[

테크M=글  손경호 지디넷코리아 기자]

많은 온라인 서비스에서 사용자를 보호하는 1차 관문 역할을 했던 비밀번호가 이제는 ‘공개번호’로 전락했다는 얘기가 나온다. 국내외에서 보안이 허술한 웹사이트 서버에 저장된 비밀번호가 해킹돼 유출되면 다른 곳까지 위험해지는 일이 종종 벌어지는 탓이다.

지난달 초에는 알집, 알약, 알패스 등 서비스를 제공하는 이스트소프트 알툴즈 사용자들 중 13만명의 아이디(ID), 비밀번호가 이런 식으로 유출됐다.

회사측에 따르면 공격자들은 해킹이라고 보기 무색할 정도의 방법을 동원했다. 사전에 유출된 다른 웹사이트의 ID와 비밀번호를 일일이 대입해 보는 식으로 공격한 것이다.

사용자들이 자주 찾는 포털사이트, 카카오톡, 페이스북 등에 로그인하기 위해 같은 ID와 비밀번호를 쓰는 일이 잦아진 만큼 공격에 노출되는 일 또한 많아진 셈이다.

인터넷·모바일 뱅킹이나 국세청, 민원24 등 전자정부 사이트 공인인증서 로그인에도 같은 비밀번호를 쓰고 있다면 문제는 더 심각해진다.

그렇다고 사이트 마다 다른 비밀번호를 쓰자니 이것도 만만치 않다. 그 사이 스마트폰을 이용한 문자메시지(SMS) 인증, 보안토큰, 비밀번호 관리 툴까지 등장했지만 보안성과 편리성을 모두 잡았다고 보기에는 만족스럽지 못했다.

불편하고 불안한 비밀번호 대체하는 생체인증

이런 고민에서 출발한 생체인증은 2013년 애플이 아이폰5S 잠금해제에 지문인식을 적용한 터치ID 및 이와 연동한 간편결제인 애플페이를 내놓으면서 본격적으로 보급되기 시작했다.

이에 질세라 삼성전자는 갤럭시노트5에 지문 인식 기반 간편결제 삼성페이를 내놓고, 갤럭시S8부터는 삼성패스를 통해 지문 외에 홍채, 얼굴인식 등을 지원하고, 이를 활용해 모바일 크롬 웹브라우저에서 웹사이트 로그인에 필요한 비밀번호를 대체하기 시작했다.

이후 애플은 가장 최신 스마트폰인 아이폰X에는 터치ID 대신 페이스ID라는 얼굴인식이 적용되고, LG전자 V30은 지문, 얼굴에 더해 음성인식까지 지원하는 중이다.

그 사이 생체인증 도입 초창기인 2013년 등장한 FIDO얼라이언스는 생체인증 관련 업계 표준을 마련하며 분위기를 주도해가고 있다.

여기에는 삼성전자와 함께 구글, 마이크로소프트(MS), 알리바바 그룹, 인텔, 퀄컴, 페이팔 등 내로라하는 글로벌 IT 기업들이 참여해 비밀번호 없는 생체인증 생태계 만들기에 집중한다.

FIDO얼라이언스는 애플에도 꾸준히 러브콜을 보내고 있지만 아직까지 가능성은 희박하다. 주도권 문제가 달려있는 탓이다.

FIDO 인증, 터치ID와 같은 기술 뿌리

흥미로운 점은 애플이 고안해 터치ID, 페이스ID 등에 적용한 생체인증 방식과 FIDO얼라이언스가 마련한 ‘UAF(Universal Authentication Framework)’의 기술 원리가 크게 다르지 않다는 사실이다.

이들은 모두 사용자 고유 생체정보를 활용해 공개키, 개인키를 생성한다. 공개키는 외부 FIDO서버에 저장해 놓고, 개인키는 트러스트존(안드로이드), 시큐어인클레이브(iOS)와 같은 단말기 내 안전한 저장소에 기록한다.

이후 단말기는 사용자의 지문 등 생체정보를 인식해 개인키를 꺼낸 뒤 내부에서 전자서명을 거친 결과값만 FIDO서버로 보내 실제 사용자가 맞는지를 검증하는 절차를 거친다.

한국FIDO산업포럼 회장을 맡고 있는 박춘식 서울여대 교수는 “FIDO 표준(UAF)의 핵심은 생체인증을 비밀번호로 대체할 수 있고, 외부 서버에 개인 인증정보를 두지 않아도 된다는 점”이라고 설명했다.

FIDO서버에는 사용자 비밀번호를 알 수 있는 정보가 기록되지 않는다. 때문에 해당 서버가 해킹된다고 하더라도 사용자가 쓰고 있는 단말기 내부에서도 뚫기 힘들게 꽁꽁 싸매서 보호하고 있는 트러스트존(TZ), 시큐어인클레이브(SE)까지 해킹해야 한다.

그러나 웬만한 해킹실력을 갖추지 않은 이상 기기를 훔치고, 어떤 식으로는 생체정보까지 확보해야만 인증을 도용하는 일이 가능해진다. 만에 하나 이런 과정을 모두 뚫어 해킹이 된다고 하더라도 웹서버에 저장된 수많은 사용자들의 비밀번호가 유출되는 것에 비하면 훨씬 안전성이 높다.

일일이 웹사이트나 웹 기반 애플리케이션에 로그인하기 위한 비밀번호를 기억하고 있지 않아도 된다는 점도 강점으로 꼽힌다.

이를 눈여겨 본 국내 금융권, 공인인증기관, 일부 보안 기업들은 발 빠르게 FIDO 표준 기반 생체인증을 상용화하기 시작했다.

