2020.06.29

생체 인증 로그인 추가한 사파리, 기업용 보안 더욱 강화해

Jonny Evans | Computerworld
내부 직원, 협력사 등 기업 차원에서 웹 사이트나 서비스에 생체 ID로 접속하는 일이 머지 않은 것 같다. 애플이 지난주 WWDC 2020에서 사파리 브라우저에서 페이스ID와 터치ID 인증을 발표했기 때문이다.
 
ⓒ https://www.bakkerelkhuizen
 

더 강력한 보안이 필요한 시대

사이버 범죄가 나날이 기승을 부리고 있고, 전통적인 비밀번호 기반 보호로는 부족하다는 점이 더욱 명백해진 상황에서 애플의 행보에 주목할 만하다. 양자 컴퓨팅 기술 등이 더욱 발전하면서 비밀번호로 보호되는 기기나 정보를 탈취하기는 갈수록 쉬워지고 있다. 이때 생체 정보를 통한 보호 계층을 덧씌워 접근을 강화할 수 있다. 

애플, 구글, 마이크로소프트 등도 이러한 변화를 인식해 FIDO 연합의 형태로 USB와 NFC 보안 키 등의 보안 인증 시스템 개발에 협력하고 있다. FIDO의 주 목표는 비밀번호 의존도 감소다. 현재 애플 제품 등 20억 대 이상의 기기가 FIDO 기술을 지원하고 있다. 

WWDC 2020에서 애플은 IOS 14와 맥OS 11에서 WebAuthn(Web Authentication)이라는 FIDO 표준을 사파리에 적용한다고 발표했다. 웹 기반 API로 웹 사이트가 로그인 페이지를 업데이트해서 대상 브라우저나 플랫폼에 FIDO 기반 인증을 추가하는 표준이다.

애플은 올해부터 FIDO 연합 회원으로 활동하고 있지만 2018년부터 FIDO 기술을 테스트해왔고 이제 애플 제품에서의 FIDO 표준 생체 인증 시스템을 지원하기 시작한다. 사실상 각각의 기기가 보안 키 역할을 하게 된다.

애플의 구현 방법은 페이스ID와 터치ID 센서, 그리고 모든 개인정보 암호를 기기 안에 가두어 두는 시큐어 인클레이브(Secure Enclave)를 활용한다.
 

실질적인 변화

기업 내부 문서 공유 포털에 접근하려는 직원이라고 생각해보자. 포털 내 문서가 2단계 인증으로 보호되어 있기 때문에 아마 다음과 같은 방법으로 로그인해야 할 것이다.

1.    사이트를 방문한 후 ID와 비밀번호를 입력한다.
2.    2단계 인증 코드를 모바일 기기로 받는다.
3.    코드를 입력한다.
4.    포털 사이트에 접속한다.

번거롭지는 않지만 느린 프로세스다.

이제 애플이 사파리에서 생체 인증을 지원하기 시작하면, 서비스에 처음 로그인할 때나 오랜만에 접속할 때에만 저 과정을 밟게 된다. 그렇지 않은 평소의 접속 과정은 다음과 같이 줄어든다.

1.    사이트를 방문한 후 터치ID나 페이스ID로 액세스한다.
2.    입장한다.

이렇게 과정이 간단해진 것은 기기가 이미 사용자 본인임을 인증했기 때문이다. 기기는 물론 생체 정보가 보안 키로 인식되어 사용자는 바로 사이트에 접속할 수 있다. 기기는 사용자의 소유물이고 생체 정보는 곧 사용자 본인이라고 생각하면 이해가 쉽다.
 

더 강력한 보안이 필요한 서비스는?

금융이나 군사 기관, 의료 정보 서비스 등 더 엄격한 보안을 적용해야 하는 서비스에도 같은 방법으로 접속할 수 있을까? 대부분의 경우 이들 시스템은 2단계 인증을 사용하는데, 가능하면 보안 계층을 하나 더 추가하고 싶어한다. 생체 인증 시스템이 여기에 알맞은 계층이다.

애플도 요청의 필요성을 인정해 추가로 기기를 확인하는 보안 계층을 하나 더 개발하고 있다. 다만 종종 개인정보 정책을 위반할 수도 있다는 점이 문제로 지적된다. 애플은 AAA(Apple Anonymous Attestation)라는 시스템 내부에 심을 수 있는 증명 정보를 개발하고 있다. AAA는 기기 인증을 진행하고 사용자 정보 보호 정책을 준수하면서도 보안 계층을 하나 더 추가하는 역할을 한다.

