구독상품안내
비밀번호를 정하란 문구 앞에 앉으면 딜레마가 생깁니다. 내가 쉽게 기억할 수 있는 비밀번호는 보안 수준이 낮고, 보안 수준이 높은 건 내가 기억할 수 없으니까요. 이런 딜레마를 해결하려고 고른 타협안은 여러 개의 계정에 같은 비밀번호를 쓰는 것. 하지만 이 타협안 때문에 연쇄적인 아이디 도용의 타깃이 되기 십상입니다. 게다가 앱이나 웹사이트를 운영하는 기업도 이 타협안이 반갑지 않습니다. 네이버클라우드 IT 시큐리티본부에서 일하는 곽문수 엔지니어는 “아이디 해킹 신고를 조사해보면 대부분 비밀번호가 노출된 경우”라며 “비밀번호 로그인 방식을 쓰는 건 기업 입장에서도 추가 관리가 필요한 일”이라고 설명했습니다.
비밀번호 없이 로그인하는 방법을 만들 순 없을까요? 대다수 사람들이 생체 인식이 가능한 스마트폰이나 태블릿, 노트북을 가지면서 ‘로그인할 때 휴대용 기기의 생체 인증을 이용해보자’라는 의견이 나오기 시작합니다. 여기서 출발한 게 파이도(FIDO·Fast IDentitiy Online) 얼라이언스입니다. 2012년 페이팔, 레노버, 녹녹랩스 등 6개 기업이 기업체 연합을 만들어 표준 프로토콜을 만들기로 한 겁니다. 10년이 지나며 라인, 삼성, 구글, 애플, 마이크로소프트 등 40개 기업이 보드 멤버로 가입했습니다.
이들이 같이 ‘표준’을 만드는 이유는 비밀번호 없이도 높은 보안 수준을 유지하기 위해서입니다. 미국표준기술연구소가 규정하는 인증 보장 수준은 1,2,3 세 단계로 나뉘는데, FIDO 표준을 따르면 보안 수준이 가장 높은 AAL3를 만족시킬 수 있습니다. FIDO 표준의 각 항을 따르는 것만으로 피싱을 막을 수 있고, 서버나 사용자 정보를 포함한 페이로드를 재사용하지 못하도록 막을 수 있습니다.
그래서 FIDO는 2014년, 모바일 앱에서 생체 정보로 로그인할 수 있는 기술 표준 FIDO 1.0을 공개했습니다. 생체 정보로는 개개인의 기기에 저장된 비밀키를 열 수 있습니다. 이 비밀키가 있어야 서버에 등록된 공개키와 맞춰보고 본인이란 걸 증명할 수 있죠. FIDO 1.0은 이 검증에 필요한 프로토콜을 표준으로 만들었습니다. 이어서 2018년엔 웹에서 쓸 수 있는 기술 표준인 FIDO 2.0도 공개했습니다. FIDO 2.0이 나오면서 모바일 기기에서만 가능했던 FIDO 인증이 웹 브라우저를 쓰는 다양한 기기에서 가능해졌죠.
덕분에 2014년 2월에 삼성전자와 페이팔이 최초로 결과물을 냈습니다. 갤럭시 S5 지문인식으로 페이팔을 쓸 수 있도록 한 겁니다. 또 마이크로소프트도 2015년 2월부터 윈도우 10이상에서 FIDO 인증을 지원하기로 했죠. 최근엔 네이버클라우드도 FIDO 2.0 인증을 받았습니다. 곽문수 엔지니어는 “이미 사내에선 와이파이 접속, 홈페이지 로그인, 개발자 서버 접속 등 거의 모든 서비스에 비밀번호 없는 로그인을 쓰고 있다”고 설명했습니다.
앞으로는 더 편하게 비밀번호 없는 로그인을 누리게 될 겁니다. 5월 5일(현지 시간), 애플, 구글, 마이크로소프트 3개의 빅테크 기업이 비밀번호 없는 로그인 지원을 확대하겠다고 발표했거든요. FIDO 2.0이 되더라도 애플 기기에서 마이크로소프트 기기로 바꾸면 다시 생체 정보를 등록해야 하는 불편함이 있었습니다. 그런데 이번 세 기업의 발표는 여러 기기에서 암호를 동기화해 다시 생체 정보를 등록할 필요가 없게 하겠다는 겁니다. 그럼 애플 기기에서 지문을 등록한 뒤 새로 산 마이크로소프트 기기에서 바로 지문 인식을 쓸 수 있게 됩니다. 세 기업은 공동 성명에서 “내년쯤 새로운 플랫폼을 쓰게 될 것”이라고 밝혔습니다.
