생체인증은 핀테크·간편결제 서비스에 다양하게 이용되면서 우리나라에서도 많은 활용 사례를 만들어나가고 있다. 그러나 생체정보 유출 우려에서 자유롭지 않으며, 삼성전자의 갤럭시노트7 리콜로 인해 이 제품에 포함된 홍채인식 기술에 대한 관심이 한풀 꺾인 상황이다.
생체인증 표준으로 알려진 FIDO는 생체인증을 보다 안전하고 편리하게 제공할 수 있는 기술 표준을 제공하고 있다. FIDO 표준을 이끌고 있는 FIDO 연합은 생체인증 뿐 아니라 다른 방식의 인증 표준도 지속적으로 연구하고, 상용화 할 수 있도록 지원하고 있다고 강조하고 있다.
브렛 맥도웰(Brett McDowell) FIDO 연합 이사장은 6일 서울 삼성동에서 열린 ‘FIDO얼라이언스 서울 세미나’에 앞서 미디어 브리핑을 갖고 이와 같은 내용을 담은 FIDO 연합의 활동 계획을 설명했다.
브렛 맥도웰 이사장은 “FIDO는 생체인식 기술만을 포함하고 있는 것은 아니며, OTP 토큰, HSM, USB, 웹, 모바일 등 다양한 인증 기술을 이용하는 차세대 인증 표준을 만들어나가고 있다”며 “FIDO 인증 표준이 발표된지 1년 반 정도 지났는데, 이를 적용한 솔루션이 무려 250개에 이른다. UAF와 U2F가 거의 비슷한 비율로 발전하고 있으며, 보다 안전하고 편리한 보안인증을 위한 기술을 지속적으로 발전시킬 것”이라고 말했다.
FIDO에서는 생체인식을 안전한 비밀번호로 사용하는 UAF 표준과 OTP 토큰 등을 사용하는 2차인증인 U2F로 나뉘어 발전하고 있으며, 향후 FIDO 연합에서는 ▲W3C 웹 인증 ▲EMVCo와 협력을 통한 지불결제 표준화 ▲클라이언트-인증서버 프로토콜(CTAP) ▲FIDO 골드 서버와 새로운 인증 프로그램 등을 위해 노력할 계획이라고 밝혔다.
FIDO연합이 ‘차세대 인증’을 강조하는 이유는 인증 취약점, 특히 비밀번호 관리 취약점을 이용한 공격이 성행하고 있기 때문이다. 버라이즌의 ‘데이터 유출 보고서(DBR)’에 따르면 2015년 발생한 데이터 유출 공격의 63%는 기본 설정된 비밀번호 혹은 쉬운 비밀번호와 불법 유출된 비밀번호 등을 통해 이뤄지는 것으로 나타났다.
맥도웰 이사장은 “비밀번호의 문제는 앞으로도 더욱 심각해질 것이다. 다양한 금융 서비스, 클라우드 서비스를 사용하면서 비밀번호 관리 비용이 증가하고 복잡성도 높아질 것이다. FIDO는 비밀번호를 대체할 수 있는 안전한 기술을 개발해 기업을 지원하고 있다”며 “안드로이드 생태계는 물론이고, iOS, MS 등 다양한 OS도 FIDO 생태계를 받아들이고 있어 어떠한 단말을 사용하든 FIDO 표준을 지키면 안전한 인증을 진행할 수 있다”고 말했다.