사용자 입장에서 사내 사이트는 여전히 터치나 렌즈와 눈을 한번 맞추는 것으로 끝나기 때문에 이것은 기업용 서비스도 사용자의 쉬운 활용에 초점을 맞출 수 있다는 훌륭한 사례로 남는다. 사파리는 도메인 기반의 2단계 인증 코드를 다루기도 쉬운 환경이고, 코드를 전송받은 코드가 바로 자동으로 입력되는 기능도 있다.
 

그 어느때보다 더욱 개인정보가 강화된 사파리

WebAuthn 지원을 통해 기업은 내부와 외부를 바로 접하는 서비스를 온라인으로 제공할 수 있다. 그러나 사파리의 터치ID, 페이스ID 외에도 많은 이가 기다리는 보안 기능은 또 있다.

이미 애플은 PIN을 통한 액세스와 계정 선택 항목을 추가했다. 또 다른 유용한 항목은 사파리의 비밀번호 관리 기능이다. 다른 사이트에서 썼던 비밀번호를 재사용하려고 할 때 경고 창을 내보냈다가 이제는 데이터 유출 목록에 포함된 비밀번호를 쓸 경우에도 경고한다. 사용법도 쉽다.

온라인 트래킹의 위협으로부터 사파리 사용자를 해방하는 조치도 있다. 애플은 ITP(Intelligent Tracking Prevention)를 개발해 트래커를 식별하고 사용자의 웹 활동 프로파일링이나 추적을 방지한다. 모질라 브라우저 부사장 애슐리 보이드도 사용 시점에 IDFA를 비활성화하는 옵션을 제공하면서 애플이 수많은 사용자의 온라인 개인 정보 보호를 더욱 강화했다고 평했다. 보이드는 애플은 데이터 수집과 사생활 침해형 광고가 온라인 생활과 동어일 수 없으며 온라인 광고라는 방정식에서 사용자 개인 정보 보호가 중요한 요소라는 입장을 분명히 한 것이라며 애플의 ITP 기능 추가를 환영했다.

사파리가 FIDO를 지원하는 유일한 브라우저는 아니지만, 애플은 자체 생체 인증 기기를 설계하고 제조하는 유일한 업체다. 결과적으로 사파리는 산업 표준으로서의 FIDO 생체 보안 채택과 강력한 개인 정보 보호라는 두 가지 이점을 모두 지니게 되었다. 동시에 아이폰도 기업이 필요로 하는 강력한 보안을 제공하는 믿을 만한 기기의 면모가 강조된다. editor@itworld.co.kr 


2020.06.29

생체 인증 로그인 추가한 사파리, 기업용 보안 더욱 강화해

Jonny Evans | Computerworld
내부 직원, 협력사 등 기업 차원에서 웹 사이트나 서비스에 생체 ID로 접속하는 일이 머지 않은 것 같다. 애플이 지난주 WWDC 2020에서 사파리 브라우저에서 페이스ID와 터치ID 인증을 발표했기 때문이다.
 
ⓒ https://www.bakkerelkhuizen
 

더 강력한 보안이 필요한 시대

사이버 범죄가 나날이 기승을 부리고 있고, 전통적인 비밀번호 기반 보호로는 부족하다는 점이 더욱 명백해진 상황에서 애플의 행보에 주목할 만하다. 양자 컴퓨팅 기술 등이 더욱 발전하면서 비밀번호로 보호되는 기기나 정보를 탈취하기는 갈수록 쉬워지고 있다. 이때 생체 정보를 통한 보호 계층을 덧씌워 접근을 강화할 수 있다. 

애플, 구글, 마이크로소프트 등도 이러한 변화를 인식해 FIDO 연합의 형태로 USB와 NFC 보안 키 등의 보안 인증 시스템 개발에 협력하고 있다. FIDO의 주 목표는 비밀번호 의존도 감소다. 현재 애플 제품 등 20억 대 이상의 기기가 FIDO 기술을 지원하고 있다. 

WWDC 2020에서 애플은 IOS 14와 맥OS 11에서 WebAuthn(Web Authentication)이라는 FIDO 표준을 사파리에 적용한다고 발표했다. 웹 기반 API로 웹 사이트가 로그인 페이지를 업데이트해서 대상 브라우저나 플랫폼에 FIDO 기반 인증을 추가하는 표준이다.

애플은 올해부터 FIDO 연합 회원으로 활동하고 있지만 2018년부터 FIDO 기술을 테스트해왔고 이제 애플 제품에서의 FIDO 표준 생체 인증 시스템을 지원하기 시작한다. 사실상 각각의 기기가 보안 키 역할을 하게 된다.

애플의 구현 방법은 페이스ID와 터치ID 센서, 그리고 모든 개인정보 암호를 기기 안에 가두어 두는 시큐어 인클레이브(Secure Enclave)를 활용한다.
 

