FIDO2(Fast Identity Online 2)는 FIDO Alliance가 월드 와이드 웹 컨소시엄(W3C)과 협력하여 개발한 비밀번호 없는 인증을 위한 개방형 표준입니다. FIDO2는 2018년에 출시되었으며, 2014년에 출시된 최초의 FIDO 표준인 FIDO 1.0을 대체합니다.
FIDO2 프로토콜은 웹 인증(WebAuth)과 클라이언트-인증자 프로토콜 2(CTAP2)의 두 가지 프로토콜로 구성됩니다. 이러한 프로토콜을 함께 사용하면 사용자가 기존 비밀번호를 사용하지 않고도 웹사이트 또는 애플리케이션에 로그인할 수 있습니다.
FIDO2 인증은 비밀번호 대신 사람들이 스마트폰이나 노트북 컴퓨터와 같은 디바이스의 잠금을 해제하는 데 사용하는 것과 동일한 방법을 사용합니다. FIDO2 사용자는 얼굴 인식, 지문 판독기 또는 PIN 입력으로 인증할 수 있습니다. FIDO2 보안 키로 알려진 물리적 하드웨어 토큰을 사용할 수도 있습니다.
FIDO2는 공개 키 암호화를 기반으로 하므로 공격자가 자주 표적으로 삼는 비밀번호보다 더 안전한 인증 방법을 제공합니다. IBM® X-Force Threat Intelligence Index에 따르면 사이버 공격의 약 3분의 1이 유효한 사용자 계정을 탈취하는 것과 관련이 있습니다.
FIDO2는 비밀번호를 제거함으로써 피싱, 중간자 공격 및 계정 탈취와 같은 다양한 사이버 보안 위협을 완화합니다. 또한 비밀번호를 기억하거나 정기적으로 변경하거나 재설정 및 복구 프로세스를 처리할 필요가 없으므로 더욱 편리한 사용자 경험을 제공합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
FIDO2 인증은 공개 키 암호화를 사용하여 사용자 계정과 연결된 고유한 암호화 키 쌍('패스키')을 생성합니다. 키 쌍은 서비스 제공업체에 보관되는 공개 키와 사용자 디바이스에 있는 개인 키로 구성됩니다.
사용자가 계정에 로그인하면 서비스 제공업체는 사용자의 디바이스에 인증 챌린지(주로 무작위 문자열)을 보냅니다. 이 디바이스에서는 사용자에게 PIN을 입력하거나 생체 인식 인증을 사용하여 본인임을 인증하도록 요청합니다.
사용자가 인증에 성공하면 디바이스는 개인 키를 사용하여 챌린지에 서명하고 서비스 제공업체에 다시 전송합니다. 서비스 제공업체는 공개 키를 사용하여 올바른 개인 키가 사용되었는지 확인한 후 사용자에게 계정에 대한 액세스 권한을 부여합니다.
한 디바이스에 저장된 패스키를 다른 디바이스에서 서비스에 로그인하는 데 사용할 수 있습니다. 예를 들어 사용자가 모바일 디바이스에서 이메일 계정에 패스키를 설정하면 노트북에서도 해당 이메일 계정에 로그인할 수 있습니다. 사용자는 등록된 모바일 디바이스에서 인증 챌린지를 완료해야 합니다.
FIDO2는 YubiKey 또는 Google Titan과 같은 보안 키를 인증 방법으로서 지원합니다.
'하드웨어 토큰'이라고도 하는 보안 키는 인증 정보를 서비스에 직접 전송하는 작은 물리적 디바이스입니다. 블루투스, 근거리 통신(NFC) 프로토콜 또는 USB 포트를 통해 연결할 수 있습니다. 사용자는 생체 인식 데이터 또는 PIN 대신 FIDO2 보안 키를 사용하여 본인 인증을 수행하고 챌린지에 서명할 수 있습니다.
