온라인서비스가 FIDO2 기반 MS계정 로그인을 지원하는 움직임은 아직 MS 자체 OS와 브라우저 및 온라인서비스 생태계에 머물러 있다. FIDO얼라이언스에 함께 참여해 FIDO2 표준 확산에 가세하고 있는 구글의 점유율 1위 브라우저 '크롬'에서는 MS엣지 브라우저와 동일한 FIDO2 기반 로그인 시나리오를 기대할 수 없는 상황이다.
구글도 앞서 FIDO 1.0 기반의 2단계 인증 규격인 유니버설세컨드팩터(U2F) 기반 하드웨어 보안 키를 내부 업무시스템 및 G메일이나 구글드라이브같은 외부 구글서비스 이용자의 로그인 수단으로 지원해 왔다. [☞관련기사 바로가기] 현재 비공식적으로 FIDO2 관련 기술을 크롬 브라우저에 구현하고 있지만 공식 지원 시기는 불분명하다. 공식 지원되더라도 윈도 기반 크롬 브라우저에서 MS엣지 브라우저처럼 매끄러운 로그인 시나리오가 구현될지는 미지수다.
