국제 생체인증 표준 FIDO(Fast IDentity Online) 바람이 거세게 불고 있다. 표준화 기구가 만들어진 지 불과 5년, 첫 표준이 나온 지 2년 만에 세계적인 주목의 대상이 된 것. FIDO는 말 많고 탈 많은 국내 보안인증 시장에서 대체 기술로 기대를 모으고 있다.

한편에서는 공인인증서가 FIDO로 대체 될 것이라고 전망하는가하면 또 다른 한편에서는 FIDO가 그동안 홀대받던 공인인증서의 구명조끼가 돼 줄 것으로 기대하고 있다.

FIDO의 화려한 날개 짓

지문, 홍채, 정맥, 안면 등을 인식하는 기술은 오래 전부터 주목 받았지만 기업이나 기관별로 각각 기술을 개발해 적용해 왔다. 그러다 보니 다양한 기기를 연결하는 사물인터넷 시대의 활용에는 한계가 있었고 전문가들을 중심으로 호환성을 높이기 위한 국제 표준의 필요성이 제기됐다.

2012년 7월 생체인식 기술 표준을 정하기 위한 국제협의회인 FIDO 얼라이언스가 결성됐다. 이 기구에는 우리나라의 삼성전자와 LG전자, 비씨카드를 비롯해 구글, 레노버, 마스터카드, 마이크로소프트, 페이팔, 인텔 등 250여 개의 글로벌 기업들이 참여하고 있다. FIDO는 2014년 12월 국제인증기술 표준인 FIDO 1.0을 공개했다.

FIDO는 표준이 나온 2년 동안 돌풍을 일으켰다. 현재 세계 98개 기업의 259개 솔루션이 인증을 받았다. 특히 애플, 삼성전자 등 스마트폰 제조업체들이 지문인식 기능을 스마트폰에 추가함에 따라 생체인증이 다양한 서비스와 결합될 수 있는 길이 열렸다. 앞으로 지문인증뿐 아니라 홍채인증, 정맥인증, 안면인증 등 다양한 생체인증 기능이 스마트폰 등의 기기에 적용될 전망이다.

국내 기업들도 적극 대응에 나서고 있다. 한국전자통신연구원(ETRI), 한컴시큐어, 이니텍, 코스콤, KT, LG전자, LG유플러스, NHN엔터테인먼트, 펜타시큐리티, 라온시큐어, 삼성전자, 삼성SDS, SGA솔루션즈, SK플래닛, SK텔레콤 등 15개 업체의 62개 솔루션이 FIDO 표준 인증을 받았다.

2015년 10월에는 FIDO에 우리나라가 더욱 적극적으로 참여할 수 있도록 지원하기 위해 통신사, 금융기관, 보안업체, IT전문가 등이 참여한 한국FIDO산업포럼이 출범, 박춘식 서울여대 교수가 초대 회장으로, 이기혁 중앙대 교수가 부회장으로 선임됐다.

2016년 12월 초 방한한 브랫 맥도웰 FIDO 얼라이언스 이사장은 생체인식 기술의 미래 비전을 발표하면서 “2017년부터 FIDO 2.0 플랫폼을 다양한 기기 사업자에 개방, 관련 생태계가 구축될 것”이라고 밝혔다. 또 “웹 플랫폼상의 안전한 인증을 위해 W3C와 웹 인증 작업을 하고 있으며 거의 마무리 단계”라고 설명했다.

FIDO 1.0이 스마트폰, 태블릿 등 모바일 중심이었다면 FIDO 2.0은 모바일은 물론 웹 공간까지 포괄한다. FIDO 2.0은 2017년 상반기 중으로 발표될 전망이다. FIDO 2.0 표준에 대한 준비도 진행되고 있다. ETRI는 2016년 말 FIDO 2.0에 맞춰 상황인지 인증기술과 웹서비스에서도 생체인증을 할 수 있는 기술 등을 개발했다고 밝혔다. ETRI 관계자는 “FIDO 2.0이 2017년에 표준화, 상용화될 것으로 보고 선도적으로 준비를 하고 있다”며 “FIDO 2.0이 공식 발표되면 준비된 기술을 바로 적용할 수 있을 것”이라고 말했다.