개인 키는 사용자의 장치에 저장되고 절대 외부로 유출되지 않기 때문에 보안 위반 가능성이 최소화됩니다. 해커는 데이터베이스에 침입하거나 통신을 가로채는 방법으로 이 장치를 훔칠 수 없습니다. 서비스 공급자가 가지고 있는 공개 키에는 민감한 정보가 들어있지 않아서 해커에게 별 쓸모가 없습니다.
사용자가 FIDO 인증을 사용하여 이메일 계정에 로그인하는 경우를 가정해 보겠습니다. 패스키를 생성하고 이를 사용하여 인증하는 프로세스는 다음과 같습니다.
FIDO2는 동기화된 패스키와 디바이스에 바인딩된 패스키의 두 가지 패스키 유형을 지원합니다.
동기화된 암호 키는 여러 장치에서 사용할 수 있어 더욱 편리합니다. Apple Password Manager, Windows Hello, Google Password Manager 등의 자격증명 관리자는 동기화된 패스키를 저장하고 모든 장치에서 사용할 수 있게 할 수 있습니다.
예를 들어 스마트폰에서 은행 애플리케이션을 이용하기 위한 패스키를 등록하고, 노트북이나 태블릿에서 그 은행 앱에 로그인할 때 자격 증명 관리자를 통해 동일한 패스키를 사용할 수 있습니다.
이 패스키 유형은 단일 장치에 바인딩되어 있어 보안이 가장 철저합니다.
장치에 바인딩된 패스키는 일반적으로 하나의 특정 기기에 연결된 물리적 보안 키를 사용하여 액세스됩니다. 패스키는 장치를 벗어날 수 없어서 무단 액세스에 덜 취약합니다.
장치에 바인딩된 패스키는 금융 데이터, 기업의 지식 재산, 정부의 기밀 자료처럼 매우 민감한 정보에 액세스할 때 자주 사용됩니다.
2013년, 여러 기술 기업이 FIDO Alliance를 결성했습니다. 조직의 목표는 세계의 비밀번호 기반 인증에 대한 의존도를 줄이는 것이었습니다.
1년 후, Alliance는 FIDO 1.0 표준을 도입했습니다. 이 표준은 유니버설 인증 프레임워크(UAF)와 유니버설 세컨드 팩터(U2F)의 두 가지 프로토콜로 구성되어 있습니다. 새로운 표준은 비밀번호 없는 인증의 기반을 마련했지만, 적용 범위가 제한적이었습니다.
예를 들어 FIDO 1.0은 비밀번호 기반 인증에 대한 두 번째 요소를 제공하는 데 주로 초점을 맞췄으며, 비밀번호를 완전히 제거하는 것을 목표로 하지 않았습니다. 또한 다양한 플랫폼, 애플리케이션 및 웹 브라우저에서 쉽게 채택될 수 있도록 하는 표준화도 부족했습니다.
FIDO Alliance는 2018년에 FIDO2의 두 가지 새로운 프로토콜인 클라이언트-인증자 프로토콜 2(CTAP2)와 웹 인증(WebAuth)을 출시하면서 이러한 제한 사항을 해결했습니다.
CTAP2는 비밀번호 없는 단일 요소 인증 환경을 제공합니다. WebAuthn은 표준화된 브라우저 기반 애플리케이션 프로그래밍 인터페이스(API)를 통해 FIDO 채택을 간소화합니다. 이 확장된 기능은 FIDO2가 웹사이트, 애플리케이션 및 온라인 서비스에서 널리 채택된 인증 표준으로 자리 잡는 데 기여했습니다.
현재 수백만 명이 FIDO2 인증을 사용하여 웹사이트와 앱에 로그인합니다. FIDO2 표준은 대부분의 사용자 디바이스, 웹 브라우저, 싱글사인온(SSO) 시스템, ID 및 액세스 관리(IAM) 솔루션, 웹 서버, iOS, MacOS, Android, Windows와 같은 운영 체제에서 지원됩니다.
2013년: FIDO Alliance가 비밀번호 기반 인증에 대한 의존도를 줄이는 것을 목표로 설립되었습니다.
2014년: FIDO 1.0이 출시됩니다.
