패스키는 스마트폰과 같은 사용자의 장치에 저장됩니다. 사용자는 얼굴 인식, 지문 스캔, PIN 입력 등 장치 잠금을 해제할 때와 같은 방법으로 웹 사이트나 애플리케이션에 로그인할 수 있습니다.
IBM® X-Force Threat Intelligence Index 보고서에 따르면 자격 증명 도용은 데이터 유출 피해자들이 겪는 가장 흔한 타격입니다. 위협 행위자는 피싱 공격과 정보 탈취 멀웨어를 사용해 자격 증명을 수집한 다음, 이를 다크 웹에 팔거나 자신의 네트워크 도달 범위 확장에 활용합니다. 사이버 공격의 1/3 가까이가 유효한 사용자 계정 탈취를 수반합니다.
FIDO 인증은 자격 증명 도용 및 계정 해킹에 따른 사이버 보안 위협을 최소화하는 데 도움이 됩니다. 패스키는 암호만큼 쉽게 도난당할 수 없습니다. 패스키 보안 계정에 침입하려면 공격자가 사용자의 장치에 액세스해서 PIN을 입력하거나 생체 인식 보안을 우회해야 합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
FIDO Alliance는 IBM, Apple, Amazon, Microsoft, PayPal을 비롯한 정부 기관, 사업, 기술 기업이 모인 컨소시엄입니다. 이 그룹은 암호에 대한 의존도를 줄인다는 목표 아래 FIDO 인증 표준을 개발하고 유지 관리합니다.
FIDO Alliance는 2014년에 최초의 FIDO 프로토콜인 FIDO 1.0을 출시했습니다. World Wide Web Consortium과의 협력으로 개발한 최신 프로토콜 FIDO2는 2018년에 출시되었습니다.
현재 수백만 인구가 FIDO 인증을 사용하여 웹사이트와 애플리케이션에 로그인합니다. FIDO2 프로토콜은 주요 웹 브라우저, 싱글 사인온(SSO) 시스템, ID 및 액세스 관리(IAM) 솔루션, 웹 서버, iOS와 MacOS, Android, Windows 등의 운영 체제에서 지원됩니다.
FIDO 인증은 공개 키 암호화(PKC)를 사용하여 사용자 계정과 연결된 고유의 암호화 키 쌍을 생성합니다. '패스키'라고 하는 이 키 쌍은 서비스 제공업체에 보관되는 공개 키와 사용자 장치에 있는 개인 키로 구성됩니다.
사용자가 계정에 로그인하면 서비스 제공자는 사용자의 장치에 도전 과제(주로 무작위 문자열)를 보냅니다. 그러면 이 장치는 사용자가 PIN 입력이나 생체 인증을 통해 본인임을 인증하도록 요청합니다.
사용자가 인증에 성공하면 장치는 개인 키를 사용하여 도전 과제에 서명하고 서비스 제공업체에 다시 전송합니다. 서비스 제공업체는 공개 키를 사용하여 올바른 개인 키가 사용되었는지 검증하고, 개인 키가 정확하면 사용자에게 계정 액세스 권한을 부여합니다.
한 장치에 저장된 암호 키를 사용해서 다른 장치에서 서비스에 로그인할 수 있습니다. 예를 들어 사용자가 휴대전화에서 이메일 계정에 대한 패스키를 설정해도, 노트북에서 해당 계정에 로그인하는 데 문제가 없습니다. 사용자는 등록된 모바일 장치에서 인증 도전 과제를 완료합니다.
또한 FIDO는 '하드웨어 토큰'이라고 부르기도 하는 보안 키를 인증 수단으로 사용하도록 지원합니다. FIDO 보안 키는 키 쌍을 만들고 도전 과제에 서명할 수 있는 작은 전용 실물 장치이며 블루투스, NFC(근거리 통신) 프로토콜, USB 포트를 통해 다른 장치에 연결됩니다. FIDO 보안 키는 인증 프로세스에서 생체 인식 데이터나 PIN 대신 사용할 수 있습니다. 키를 소유했다는 사실을 통해 사용자를 인증하는 것입니다.
