보안산업 컨소시엄인 국제온라인인증연합(FIDO(Fast IDentity Online) Alliance)은 비밀번호가 없이도 컴퓨터와 디바이스에서 사용자의 인증을 승인할 수 있는 생체 인식과 하드웨어 토큰 사용에 대한 표준안을 제시했다.
국제온라인인증연합은 마이크로소프트, 구글, 뱅크오브아메리카, 마스터카드 등 IT와 뱅킹 산업의 거대 기업들이 후원하고 있다.
2012년 7월에 설립된 국제온라인인증연합은 12월 9일 2년만에 처음으로 UAF(Universal Authentication Framework) 프로토콜과 2중인증(Universal 2nd Factor, U2F)에 대한 기술 표준 초안본을 제시한 것이다.
이 표준안들이 널리 사용된다면 거추장스럽고 보안 위협이 되는 비밀번호를 사용하지 않고도 온라인 커뮤니케이션을 안전할 수 있는 기본 형태를 갖출 수 있다.
이 두개의 사양은 시스템들이 사람의 인증을 증명하는데 사용할 수 있는 절차를 설명한다. 예를 들어, 지문 인식기와 같은 생체 센서들은 사용자의 인증을 증명할 수 있으며, 가지고 다닐 수 있는 휴대용 하드웨어 토큰 또한 개개인을 증명하는데 사용할 수 있다.
현재 대부분의 사용자들은 안전한 온라인 서비스를 위해 비밀번호를 사용해 로그인한다. 하지만 이미 비밀번호 인증방법에 대해서는 문제가 많아진 상황이다. 버라이즌의 최근 설문조사에 따르면, 온라인 침해 사고의 76% 이상이 비밀번호의 허약한 점을 악용하거나 로그인 정보를 훔쳐서 벌어진 일이다.
생체인증의 경우, 인증 방식으로 사용할 수는 있었다. 하지만 이 생체 인증은 이행되어야 할 보안 메커니즘 방식에 대한 산업적 합의가 전혀 이뤄지지 못했다. 그래서 파편화된 제품과 온라인 인증을 위한 복잡한 관리 환경이 필요하게 됐다.
국제온라인인증연합의 회원사들은 현재 보안 시스템을 구축하는데 이들 표준안을 사용할 수 있다. 구글, 페이팔, 삼성, 알리바바와 같은 기업들은 이미 표준안 초기부터 그들의 제품과 서비스에 적용했다.
현재 표준안의 핵심 부문들은 이미 결정됐으며, NFC(Near Field Communications)나 블루투스(Bluetooth) 무선 통신에서의 인증과 같은 추가적인 인증 형태에 대한 확장 작업을 하고 있다. editor@itworld.co.kr