FIDO(파이도) 도입을 고려하고 있는 기관에서는 FIDO 얼라이언스(Alliance)에서 인증을 취득한 제품인지 확인해야 할 것으로 보인다.

사용자 식별을 위해 FIDO 도입이 활발해지고 있는 가운데 FIDO1 계열 인증 제품인지, FIDO2 계열의 인증 제품인지 확인 없이 기관에서 구축하는 사례가 늘고 있다.

FIDO1 및 FIDO2 계열은 버전업이 아닌 두 가지 계열로 구분되어 있다.

FIDO1 계열은 전용 인증앱을 통해 사용자를 인증하는 방식이며 현재 최신 버전은 FIDO1.1이다. (FIDO 1.0 단종)

FIDO2 계열은 브라우저 기반의 인증방식으로 별도의 인증장치가 필요한 계열이며 현재 일부 웹 브라우저에서만 지원한다.

이렇듯 구현방식과, 계열이 서로 다른 FIDO1, FIDO2임에도 불구하고, 단지 FIDO2가 상위 버전이라고 잘못 생각해 FIDO2 인증서만 취득한 제품의 회사를 선택, FIDO1 제품으로 구축하는 경우가 발생하고 있다.

이로 인해 심지어 FIDO2로만 제품 인증을 받고 FIDO1 계열의 제품으로 납품하는 제조사도 생기고 있어 주의가 각별히 필요해 보인다.

이는 결국 FIDO 인증을 취득하지 않은 제품을 사용하게 되는 것이며, 기관에 대한 보안 신뢰의 문제가 발생할 수 있다는 점이다.

FIDO 인증 제품 확인은 FIDO Alliance 홈페이지에서 확인이 가능하다.

회사명, 제품명으로 조회가 가능함으로 최소한 제품에 대한 확인은 필요해 보이며, 구축하고자 하는 버전의 제품으로 검토하는 것이 올바른 방법이다.

또한 FIDO의 최신버전과 단종버전도 확인이 가능해 제품의 선택의 기준에 대한 도움도 받을 수 있을 것으로 보인다.

올해 상반기 국정원 보안요구사항 개정판 내용 중에는 ①ID/패스워드 입력만으로 수행되는 인증과 ②FIDO 기기를 활용한 2단계 인증이 수행될 경우로 비밀번호 생성기준을 이원화했다는 내용과 동시에 FIDO 표준을 준수한 제품으로 권고하고 있다.

이렇듯 국정원 보안요구사항 개정판 내용에서도 2단계 인증 시 FIDO 인증을 취득한 제품을 권고하고 있으므로 각 기관에 맞는 계열의 버전을 확인, 구축하는 것이 현명해 보인다.

★정보보안 대표 미디어 데일리시큐!★