민간표준 FIDO, ITU-T 국제표준 된다

2015년부터 보급된 민간 간편인증 기술 '패스트아이덴티티온라인(FIDO)' 규격이 조만간 국제전기통신연합 전기통신표준화부문(ITU-T) 국제표준으로 채택된다. 이를 통해 세계 각지 인증기술 시장과 온라인서비스에 FIDO 기술 확산이 추진력을 얻을 것으로 기대된다.

FIDO는 로그인할 때 생체정보, PIN번호, 하드웨어 보안 키 등을 쓰게 만들어주는 간편인증 기술 명칭이다. 기억 부담과 도용 위험이 큰 '패스워드' 의존을 덜고 접속 기기를 제한해, 편의성과 보안성을 높이는 수단으로 보급되고 있다. 민간연합 FIDO얼라이언스가 내놨다.

국제전기통신연합(ITU)은 1947년 국제연합(UN)에 의해 지정된 전기통신부문 총괄 국제기구다. 현재 세계각지 ICT규제기관, 학술단체, 700개 기업과 193개 국가가 회원으로 참여중이다. ITU란 이름은 1865년 설립된 국제전신연합이 1932년 국제전파전신연합과 통합하면서부터 쓰였다. 그중 ITU-T는 전기통신 기술, 운용, 요금 관련 과제 연구와 국제표준 권고안 제정을 맡고 있다.

국제전기통신연합 전기통신표준화부문(ITU-T) 정보보호연구반(SG17)이 FIDO얼라이언스의 인증보안기술 규격을 국제표준으로 채택할 전망이다. 2018년 11월1일부터 회원의 최종의견수렴 과정을 거치는 중이다. 28일까지 이견이 없으면 29일 채택이 확정된다.

그간 민간표준을 ITU-T가 채택한 국제표준으로 만들려는 시도 자체가 흔치 않았다. FIDO 사례가 역대 4번째다. 이 논의는 지난해말 FIDO얼라이언스의 제안으로 시작됐다. 이후 ITU-T 정보보호연구반(SG17) 의장단과 FIDO얼라이언스 집행부간 협의가 진행됐다.

최근 순천향대학교 정보보호학과 염흥열 교수는 "FIDO얼라이언스가 올해 9월 SG17 연구반 회의에 15건의 (FIDO 기술규격 관련) 문서와 국제표준화 추진 의향서를 포함한 연락 문서를 보냈다"며 "문서가 2건의 표준으로 재분류돼 ITU-T 표준화 논의가 시작됐다"고 밝혔다.

염흥열 교수는 2016년 10월부터 SG17 의장으로 임명돼 활동 중이다. 그는 "미국 대형 보험사 애트나(Aetna)가 FIDO얼라이언스 지원하에 ITU-T의 국제표준화 논의를 주도하고 있다"며 "애트나는 FIDO얼라이언스 회원사이면서 ITU-T SG17 회원이기도 하다"고 설명했다.

이어 "FIDO 규격 국제표준화는 SG17안의 '신원관리 구조 및 메커니즘' 10번 연구과제(Question 10)"라며 "(표준화 실무는) 과제의 라포처(Rapporteur)인 애비 바비(Abbie Barbir) 박사와, 해당 국제표준 에디터인 데이빗 터너(David Tunner)에 의해 진행되고 있다"고 덧붙였다.

그는 또 "FIDO 규격의 비전은 온라인서비스 제공시 다중인증요소와 공개키암호 알고리즘에 근거한 강력한 사용자인증 메커니즘 구현으로, 금융부문 등 많은 산업에 활용될 수 있는 만큼 파급효과가 큰 국제표준이 될 것이라 볼 수 있다"고 내다봤다.

FIDO얼라이언스는 지난 2012년 출범해 현재 구글, 마이크로소프트, BC카드, 라인, 삼성전자, 아마존, NTT도코모, 페이스북, 페이팔 등 세계 250개 이상 민간기업, 공공조직, 학술단체가 회원으로 참여 중이다. 한국서 생체인식 인증장치 및 인증보안기술 업체를 포함해 30여곳이 활동한다.

■ ITU 회원 최종의견수렴 단계…"이견 없이 28일 지나면 채택"

ITU-T SG17에서 FIDO같은 민간표준 국제표준화를 진행중이라는 것은 구체적으로 누가 뭘 어떻게 검토하고 논의를 진전시킨다는 걸까.

염 교수의 설명을 요약하면 이렇다. 국제표준화 결정은 ITU-T SG17에서 내려진다. SG17은 앞서 FIDO얼라이언스가 제출해 재분류된 2건의 문서를 표준으로 채택할지 검토했다. SG17 안의 연구과제10 활동으로 1차 검토했고, 이어 SG17 종합회의(Plenary)에서 최종논의했다.

