FIDO (생체 인식)
요즘 스마트폰을 사용하면서 홍채 인식과 지문 인식을 통해 잠금 화면을 해제하는 모습을 많이 볼 수 있다. 비밀번호를 사용하는 것보다 매우 편리하게 사용할 수 있다. 비밀번호를 사용하면 오래된 번호는 잊어버릴 수도 있다. 비밀번호 찾기를 통해 비밀번호를 찾지만 또 시간이 지나면 잊어버릴 수도 있다. 매우 귀찮은 일이다. 그래서 절대 잊을 수도 없고 타자를 사용하지 않고 쉽게 할 수 있도록 생체 인증을 만들었다. 그게 바로 FIDO 인증 프레임워크이다.
FIDO(Fast Identity Online)는 아이디와 비밀번호 조합 대신 지문, 홍채, 얼굴 인식, 목소리, 정맥 등을 활용한 새로운 인증 시스템이다. 사용자를 증명할 수 있고 사용자가 사용하기 편한 도구가 바로 사용자 그 자체의 생체 정보이다. 그래서 이를 활용하여 인증 시스템을 만들었다. 처음 만들어진 생체 인증은 보안상 안정성에서 좋지 못한 평가를 받았다. 서버에 저장된 생체 정보가 해킹될 가능성이 높아서 신뢰도가 높지 못하였다. 하지만 200여개의 글로벌 기업들이 FIDO 연합체를 꾸리고 온라인 환경에서도 생체인식 기술을 활용한 안전하게 인증할 수 있는 국제 인증 기술 표준 FIDO 1.0을 발표했다. FIDO는 기존의 생체 인증 기술에서의 단점인 안정성을 확보하기 위해 인증 프로토콜과 인증 수단을 분리해 보안과 편리성을 둘 다 챙기는 기술이다.
FIDO에는 비밀번호 없이 인증하기 위한 UAF(Universal Authentication Framework) 프로토콜과 비밀번호를 보완해서 인증하기 위한 U2F(Universal 2nd Factor) 프로토콜이 있다. UAF 프로토콜은 사용자 기기에서 제공하는 인증방법을 온라인 서비스와 연동해 인증하는 기술이다. 대표적으로 지문인식 기능을 통해 결제하는 서비스들을 생각하면 될 것이다. U2F 프로토콜은 기존 아이디와 비밀번호 기반 온라인 서비스에서 추가로 인증을 받고자 할 때, 사용자 로그인 시에 추가할 수 있는 프로토콜이다.
FIDO 기술은 사용자의 편리성도 보장하지만 기업의 입장에서도 편리성을 보장받는 기술이다. FIDO 기술에서 생체 인증을 등록하는 것과 사용되는 형태를 살펴보면 기본적으로 공개키 암호화 방식을 이용한다. 다만 FIDO는 검증과 인증을 분리하여 수행하고 사용자의 디바이스에만 생체정보가 저장될 뿐 서버에는 실제 정보가 저장되지 않아 보안성에서 뛰어나다.
FIDO 1.0 규격은 2014년 12월에 발표되었다. 시작한지 얼마 되지 않은 기술이다. 2015년 4월엔 처음으로 호환성과 연동성 테스트를 진행했다. 이후 시험에 통과한 기술에 다수의 업체들이 FIDO 국제 인증을 획득하고 다양한 분야에 활용하기 시작했다. 모바일 세계에서 FIDO의 기술이 엄청 많이 사용되고 있다. 대표적인 예로 FIDO 기반 지문인증 서비스를 금융 분야에 접목시켜 공인인증서와 같은 불편한 서비스를 지문인증으로 쉽게 처리할 수 있는 방법을 사용하고 있다. 이를 넘어서 현재는 웹브라우저에서도 활용할 수 있는 FIDO 2.0 규격도 준비하고 있는 중이다. FIDO 기술은 점차 더 중요한 기술로 자리 잡을 것이다.
출처 - 네이버캐스트[FIDO]
'보안해킹' 카테고리의 다른 글
버퍼 오버플로 & 포맷 스트링 공격 (0) | 2017.04.29 |
---|---|
블록체인 (0) | 2017.04.28 |
SQL 인젝션 & XSS (0) | 2017.04.24 |
세션 하이재킹 공격 & 부채널 공격 (0) | 2017.04.23 |
허니팟 & 허니넷 (0) | 2017.04.22 |