FIDO2 총정리

1. FIDO2(Fast Identity Online)의 개념

FIDO는 비밀번호가 없는 새로운 표준이다. 여기서 FIDO2는 FIDO U2F의 확장인데, FIDO2를 풀어서 쓰면, 사람들이 온라인 서비스에 로그인하는 방식을 강화하여 전반적인 신뢰도를 높이는 것을 목표로 하는 사용자 인증을 위한 개방형 표준이라 할 수 있다. 피싱 방지 암호화 자격 증명을 사용하여 사용자 신원을 확인함으로써 보안을 강화하고, 사이버 범죄로부터 개인과 조직을 보호하기 위한 개념인 것이다. 그러기 위한 FIDO2의 주요 목적은 비밀번호 사용을 없애는 것이다. 이전의 글에서도 기술했듯, 비밀번호 인증은 정말이지 안전과는 거리가 먼 개념이고, 계속해서 업계는 비밀번호 없는 인증의 개념을 도입하고자 했다. 그러기 위한 답이 현재의 FIDO2라고 할 수 있다. 

 

FIDO2에 대해서 알기 위해 패스키를 이해해야 한다. 패스키는 공개 키 암호화를 사용하여 생성된 FIDO2 로그인 자격 증명이다. FIDO2의 비밀번호 없는 인증은 암호화 알고리즘을 사용하여 한 쌍의 개인 및 공개 비밀번호 키(*이때의 키는 아주 긴 난수일 것이다.)를 생성한다. 키 쌍은 PC, 노트북, 휴대폰 등 최종 사용자의 장치에서 직접 사용자 인증을 수행하는 데 사용된다. 암호 키는 요즘 가장 핫한 클라우드 서비스를 통해 사용자의 여러 장치에서 자동으로 동기화될 수 있을 것이다.

 

2. FIDO2의 동작 및 인증 과정

이 표준은 안전하고 편리한 인증 시스템을 보장하기 위해 공개 키 암호화를 사용한다. 이를 위해 FIDO2 표준은 개인 및 공개 비밀번호를 사용하여 각 사용자의 신원을 확인한다. 

비밀번호 없는 로그인을 설정하기 위해 우리는 몇 가지 설정 단계를 거쳐야 한다. 이는 웹 사이트로 비유하면, 회원 등록의 개념이다.

 

1단계: 등록 양식을 작성하고, PIN 입력, 지문 터치, FIDO2 보안 키 삽입 등 인증자가 원하는 동작으로 FIDO2 인증자를 선택하여 활성화한다.

2단계: 서비스는 FIDO2 인증 개인 및 공개 키 쌍을 생성한다.

3단계: FIDO2 인증자는 공개 키를 암호화하여 서비스로 전송 및 저장하고, 중요한 정보를 포함하는 개인 키는 장치에 유지한다.

 

보안 통신 경로가 활성화되면, 설정 자격 증명이 영구적으로 저장되므로 나중에도 그것을 통해 로그인할 수 있게 되는 것이다. 이제 며칠이 지나 다음에 다시 FIDO2 표준을 지원하는 서비스 중 하나에 로그인하려면 다음의 단계를 수행하면 된다.

 

1단계: 서비스는 사용자의 존재를 확인하기 위한 암호화 질문을 발행한다.

2단계: FIDO2 인증자를 사용하여 Challenge에 서명한다. 이때의 인증자는 계정 등록 중에 사용한 것과 동일한 인증 제스처이다.

3단계: 서비스의 서버는 사용자의 Response를 확인하고 계정에 엑세스할 수 있다. 서비스는 안전하게 등록된 공개 키로 그 절차를 확인하는 것이다.

이 로그인 과정에서의 핵심은 서버와 어떠한 비밀도 교환하지 않는다는 것이다. 중요한 정보인 보안 키는 항상 장치에 남아있게 된다.

 

2.1 FIDO2의 인증자 유형

기기에서 고유한 FIDO2 암호 키 세트를 생성하기 위해서 먼저 엑세스를 요청하는 사용자가 승인되지 않은 사용자 또는 악성 코드 유형이 아닌지 확인해야 할 것이다. 이는 PIN, 생체 인식 또는 기타 사용자 동작을 허용할 수 있는 장치인 인증자를 통해 수행된다.