FIDO 문서 2건에 대한 논의는 ITU-T가 타 조직의 문서를 수용하는 일반 절차인 국제표준 A.25를 따랐다. 문서의 설명, 완성도, 정당성, 지적재산권 문제, 참조문헌, 기존 문서의 접근가능한 위치, 문서 제출 조직이 승인받았는지 여부, 다른 ITU-T 국제표준과의 관계 등이 검토됐다.

ITU-T 공식 웹사이트에서 확인할 수 있는 SG17 연구과제10 현황 표. FIDO얼라이언스가 제출한 문서 2건이 논의과제로 채택됐고(붉은 상자 표시) 표준화가 진행돼 왔음을 확인할 수 있다.

ITU-T의 국제표준화 과정은 크게 워크아이템 수립, 국제표준 개발, 채택, 3가지 단계로 나뉜다. 이가운데 국제표준 개발 단계만 적어도 2~3년이 걸린다. 하지만 FIDO 규격의 국제표준화 과정은 이를 건너뛰고 올해 9월 SG17 회의에서 대체채택과정(AAP)으로 진행됐다.

염 교수는 "지난 9월 SG17 회의에서 FIDO 문서를 검토한 결과 기술적, 편집적 완성도가 충분하다고 인정돼 AAP로 사전 채택(consent)이 이뤄졌다"며 "4주간 ITU 회원국, 부문 회원의 AAP 최종 의견수렴과정(LC, last call)을 통과하면 국제표준으로 최종 채택된다"고 밝혔다.

SG17에서 FIDO 문서에 대한 AAP 단계의 LC 과정은 이달 1일부터 시작됐다. 오는 28일로 4주의 기간을 채울 때까지 회원들로부터 심각한 기술적 의견이 제기되지 않으면, 29일부터 국제표준으로 채택된다.

염 교수는 "28일이 되기 전까지 회원들로부터 나온 의견과 관련된 이슈가 발생하면 (SG17 의장으로서) 논의에 개입해 해소하는 절차를 밟아야 하기 때문에 표준 채택 시기가 더 늦어질 가능성도 있지만, 현재까지는 그런 일이 생길 것 같지 않다"고 언급했다.

■ ITU-T SG17 검토 FIDO 표준 문서, 어떤 내용인가

FIDO 문서 2건은 앞서 FIDO얼라이언스가 만든 기술 규격에 해당하는 내용을 각각 담고 있다. 하나는 패스워드를 대체할 수 있는 사용자와 인증장치간 프로토콜(X.ctap, X.1278)이고, 또 하나는 온라인서비스에서 공개키암호 기술로 사용자 기기를 인증하는 규격(X.uaf, X.1277)이다.

X.ctap 문서는 웹 및 PC용 인증프로토콜인 'FIDO2' 규격 중 '클라이언트 투 오센티케이터 프로토콜(CTAP)' 및 FIDO 1.0 규격 중 '유니버설세컨드팩터(U2F)'에 해당하는 것으로 보인다. CTAP은 FIDO2 호환 외부 인증장치가 온라인서비스 사용자의 계정 인증정보를 그의 PC나 모바일 기기로 건넬 때 쓰는 기술의 규격이다. U2F는 아이디와 패스워드로 인증한 뒤 생체정보나 보안 키 등으로 2차인증을 거쳐 로그인할 수 있는 기술 규격이다.

X.uaf는 패스워드 입력 없이 대체 인증수단으로 온라인서비스에 로그인할 수 있는 유니버설오센티케이션프레임워크(UAF)에 해당하는 것으로 보인다. UAF는 FIDO 1.0 규격 중 PIN번호나 지문, 안면, 홍채인식 등 생체정보나, 보안 키같은 장치로 로그인할 수 있는 기술 규격이다.

염 교수는 "형식 측면에서는 FIDO 문서가 ITU-T 국제표준 형식으로 전면 변경됐다"면서도 "그러나 기술적 측면에서는 FIDO 문서와 ITU-T 국제표준은 동일하다고 볼 수 있다"고 설명했다.

■ "외부 기술규격 ITU-T 국제표준화 시도는 4번째…산업발전 기대"

FIDO 문서의 국제표준화 시도는 ITU-T 역사상 4번째다. 염 교수는 "ITU-T가 외부 조직의 문서를 국제표준으로 채택하는 사례는 드문 일"이라며 "그만큼 채택 절차와 기술적 검토가 까다롭기 때문"이라고 지적했다.

기존 3건은 모두 오아시스(OASIS)에서 개발한 규격을 채택한 사례였다. 앞서 OASIS가 개발한 규격들이 2006년 ITU-T '보안보증마크업언어(X.1141)'와 '확장접근통제마크업언어(X.1142)'로 채택됐고, 2017년 '인증등급상승프로토콜 및 메타데이터 버전 1.0(X.1276)'으로 채택됐다.

FIDO얼라이언스가 앞서 수년간 비영리 민간 인증기술 표준화 단체로 FIDO 인증기술 규격을 보급해온 가운데, ITU-T 국제표준 채택은 해당 기술을 받아들이려는 세계 각지 산업계 움직임을 가속화할 수 있을 것으로 기대된다.