실질적인 변화

기업 내부 문서 공유 포털에 접근하려는 직원이라고 생각해보자. 포털 내 문서가 2단계 인증으로 보호되어 있기 때문에 아마 다음과 같은 방법으로 로그인해야 할 것이다.

1.    사이트를 방문한 후 ID와 비밀번호를 입력한다.
2.    2단계 인증 코드를 모바일 기기로 받는다.
3.    코드를 입력한다.
4.    포털 사이트에 접속한다.

번거롭지는 않지만 느린 프로세스다.

이제 애플이 사파리에서 생체 인증을 지원하기 시작하면, 서비스에 처음 로그인할 때나 오랜만에 접속할 때에만 저 과정을 밟게 된다. 그렇지 않은 평소의 접속 과정은 다음과 같이 줄어든다.

1.    사이트를 방문한 후 터치ID나 페이스ID로 액세스한다.
2.    입장한다.

이렇게 과정이 간단해진 것은 기기가 이미 사용자 본인임을 인증했기 때문이다. 기기는 물론 생체 정보가 보안 키로 인식되어 사용자는 바로 사이트에 접속할 수 있다. 기기는 사용자의 소유물이고 생체 정보는 곧 사용자 본인이라고 생각하면 이해가 쉽다.
 

더 강력한 보안이 필요한 서비스는?

금융이나 군사 기관, 의료 정보 서비스 등 더 엄격한 보안을 적용해야 하는 서비스에도 같은 방법으로 접속할 수 있을까? 대부분의 경우 이들 시스템은 2단계 인증을 사용하는데, 가능하면 보안 계층을 하나 더 추가하고 싶어한다. 생체 인증 시스템이 여기에 알맞은 계층이다.

애플도 요청의 필요성을 인정해 추가로 기기를 확인하는 보안 계층을 하나 더 개발하고 있다. 다만 종종 개인정보 정책을 위반할 수도 있다는 점이 문제로 지적된다. 애플은 AAA(Apple Anonymous Attestation)라는 시스템 내부에 심을 수 있는 증명 정보를 개발하고 있다. AAA는 기기 인증을 진행하고 사용자 정보 보호 정책을 준수하면서도 보안 계층을 하나 더 추가하는 역할을 한다.

사용자 입장에서 사내 사이트는 여전히 터치나 렌즈와 눈을 한번 맞추는 것으로 끝나기 때문에 이것은 기업용 서비스도 사용자의 쉬운 활용에 초점을 맞출 수 있다는 훌륭한 사례로 남는다. 사파리는 도메인 기반의 2단계 인증 코드를 다루기도 쉬운 환경이고, 코드를 전송받은 코드가 바로 자동으로 입력되는 기능도 있다.
 

그 어느때보다 더욱 개인정보가 강화된 사파리

WebAuthn 지원을 통해 기업은 내부와 외부를 바로 접하는 서비스를 온라인으로 제공할 수 있다. 그러나 사파리의 터치ID, 페이스ID 외에도 많은 이가 기다리는 보안 기능은 또 있다.

이미 애플은 PIN을 통한 액세스와 계정 선택 항목을 추가했다. 또 다른 유용한 항목은 사파리의 비밀번호 관리 기능이다. 다른 사이트에서 썼던 비밀번호를 재사용하려고 할 때 경고 창을 내보냈다가 이제는 데이터 유출 목록에 포함된 비밀번호를 쓸 경우에도 경고한다. 사용법도 쉽다.

온라인 트래킹의 위협으로부터 사파리 사용자를 해방하는 조치도 있다. 애플은 ITP(Intelligent Tracking Prevention)를 개발해 트래커를 식별하고 사용자의 웹 활동 프로파일링이나 추적을 방지한다. 모질라 브라우저 부사장 애슐리 보이드도 사용 시점에 IDFA를 비활성화하는 옵션을 제공하면서 애플이 수많은 사용자의 온라인 개인 정보 보호를 더욱 강화했다고 평했다. 보이드는 애플은 데이터 수집과 사생활 침해형 광고가 온라인 생활과 동어일 수 없으며 온라인 광고라는 방정식에서 사용자 개인 정보 보호가 중요한 요소라는 입장을 분명히 한 것이라며 애플의 ITP 기능 추가를 환영했다.

사파리가 FIDO를 지원하는 유일한 브라우저는 아니지만, 애플은 자체 생체 인증 기기를 설계하고 제조하는 유일한 업체다. 결과적으로 사파리는 산업 표준으로서의 FIDO 생체 보안 채택과 강력한 개인 정보 보호라는 두 가지 이점을 모두 지니게 되었다. 동시에 아이폰도 기업이 필요로 하는 강력한 보안을 제공하는 믿을 만한 기기의 면모가 강조된다. editor@itworld.co.kr 


X