개인 키는 사용자의 장치에 저장되고 절대 외부로 유출되지 않기 때문에 보안 위반 가능성이 최소화됩니다. 해커는 데이터베이스에 침입하거나 통신을 가로채는 방법으로 이 장치를 훔칠 수 없습니다. 서비스 공급자가 가지고 있는 공개 키에는 민감한 정보가 들어있지 않아서 해커에게 별 쓸모가 없습니다.
이메일 계정에 FIDO 인증을 설정하려면 다음 단계를 따르세요.
FIDO는 동기화된 패스키와 장치에 바인딩된 패스키의 두 가지 패스키 유형을 지원합니다.
동기화된 암호 키는 여러 장치에서 사용할 수 있어 더욱 편리합니다. Apple Password Manager, Windows Hello, Google Password Manager 등의 자격증명 관리자는 동기화된 패스키를 저장하고 모든 장치에서 사용할 수 있게 할 수 있습니다.
예를 들면 스마트폰에서 은행 앱을 이용하기 위한 패스키를 등록하고, 노트북이나 태블릿에서 그 은행 앱에 로그인할 때 자격 증명 관리자를 통해 동일한 패스키를 사용할 수 있습니다.
이 패스키 유형은 단일 장치에 바인딩되어 있어 보안이 가장 철저합니다.
장치에 바인딩된 패스키는 일반적으로 하나의 특정 기기에 연결된 물리적 보안 키를 사용하여 액세스됩니다. 패스키는 장치를 벗어날 수 없어서 무단 액세스에 덜 취약합니다.
장치에 바인딩된 패스키는 금융 데이터, 기업의 지식 재산, 정부의 기밀 자료처럼 매우 민감한 정보에 액세스할 때 자주 사용됩니다.
FIDO 프로토콜은 2014년 FIDO 1.0이 도입된 이래로 발전과 개선을 거듭하고 있었습니다. FIDO 1.0의 프로토콜 기능은 최신 FIDO2 인증의 프로토콜에 통합되었습니다.
FIDO UAF는 FIDO 얼라이언스에서 개발한 최초의 프로토콜 중 하나로, 비밀번호를 사용하지 않고 서비스에 로그인하는 기능을 제공합니다. UAF를 사용하면 사용자가 얼굴 인식 같은 생체 인식 데이터나 PIN을 사용해 장치에서 직접 인증할 수 있습니다.
U2F는 사용자 이름과 비밀번호에 의존하는 시스템에 2단계 인증(2FA)을 제공하기 위해 개발되었으며 사용자가 2단계에 걸쳐 본인의 신원을 인증하게 합니다. U2F는 물리적 보안 키를 두 번째 요소로 사용합니다.
FIDO2가 출시된 후 U2F는 'CTAP1'로 이름이 변경되었습니다.
FIDO2는 이전 프로토콜의 범위와 기능을 확장하는 두 가지 프로토콜을 새로 도입했습니다.
WebAuthn은 신원 확인자가 비밀번호 없는 인증을 사용할 수 있는 웹 애플리케이션 프로그래밍 인터페이스(웹 API)를 제공하여 UAF의 기능을 개선합니다. '신원 확인자'는 FIDO 인증을 사용하는 웹 사이트와 웹 앱을 일컫는 용어입니다.
API 외에도 WebAuthn은 웹 애플리케이션, 웹 브라우저, 보안 키 등 인증자 간의 상호 작용 방식을 규정하는 FIDO 표준도 제공합니다.
CTAP2는 웹 브라우저나 운영 체제 같은 FIDO 클라이언트가 인증자와 통신하는 방법을 정의합니다. 인증자는 사용자의 ID를 인증하는 구성 요소입니다.
U2F(또는 CTAP1)에서 인증자는 언제나 보안 키였던 반면 CTAP2는 음성 및 얼굴 인식, 지문, PIN 등 사용자의 장치에 상주하는 추가 인증자를 추가적으로 지원합니다.
