2022년 FIDO 기술 세미나 얼라이언스 업데이트
발표 : FIDO 얼라이언스 이사장겸 마케팅 책임자 앤드류 시키어님
요약 : 패스워드가 산업계에 미치는 부정적인 피해에 대해 하루종일 얘기가능
<22년의 반을 지나 내년까지 있을 수 있는 몇가지 예상>
1) 온라인 피싱공격 계속 증가, 피싱은 저비용으로 성공적인 공격을 이뤄낼 수 있고 40%이상의 성공률
2) 기존 MFA(다중요소인증)를 회피하는 공격형태가 점점 많이 목격되므로 레거시 2차 인증이나 다중요소 등의 인증방법이 충분히 안전하다는 잘못된 생각에서 벗어나는 것을 고민할 시기임
<앞으로 목격될 좀 더 행복한 소식>
앤터프라이즈 B2B시장에서 FIDO 기반 패스워드리스 인증의 확산이 예상
앞서가는 플랫폼과 디바이스들이 B2B 그리고 B2G 시장에서 직원들이 패스워드에 더 이상 의존하지 않도록 하여 주요리스크 와 위협 요소들을 제거할 필요가 있음
가트너가 이야기 하는것과 같이 플랫폼 디바이스기업들이 대규모 패스워드리스 기능을 구현해 낼 시기고 근본적인 변화가 필요
과거 레거시 지식기반 인증 형태에서 보다 현대화된 소유기반 인증으로 이동해야 함(과거 레거시형태 온라인인증은 알려진 위협을 대부분 허용하나 현재적인 인증 형태는 원격피싱 공격을 잘 이겨낼 수 있고 이런 소유기반 인증방식은 인간이 저지를 수 있는 실수를 사전에 예방)
<파이도는 런칭할 때 Simpler( 더 단순) 과 Stronger(더 강함) 을 동시에 강조>
파이도는 공개키 기반 암호화 인증을 제공하는데 이것은 일반 사용자는 그게 무엇인지 이해하거나 사용하려고 요청하지 않아도 됨
공개키 기반 암호 알고리즘의 잘못된 사례( FIDO기초의이해의 내용에서 나온 공공아이핀이 대표적)도 많음
파이도의 MFA온라인 인증기술은 사용성과 보안성 사이에 밸런스를 찾고 대규모 확장성 과 실현이 보장되도록 해야 함
그를 위해 파이도 협회는 전세계 250여개 회원사들이 함께하고 있음
우리 협회 이사회 분들은 패스워드가 가진 문제를 해결하기 위해 필요한 올바른 기업들이 참여
매일 사용하는 플랫폼과 디바이스를 제공하는 기업, 생체인증, 사이버 보안, 아이덴티티 등의 분야에서 리더, 온라인 커머스 서비스 제공자, 온라인 은행 서비스 회사들이 참여하고 자신들의 경험을 바탕으로 기술 스펙을 제공하고 사용 사례를 만들어 대규모 형태의 구현을 이끔
각국 정부 레벨 회원들은 각 지역의 법률과 정책관련 요구사항을 파악하여 FIDO가 가장 적절하게 도입되고 확장될 수 있도록 함
FIDO Authentication 이 작동원리는 아래 패시키와 중복되므로 생략....
<파이도의 적용 사례 와 한계 그리고 극복>
이런한 FIDO 스펙이 대규모로 실현되기 위해서는 유비쿼터스 한 환경이 이룩되야 하고 대표적인 운영체계와 웹브라우더의 지원을 받아냈고 지금 여러분이 오픈하는 모든 디바이스는 FIDO 기반 온라인 인증기능을 지원
안드로이드, 윈도우, 애플은 물론 삼성 인터넷을 포함한 모든 인터넷 웹브라우저가 FIDO를 지원
하지만 전세계인 모두가 FIDO를 사용하기 위해서는 우리의 미션이 아직 미완성, 사용성이 여전히 이슈가됨. (FIDO v1.0)
WebAuthn이 대부분 웹브라우저에서 지원되지만 플랫폼과 디바이스 그리고 브라우저 사이의 여러 이슈 잔존
그래서 대규모로 FIDO를 확장시시키 위해서는 보안성을 계속 유지하면서 사용성을 향상시킬 필요가 있음
이점에 있어서 여러 활동들이 있음
1) 최초로 UX 가이드라인을 발표
2) UX 위원회 발족하고 기술적인 배경을 가진 분들만 참여하는 것이 아니라 초일류 기업 디자이너, UX 전문가도 참여
3) (예정) 미래 UX 리서치를 위한 계획
4) (예정) 멀티 디바이스 FIDO 크리덴셜 인 패스키
패스키란 FIDO는 항상 계정 복구 관련 도전에 직면
기기에 의존하는 파이도 크리덴셜은 기기가 없으면 기존에는 재등록해야 하는 번거롬이 있고 재등록하다보면 사용자를 인증하기 위해서 패스워드를 사용하게 되고 그럼 패스워드를 없애려는 파이도의 설립취지에 어긋남
그래서 일반 사용자들이 매우 쉽게 하나의 계정을 여러 디바이스에서 사용하거나 새로운 디바이스를 추가 할 수 있도록 하는 것으로 파이도 크리덴셜을 근접기기에서 복제(sync)하거나 클라우드를 통하여 복제(backup and recovery) 가능하도록 패스키를 사용하면 새로운 디바이스를 등록할 필요가 없고 서비스 제공자는 내 디바이스 계정을 복구하기 위한 패스워드를 서비스에 저장할 필요가 없음
이 컨셉으로 2가지 기능에 적용
1. 우선 사용자가 매 계정마다 등록할 필요없이 자동적으로 모든 크리덴셜에 접근이 가능
2. OS 플랫폼이나 웹브라우저의 종류에 상관없이 모든 앱이나 웹사이트에 모바일 디바이스를 활용해서 로그인 가능
현시점에서 애플, 마이크로소프트, 구글 모두가 협업하여 서비스를 향후 몇년내 제공할 예정
패스키 컨셉은 서비스 제공자들이 FIDO 인증을 도입하거나 배포하는 방식을 다양하게 할수 있음.