온라인 환경에서 생체인식 기술을 활용한 인증방식 기술표준을 정하기 위해 설립된 FIDO는 지난해 말 FIDO 1.0을 공개하면서 이를 준수하는 기업에 인증서를 수여했는데, 국내에서는 ETRI, 삼성전자, 크루셜텍, 라온시큐어 등이 인증을 획득했다.
김태진 라온시큐어 연구개발실장은 “FIDO 인증을 획득하기 위해서는 PKI에 대한 지식이 있어야 하며, FIDO 1.0에서 요구하는 모든 스펙을 이해해야 한다. 라온시큐어는 그동안 PKI 기반 인증서를 제공해왔으며, 스마트폰 USIM칩에 공인인증서를 저장하는 서비스를 제공해 오면서 FIDO 1.0의 인증 요건을 만족시킬 수 있었다”고 설명했다.
“USIM 스마트 인증 서비스 통해 기술 안전성 입증”
FIDO는 구글, 페이팔, VISA, 마스터카드 등 온라인 전자상거래를 제공해 온 기업들이 국제표준을 만들기 위해 2012년 설립했으며, 생체인식 기술과 PKI 기술을 결합해 안전한 전자상거래 환경을 만들 수 있도록 하고 있다.
FIDO에서 발표한 표준안은 생체인식 기술만을 요구하는 것은 아니며, 생체정보를 안전하게 저장하는 것, 생체정보를 이용해 본인인증과 부인방지를 쉽고 안전하게 진행하는 것 등을 포함한다.
FIDO에서 요구하는 인증 방식은 사용자 기기의 하드웨어 보안영역에서 생체정보나 PIN 번호 등을 이용해 사용자를 인증한 후 인증 결과값만 암호화해 서버에 보내고, 서버는 PKI 기술을 활용해 인증을 진행한다. 사용자 정보가 서버에 저장되지 않으며 인증정보가 네트워크로 전송되지 않기 때문에 사용자 정보를 탈취당할 염려가 없다.
FIDO 인증을 획득한 라온시큐어 기술은 ‘터치엔 원패스’에 적용됐으며, 이 솔루션은 사용자 단말의 인증 결과값을 서버에서 인증할 수 있도록 한다. USIM 스마트인증 서비스를 제공하면서 기반 기술의 안정성을 확보했으며, ETRI와 ‘WebCert 표준 호환성 시험도구’를 공동개발하면서 FIDO 핵심기술을 확보했다. 이어 BC카드와 FIDO 기반 비콘 연동 통한 결제 시범서비스를 구현해 기술의 상용화가 가능하다는 사실을 입증했다.
공인인증서 대체 기술로 주목
김태진 실장은 “FIDO 기반 인증 기술은 개인키를 안전한 곳에 저장하고, 브라우저에서 직접 접근하지 못하도록 하는 것이 가장 중요하며, 라온시큐어는 USIM 스마트인증 서비스를 통해 해당 기술을 상용화 시켰다”며 “비액티브X, 공인인증서 대체 기술 등을 위해 FIDO 인증이 주목받게 될 것”이라고 설명했다.
이 기술은 공인인증서가 필요한 모든 서비스에 적용될 수 있다. 각종 전자상거래와 인터넷·모바일 뱅킹, 공공기관 민원서비스 등에 사용될 수 있다. ARS를 통한 전화인증, SMS 인증을 대체할 수 있어 금융사가 통신사에 지불하는 비용을 크게 줄일 수 있다.
김 실장은 “SMS, ARS 인증도 안전하지 않다. 스마트폰에 악성코드를 설치해 SMS 정보를 중간에 가로챌 수 있으며, ARS 착신전환으로 사기범이 인증을 수행하는 전자금융사기 수법도 이미 나왔다. FIDO 인증은 사용자가 직접 자신의 단말기에서 인증을 수행하기 때문에 이러한 사기 범죄를 막을 수 있다”고 말했다.
이어 그는 “국내 온라인 결제 환경은 해외와 다소 다른 방향으로 진행되며, 완벽하게 안전한 기술을 편리하게 이용할 수 있도록 해야 하기 때문에 매우 높은 수준의 기술을 요구하고 있다. FIDO 인증 획득도 어려운 일이지만, 이를 실제 서비스에서 구현하는 것은 더욱 어려운 일”이라며 “그러나 다양한 활용사례가 등장하면서 사용 방법은 계속적으로 진화해 나갈 것”이라고 덧붙였다.