2015: FIDO 표준이 전 세계에서 인정받기 시작합니다. FIDO Alliance가 Microsoft, Google, PayPal 및 Bank of America 등 250개 이상의 기업을 포함해 회원사를 확대했습니다.
2016년: FIDO Alliance가 FIDO2 개발 작업을 시작합니다. FIDO Alliance는 영향력 있는 월드 와이드 웹 컨소시엄과 협력하여 새로운 표준이 다양한 웹 브라우저와 플랫폼에서 지원되도록 돕고 있습니다.
2018년: FIDO2 버전이 출시되어 FIDO 1.0의 기능을 확장합니다.
2020년: FIDO2가 Firefox, Chrome, Edge, Safari, Android, iOS 및 Windows를 포함한 주요 웹 브라우저 및 운영 체제에서 지원되고 구현됩니다.
2024년: FIDO Alliance가 전 세계 150억 개 이상의 사용자 계정에서 FIDO2 인증을 사용할 수 있다고 발표했습니다.
FIDO 1.0 및 FIDO2는 모두 비밀번호 없는 인증을 지원하지만, FIDO2는 모바일 디바이스, 데스크톱 또는 보안 키를 통한 완전한 비밀번호 없는 강력한 인증으로 FIDO 표준의 범위와 능력을 크게 확장합니다.
FIDO2는 다중 요소 인증(MFA)에서 첫 번째 요소로 비밀번호를 입력할 필요가 없도록 함으로써 사용자에게 더 편리한 로그인 경험을 제공합니다. 또한 쉽게 채택할 수 있도록 표준화된 웹 기반 API를 제공합니다.
FIDO 1.0과 FIDO 2의 차이를 가장 명확히 이해하려면 각 표준의 각 버전 뒤에 있는 구체적인 프로토콜을 살펴보는 것이 도움이 됩니다.
FIDO UAF는 FIDO Alliance에서 개발한 최초의 프로토콜 중 하나로, 비밀번호를 사용하지 않고 서비스에 로그인하는 기능을 제공합니다. 비밀번호 대신 음성 인식이나 얼굴 인식 같은 생체 인식 데이터나 PIN을 사용해 사용자는 디바이스에서 직접 인증할 수 있습니다.
그러나 UAF의 표준화 부족으로 인해 다양한 웹 브라우저, 애플리케이션 및 서버에서 통합 및 구현하기가 어려웠습니다. 이러한 제한된 상호운용성은 광범위한 채택에 걸림돌이었습니다.
FIDO U2F는 사용자 이름과 비밀번호에 의존하는 시스템에 이중 요소 인증(2FA)을 제공하기 위해 개발되었으며 사용자가 본인 ID를 인증하려면 두 번째 요소가 필요합니다. U2F는 권한 부여를 위해 Physical Security 키를 두 번째 요소로 사용합니다. FIDO2 출시 이후 U2F는 'CTAP1'로 명칭이 변경되었습니다.
U2F가 스마트폰이나 노트북과 같은 다양한 디바이스 대신 Physical Security 키에 의존한 것은 그 도입에 있어 제한 요소였습니다.
WebAuthn은 비밀번호 없는 인증을 신뢰 당사자가 쉽게 사용할 수 있도록 하는 웹 API를 제공함으로써 UAF의 기능을 확장합니다. '신뢰 당사자'는 FIDO 인증을 사용하는 웹사이트와 웹 앱을 일컫는 용어입니다.
WebAuthn은 웹 애플리케이션, 웹 브라우저, 생체 인식 데이터나 보안 키와 같은 인증자 간의 상호작용 방식을 정의하는 FIDO 표준도 제공합니다.
CTAP2는 웹 브라우저나 운영 체제 같은 FIDO 클라이언트가 인증자와 통신하는 방법을 정의합니다. 인증자는 사용자의 ID를 인증하는 구성 요소입니다. U2F(또는 CTAP1)에서 인증자는 언제나 보안 키였던 반면 CTAP2는 음성 및 얼굴 인식, 지문 또는 PIN 등 사용자 디바이스에 있는 추가 인증자를 제공합니다.