그 사이 글로벌 기업들 중에는 마이크로소프트(MS)가 2015년 초 윈도10을 공개하면서 기기 로그인을 위한 생체인증 서비스인 ‘윈도 헬로’와 함께 윈도 환경, 웹 기반 애플리케이션, 웹사이트 등에서 비밀번호를 대체하는 용도로 쓸 수 있도록 했다.

국내 은행권에서는 모바일뱅킹앱에서 생체인증과 공인인증서가 결합된 인증방식을 선택했다. 한국인터넷진흥원(KISA)에 따르면 이런 방식을 쓴 일명 ‘K-FIDO’를 활용하는 금융사는 우리은행, KB국민은행, 신한은행, 부산은행, SK증권, IBK투자증권, 유진투자증권, 키움증권, KB증권 등 9개사다.

이 금융사들은 생체인증, 바이오인증, 지문인증서, 홍채인증서 등의 이름을 내세워 생체정보를 활용해 공인인증서를 발급해 쓸 수 있도록 한다.

이에 더해 기존 공인인증서를 쓰되 로그인에 필요한 비밀번호만 생체인증으로 바꿀 수 있게 하는 방식이 IBK기업은행, 동부증권, 한국투자증권, 교보증권 등에 적용됐다.

국내 기업들 중에는 라온시큐어, 한국정보인증, 한국전자인증 등이 관련 사업을 진행 중이다. FIDO얼라이언스 이사회 멤버인 라온시큐어는 터치엔원패스라는 솔루션을 공급 중이다.

한국정보인증, 한국전자인증의 경우 공인인증서를 보완하는 형태로 FIDO 인증을 활용하는가하면 중소기업이나 스타트업들이 클라우드 환경에서 FIDO 기반 생체인증을 필요할 때마다 임대해서 쓸 수 있는 서비스를 내놓기도 했다.

FIDO 2.0, 모바일 넘어 PC 환경까지

FIDO 표준은 현재 새로운 버전으로 진화를 앞두고 있다. ‘FIDO2.0’이라는 이름으로 이전 방식의 한계를 보완한 새로운 표준화 작업이 진행 중이다.

스마트폰을 넘어 PC나 노트북에서도 생체인증을 활용할 수 있게 하겠다는 취지다. 이를 위해 FIDO얼라이언스는 웹브라우저 내에서 별도 모듈을 설치하지 않고서도 FIDO 기반 생체인증을 지원할 수 있게 한다는 생각이다.

한국전자통신연구원(ETRI) 정보보호연구본부 진승헌 본부장에 따르면 원래 일정대로 라면 지난 5월께 FIDO2.0 표준화 작업이 완료됐어야 했다. 그러나 여기에 참여한 운영체제(OS), 웹브라우저 개발사를 포함한 관련 기업들 간 의견일치가 이뤄지지 않아 초안이 5번째 버전까지 수정되면서 논의가 올해 말, 내년 초까지 이어질 것으로 전망된다.

이런 논의가 마무리되고 주요 OS, 웹브라우저가 FIDO2.0을 지원하기 시작하면 PC, 노트북에서 온라인 서비스를 이용할 때 비밀번호가 필요 없는 시대가 열릴 것으로 기대된다. 단, 생체인증을 위해 지문인식 센서, 얼굴인식을 위한 적외선 카메라 등이 필요하다는 점은 변수다.

전자정부서비스에 활용할 방법 있나

금융사를 넘어 전자정부 환경에서도 생체인증이 쓰일 수 있을까. 현재 국내서 FIDO 기반 생체인증은 금융사의 경우 공인인증서를 대체한다기보다는 보완하는 용도로 쓰인다.

박춘식 한국FIDO산업포럼 회장은 “FIDO 인증은 본인 확인을 위해 비밀번호가 필요한 거의 모든 곳에 쓸 수 있지만 공인인증서의 본래 기능인 전자서명 용도로 활용하기는 어렵다”고 말했다.

모바일 뱅킹앱에 로그인하는 용도로는 생체인증을 쓸 수 있지만 이체 등의 과정에서는 여전히 중요한 거래내역에 대한 전자서명이 필요하기 때문에 인증서가 필요하다는 의견이다.

K-FIDO는 FIDO 기반 생체인증을 활용해 공인인증서를 발급하고, 개인키를 스마트폰 내 안전한 저장소에 저장하는 방식을 쓰고 있다. 이전까지 공인인증서와 개인키가 NPKI 폴더라는 공개된 곳에서 저장해 해킹 위협에 노출됐었던 점을 보완한 것이다.

그러나 FIDO 기반 생체인증이 공인인증체계와 마찬가지로 공개키와 개인키 쌍을 활용한 공개키기반구조(PKI) 기술을 활용한다는 점에서 아예 불가능한 일은 아니다.

다만 ETRI 정보보호연구본부 진승헌 본부장은 “현재 FIDO 기반 생체인증은 각 서비스마다 인증서를 따로 발급받아야 하는 만큼 (공인인증체계처럼) 모든 곳에 범용으로 쓰기는 어렵다”며 “FIDO 서버에 저장되는 공개키가 안전한지를 보장할 수 있는 방법 등도 마련돼야 한다”고 설명했다. 기술 자체의 문제라기 보다는 이를 둘러싼 정책 혹은 신뢰체계가 갖춰져야 한다는 주장이다.

이밖에도 FIDO 기반 생체인증과 사설인증서를 결합해 은행은 은행만, 민원24, 국세청 등 전자정부 서비스는 해당 서비스에 대해서만 쓸 수 있게 용도를 제한하는 형태도 고려해 볼 수 있다는 의견이 나온다.

<본 기사는 테크M 제55호(2017년 11월) 기사입니다>