애증의 공인인증서와 FIDO

FIDO의 부상으로 인증 시장을 장악했던 공인인증서 업계는 희비가 교차하고 있다. 전자상거래의 신원확인, 문서 위변조 확인, 거래사실 증명 등을 위해 전자서명이 사용된다. 공인인증서는 전자서명의 검증에 필요한 공개키(PKI)에 소유자 정보를 추가해 만든 온라인 거래용 전자인감증명서다.

전자서명은 개인키와 공개키로 구성된 비대칭키 암호화 시스템을 사용한다. 인터넷 쇼핑으로 사용자가 물건을 사고 전자서명을 하면 자신만 가진 열쇠로 전자서명을 암호화해 보낸다. 판매자는 사용자가 제공한 공개열쇠를 이용해 암호를 풀고 원래 서명과 비교해 위조 여부를 판독한다.

우리나라에서 공인인증서가 널리 확산된 것은 1999년 전자서명법 제정이 계기가 됐다. 온라인 거래의 안전성을 보장하기 위해 공인인증서 사용을 의무화한 것. 이 때문에 인증서는 발급 건수가 3000만 건을 넘어설 정도로 널리 확산됐고 많은 사람들이 사용했다.

하지만 액티브X 문제와 공인인증서의 PC 저장으로 인한 유출 문제가 대두되면서 공인인증서에 비난의 화살이 쏠렸고 FIDO는 공인인증서의 대안으로 주목을 받았다. 더 이상 공인인증서를 사용하지 않아도 생체정보를 이용해 인증을 할 수 있게 됐다는 것이다.

하지만 FIDO가 오히려 공인인증서의 재평가와 부흥을 가져올 것이라는 시각도 있다. FIDO와 공인인증서를 결합하는 모델이 나올 것이란 전망 때문이다. 공인인증서 사용 시 암호를 입력하는 대신 생체인증을 적용하고 내부에서는 공인인증서로 부인방지 기능 등을 수행하는 것이다. 실제로 FIDO의 서버, 클라이언트 인증은 공인인증서와 같은 PKI 방식을 사용하고 있다.

한국인터넷진흥원(KISA)은 2016년 9월 ‘바이오정보 연계 등 스마트폰 환경에서 공인인증서 안전 이용 구현 가이드라인’을 발표했다. 여기에는 부록으로 FIDO 인증기술과 공인인증서 연계 기술에 대한 내용이 수록돼 있다. FIDO 인증기술로 바이오 정보를 이용해 비밀번호를 입력하지 않고 공인인증서를 이용하는 방법에 대해서 설명했다.

업계에서도 이와 관련한 움직임이 활발하다. 코스콤은 2016년 8월 공인인증서 비밀번호 입력 없이 지문으로 대체 가능한 인증 솔루션을 개발, 배포했다. 한국전자인증도 2016년 12월초 지문인증과 지문인증 연계 공인인증서비스를 시작했다. SGA솔루션즈 역시 공인인증서 부인방지 기능을 결합한 FIDO 솔루션을 공급하고 있다. 공인인증서가 FIDO와 공생을 통해 더 편리한 보안인증 기술로 진화하고 있는 것이다.

원유재 핀테크보안연구센터장(충남대 교수)은 “FIDO가 주목받는 것은 더 편리한 기술이기 때문”이라며 “서버, 클라이언트단의 보안기술이 공인인증서와 같다고 할 수도 있지만 큰 틀에서 보면 다르다”라고 말했다. 또 “당분간 FIDO가 주목받고 공인인증서 기술이 함께 사용되겠지만 앞으로 또 다른 인증도 나올 수 있다”고 내다봤다.

또 다른 보안 전문가는 “검은 고양이 든 흰 고양이든 쥐를 잘 잡으면 된다”며 “기술 자체 보다는 사용자들에게 더 나은 보안과 편리성을 제공하는 방법을 고민해야 할 것”이라고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]

< 본 기사는 테크M 제45호(2017년 1월) 기사입니다>