 

ㄱ. 플랫폼 인증자(바운드 인증자)

이러한 인증자는 데스크톱, 노트북, 태블릿, 스마트폰 등 사용자의 클라이언트 장치에 내장되어 있다. 패스키를 보호하기 위한 생체인식 기능과 하드웨어 칩으로 구성된 플랫폼 인증자는 사용자가 클라이언트 장치로 FIDO 지원 서비스에 로그인한 다음, 동일한 장치를 통해 인증하도록 요구한다.

이때의 인증에서 생체 인식 데이터를 요구하는 경우가 많은데, 우리에게 친숙한 애플 터치 ID나 페이스 ID, 안드로이드 지문 인식 등이 그에 해당하는 플랫폼 인증자다.

 

ㄴ. 크로스 플랫폼 인증자(로밍 인증자)

이러한 인증자는 사용자의 클라이언트 장치와 별개인 휴대용 하드웨어 장치이다. 로밍 인증자에는 USB 프로토콜이나 NFC 및 블루투스 무선 기술을 통해 클라이언트 장치와 연결되는 보안 키, 스마트폰, 태블릿, 웨어러블 및 기타 장치가 포함된다. 사용자는 FIDO 키를 꽂고 버튼을 누르거나, 스마트폰에 지문 등 생체인식 정보를 제공하는 등 다양한 방법으로 신원을 확인한다. 로밍 인증자는 사용자가 언제 어디서나 여러 컴퓨터에서 인증할 수 있도록 허용하므로 크로스 플랫폼 인증자라고 부르는 것이다.

3. FID2 인증의 이점 

ㄱ. 보안 강화

너무나도 당연하다면 당연한 이점이겠는데, FIDO2의 비밀번호 없는 인증은 고유한 비밀번호 키를 사용하여 로그인 보안을 크게 강화한다. FIDO2를 사용하면 공격자는 민감 정보에 쉽게 엑세스할 수 없을 것이다. 생체 인식 및 FIDO2 키는 OTP 전송과 같은 기존 다단계 인증 방법읠 취약점을 제거하는 데에도 도움이 될 것이다.

 

ㄴ. 사용 편의성 향상

FIDO 인증을 통해 개인은 FIDO2 키, 인증 앱, 지문 판독기 또는 장치에 내장된 카메라를 사용하여 빠르고 편리하게 자신의 신원을 인증할 수 있다. 사용자는 두 번째 또는 세 번째 보안 단계를 수행해야 하지만, 암호 생성, 기억, 관리 및 재설정과 관련된 시간적 번거로움을 절약할 수 있을 것이다.

 

ㄷ. 엑세스 관리 단순화

인증과 관련한 직원들은 더 이상 암호 정책과 인프라를 배포 및 관리할 필요가 없으므로 다른 업무에 몰두할 수 있을 것이다. 또한 비밀번호 재설정과 같은 비밀번호 기반 요청을 지원할 필요가 사라진다.

 

ㄹ. 사용자 개인정보보호 강화

FIDO 인증은 개인 암호화 키와 생체 인식 데이터를 사용자 장치에 안전하게 저장하여 사용자 개인정보 보호를 강화한다. 또한, 이 인증 방법은 고유한 키 쌍을 생성하므로 서비스 공급자가 사이트 전체에서 사용자를 추적하는 것을 방지하는 데 도움이 될 것이다.

 

ㅁ. 확장성 향상

FIDO2는 기업을 비롯한 여러 조직이 비밀번호 없는 인증 방법을 전 세계적으로 확장할 수 있도록 하는 라이센스가 필요 없는 개방형 표준이다. 따라서 FIDO2를 사용하면 브라우저와 플랫폼에 관계없이 모든 직원, 고객에게 안전하고 효율적인 로그인 환경을 제공할 수 있을 것이다.

 

※ FIDO2 vs FIDO U2F, 무슨 차이가 있는가?

둘의 가장 큰 차이점은 FIDO2는 모든 인증이 비밀번호 없이 가능하도록 만들어졌다는 것이다. 반면, FIDO U2F는 비밀번호를 위한 2팩터 인증으로서 설계된 것이다.