온라인 피싱 공격이 불가능한 FIDO 인증 솔루션
WebAuthn의 표준화를 통해 웹 보안 취약점 제거

국제 온라인 인증 표준화 단체 FIDO 얼라이언스와 국제 웹 표준화 단체(W3C: World Wide Web Consortium)가 협업을 통해 온라인 인증 표준화를 달성했다고 발표했다.

W3C는 Web API 사양을 기반으로 FIDO가 제출한 WebAuthn(Web Authentication)을 후보자 추천 상태인 CR(Candidate Recommendation) 단계로 전진시켰다. 이 성과는 30개 이상의 FIDO 회원사들로 구성된 웹 인증 워킹 그룹이 수년 동안 노력한 결과물이다.

WebAuthn이 CR로 선정 되었다는 것은 FIDO 2의 웹 표준화를 전 세계에 알리는 것으로, W3C이 온라인 서비스 제공자들과 웹 어플리케이션 개발자들에게 WebAuthn 도입을 요청하는 단계이다. WebAuthn은 인터넷 사용자들이 브라우저를 사용하여 여러 웹 사이트 및 디바이스에서 안전하게 온라인 인증이 가능한 새로운 방법을 웹 브라우저, 연계된 웹 플랫폼 인프라에 표준화된 API(Application Program Interface) 정의를 내린다.

CTAP(Client to Authenticator Protocol) 사양은 WebAuthn와 함께 FIDO2의 중요한 요소 중 하나로 FIDO 얼라이언스와 공동으로 제작되었다. CTAP는 보안 키, 휴대전화, 등과 같은 외부 인증 디바이스들이 USB, 블루투스, 또는 NFC 등을 통하여 사용자의 PC, 스마트폰 등 인터넷 접속 기기에 강력한 인증 증명서를 교신하도록 한다.

이러한 FIDO2 사양들은 인터넷 사용자들이 온라인 패스워드 피싱에 대한 걱정 없이 편하게 온라인 서비스를 데스크톱이나 모바일 환경에서 사용할 수 있도록 지원한다.

구글, 마이크로소프트, 모질라, 오페라와 같은 기업들이 제공하는 웹브라우저에 WebAuthn을 기본으로 지원하기로 약속했으며 윈도우, 맥, 리눅스, 크롬 OS, 안드로이드 플랫폼 적용을 시작했다. 오늘을 기준으로 WebAuthn, CTAP 사양 모두 개발자와 벤더가 개발하고자 하는 제품과 서비스에 차세대 FIDO 인증 솔루션을 지원할 수 있도록 제공되고 있다.

FIDO2 표준화 노력, W3C 표준 트랙에 따른 WebAuthn의 단계별 진전, 앞서가는 웹 브라우저 벤더들의 이행에 대한 약속 등등이 모두 더해져서 유비쿼터스한 환경에서 하드웨어 지원을 받는 FIDO 인증 솔루션이 인터넷을 사용하는 모든 이들을 위한 새로운 시대를 열게 된 것이다.

웹 브라우저와 운영 시스템에 새롭게 적용되는 FIDO2 표준화 사양은 이미 전 세계 수 억대의 디바이스와 구글, 페이스북, NTT 도코모, 뱅크 오브 아메리카 등과 같은 수 많은 기업의 서비스 사용자로 등록된 3조5000명을 넘어 FIDO 인증 솔루션의 적용 범위를 더욱 확장 시키게 되면서 전 세계 규제 당국들과 표준화 설정 기관들에 참고로 활용될 것이다.

새로운 FIDO2 사양은 현존하는 비밀번호가 필요하지 않은 FIDO UAF(Universal Authentication Framework), 이중 인증방식 FIDO U2F (Universal 2nd Factor)의 사용 사례를 보완하게 되어 FIDO 인증 유효성을 더욱 확장하게 될 것이다. FIDO2 웹 브라우저와 온라인 서비스는 기존에 인증 받은 FIDO 보안 키와 완벽하게 호환이 된다.

FIDO 얼라이언스는 FIDO2 사양을 지키는 서버, 클라이언트, 인증기에 대한 상호운용성 테스트와 인증서 발행을 곧 실행할 것이다. 적합성 테스트 툴은 FIDO 얼라이언스 웹사이트에서 제공이 되고 있다. 아울러 모든 FIDO 인증 형태(FIDO UAF, FIDO U2F, WebAuthn, CTAP)에 대한 서버의 상호운용성을 인증하기 위한 신규 유니버설 서버 인증(Universal Server Certification) 또한 도입될 것이다.