비밀번호 도난은 가장 흔한 사이버 공격 벡터 중 하나입니다. FIDO는 이러한 위협을 경감하기 위해 비밀번호 없는 인증 솔루션을 제공합니다.
패스키는 해커들이 일반적인 방법으로 훔칠 수 없습니다. 예를 들어 패스키에 대해서는 피싱이 통하지 않습니다. 사용자가 개인 키를 서비스 업체에 알릴 이유가 전혀 없기 때문입니다. 사용자 인증은 주로 사용자의 장치에서 이루어집니다. 온라인 서비스 데이터가 유출되더라도 암호 키에는 액세스할 수 없습니다.
FIDO를 사용하면 해커가 가로채거나 스푸핑할 수 있는 일회용 암호(OTP)도 필요하지 않습니다. FIDO 패스키는 외부 시스템에 노출되지 않고 사용자의 장치에서 계속 보호됩니다.
FIDO는 사용자가 두 가지 이상의 요소를 제시해서 신원을 증명하는 다중 요소 인증 (MFA)을 지원합니다. 예를 들어 장치에 바운딩된 패스키로 보호되는 계정에 액세스하려면, 본인의 장치와 생체 데이터 또는 PIN, 이렇게 두 요소를 통해 패스키의 잠금을 해제하고 도전 과제에 서명해야 합니다.
FIDO 표준은 일부 조직이 일반 데이터 개인정보 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS), California Consumer Privacy Act(CCPA)와 같은 데이터 보안 및 보호 규정을 주수하는 데 도움이 될 수 있습니다.
더 구체적으로 설명하면 FIDO는 권한이 없는 사용자가 유효한 계정을 해킹하기 어렵게 만들기 때문에, 이들이 중요한 데이터에 액세스할 가능성이 줄어듭니다.
FIDO는 거의 모든 주요 웹 브라우저, 플랫폼, 서버, 애플리케이션, 장치와 호환되는 개방형 표준으로 많은 조직과 온라인 서비스에서 구현할 수 있는 강력한 인증 메커니즘을 제공합니다.
FIDO가 다른 인증 솔루션들에 비해 사용자 친화적이라고 생각하는 사람이 많습니다. 비밀번호를 기억하거나, 정기적으로 변경하거나, 재설정하고 복구하는 과정을 겪지 않아도 되기 때문입니다. 또한 FIDO는 사용자가 여러 장치를 개별적으로 등록하지 않아도 여러 대의 컴퓨터와 모바일 장치에서 사용할 수 있습니다.
FIDO 패스키는 더 빠르고 쉽고 안전한 로그인 방법을 제공합니다. 전자 상거래 웹 사이트 및 대형 글로벌 서비스 업체에서 FIDO를 사용하면 고객 경험을 개선하고, 자격 증명을 분실하거나 잊어버려서 계정을 복구해야 하는 일을 줄일 수 있습니다.
기업에서 FIDO를 사용하면 직원, 공급업체, 거래처, 그 밖의 관계자들에게 기업 리소스에 대한 액세스 권한을 신속하게 부여할 수 있습니다. FIDO 패스키는 비밀번호 인증에 비해 보안과 사용 편의성이 뛰어납니다.
FIDO는 모바일 앱을 통해 결제를 확인하는 등 전자 상거래 환경에서 구매자를 인증할 때 주로 사용됩니다. 거래를 진행하기 전에 카드 소지자의 신원을 확인하는 데 사용되기도 합니다.
FIDO는 결제를 처리하지 않지만, 어떤 사람이 거래를 수행할 권한을 가지고 있는지 확인하는 데 도움이 되므로 사기를 줄일 수 있습니다.
정부 기관 중에는 세금 신고서 처리와 공공 혜택 애플리케이션 인증에 FIDO 인증을 사용하는 곳도 있습니다. 예를 들어 다양한 미국 연방 기관에 한 자리에서 접속하게 해주는 login.gov 서비스가 FIDO2 인증을 사용합니다.