2024-03-29 18:55 (금)
애플·구글·MS, 패스워드 필요 없는 로그인 가속화 위해 FIDO 표준 지원 확대
상태바
애플·구글·MS, 패스워드 필요 없는 로그인 가속화 위해 FIDO 표준 지원 확대
  • 길민권 기자
  • 승인 2022.05.05 23:15
이 기사를 공유합니다

모든 디바이스와 플랫폼에서 보다 빠르고, 쉽고, 안전한 로그인 환경 제공

애플·구글·마이크로소프트는 모두가 인터넷을 보다 안전하게 사용할 수 있도록 하기 위한 공동 노력의 일환으로 FIDO 얼라이언스와 월드와이드웹 (W3C) 컨소시엄이 함께 만든 패스워드에 의존하지 않는 온라인 로그인 표준 기술에 대한 확대 지원 계획을 오늘 발표했다.  새로운 기능을 통해 웹 사이트와 앱은 모든 디바이스와 플랫폼에서 일관성 있고 안전하며 사용하기 쉬우면서도 패스워드에 의존하지 않는 온라인 로그인을 환경을 소비자들에게 제공할 수 있게 된다.

패스워드만을 기반으로 온라인 인증하는 것은 인터넷 환경에서 가장 큰 보안 문제이며, 너무 많은 일반 소비자들은 너무 많은 패스워드를 관리하는 번거로움으로 인해 사용하는 온라인 서비스 전반에 걸쳐 동일한 패스워드를 재사용하게 되는 경우가 많다.  이러한 관행은 값비싼 대가를 지불해야 하는 온라인 계정 탈취, 데이터 침해, 심지어 신원 도용까지 초래할 수 있다.  패스워드 매니저 서비스와 레거시 2차 인증은 일부 개선된 환경을 제공했지만, 보다 편리하고 안전한 온라인 로그인 기술을 만들기 위한 글로벌 대표기업 모두가 참여한 협업이 이루어진 것이다.

확장된 표준 기반 역량은 웹 사이트와 앱에 엔드 투 엔드 암호 없는 옵션을 제공할 수 있는 기능을 제공한다. 온라인 서비스 사용자는 자신의 디바이스 잠금장치 해제를 위해 익숙하게 매일 취하는 지문이나 안면인식, 패턴 그리기, 핀 넘버 입력 등과 같은 간단한 동일 작업을 통해 로그인한다. 이 새로운 접근 방식은 SMS 문자 메시지를 통해 전송되는 일회용 비밀번호와 같은 레거시 멀리 팩터 인증 기술과 비교할 때 피싱으로부터 보호되며 훨씬 더 안전하다. 

◇패스워드가 필요치 않는 기술 표준 지원 확장

전 세계 수백 여개의 IT 기업들과 서비스 제공업체들이 FIDO 얼라이언스와 W3C 내에서 공동으로 작업하여 수십억 개의 디바이스와 모든 최신 웹 브라우저에서 이미 지원되는 패스워드에 의존하지 않는 온라인 로그인 기술 표준을 만들었다.  애플, 구글 및 마이크로소프트는 이번 확장된 기능 세트의 개발을 주도했으며 현재 각 플랫폼에 대한 지원을 구축하고 있다.

3사의 플랫폼은 이미 FIDO 얼라이언스 기술 표준을 지원하여 전세계 수십억 개의 디바이스에 패스워드 없는 로그인을 가능하게 하지만, 이전 구현에서는 사용자가 패스워드가 필요 없는 기능을 사용하기 전에 각 웹 사이트나 각 디바이스에 로그인해야 했다.  이번 발표에서는 이러한 플랫폼 구현을 확장하여 사용자에게 보다 원활하고 안전한 패스워드가 필요하지 않는 온라인 로그인을 사용하기 위한 두 가지 새로운 기능을 제공하게 된다. 

1. 사용자가 모든 계정을 다시 등록하지 않고도 멀티 디바이스에서 FIDO 로그인 계정 자격 증명 ("패스키"라고 지칭되기도 함)에 자동으로 액세스할 수 있음.

2. 사용자가 실행 중인 OS 플랫폼 또는 웹 브라우저에 관계없이 모바일 디바이스에서 FIDO 인증을 사용하여 가까운 디바이스의 앱 또는 웹 사이트에 로그인할 수 있음.

이 기술표준 기반 접근법의 광범위한 지원은 더 나은 사용자 경험을 촉진하는 것 외에도 서비스 제공자들이 대체 로그인 또는 계정 복구 방법으로 패스워드를 필요로 하지 않고 FIDO 자격 증명을 제공할 수 있게 한다.

오늘 발표된 신규 기능은 올해부터 내년에까지 걸쳐 애플, 구글 및 마이크로소프트 플랫폼에서 사용할 수 있게 된다. 

커트 나이트 애플 플랫폼 프로덕트 마케팅 수석 이사는 "우리가 제품을 직관적이고 기능이 뛰어나게 디자인하는 것처럼, 제공되는 제품과 서비스를 프라이버시를 보고하고 보안성이 높게 디자인한다.  업계와 협력하여 더 나은 보호 기능을 제공하고 패스워드가 가진 보안 취약성을 제거하면서 새롭고 더 안전한 온라인 로그인 방법을 구축하는 것은 사용자의 개인 정보를 안전하게 유지한다는 목표를 가지고 최대한의 보안과 투명한 사용자 경험을 제공하는 제품을 구축하기 위한 우리의 핵심 약속이다”라고 말했다.  

마크 리셔 구글 안드로이드 인증 제품 관리 책임자는 "이번 마일스톤이 온라인 사용자 보호를 강화하고 오래된 패스워드 기반 인증을 제거하기 위해 업계 전반에 걸쳐 협력하고 있다는 증거이다.  구글의 경우, 패스워드가 필요하지 않는 미래를 향한 지속적인 혁신의 일환으로 FIDO 얼라이언스와 함께 지난 10여년간 작업을 해왔다.  우리는 안드로이드, 크롬 및 기타 플랫폼에서 FIDO 기반 기술을 사용할 수 있도록 하고 앱 및 웹 사이트 개발자들이 이를 채택하도록 장려하여 전 세계 사람들이 패스워드가 야기하는 위험과 사용상의 번거로움에서 안전하게 벗어날 수 있기를 기대한다”고 전했다. 

알랙스 시몬스 마이크로소프트 아이덴티티 프로그램 관리 부사장은 "패스워드가 없는 세상으로의 완전한 전환은 소비자들이 그것을 그들의 삶의 자연스러운 부분으로 만드는 것에서 시작될 것이다.  모든 실행 가능한 솔루션은 오늘날 사용되는 패스워드 및 기존 다중 요소 인증 방법보다 안전하고 간편하며 빨라야 한다.  플랫폼 전체가 하나의 커뮤니티로 협력함으로써 우리는 마침내 이 비전을 달성하고 패스워드 제거를 위한 상당한 진전을 이룰 수 있게 되었다.  우리는 일반 소비자 온라인 환경 시나리오와 기업 환경 시나리오 모두에서 FIDO 기반 자격 증명의 밝은 미래를 전망하고 있으며 마이크로소프트 애플리케이션 및 서비스 전반에 걸쳐 지원을 지속적으로 구축할 것이다"라고 말했다. 

젠 이스터리 미국 사이버 보안 및 인프라 보안국(CISA) 국장은 "FIDO 얼라이언스와 W3C에 의해 개발되고 이러한 혁신적인 회사들이 실제로 주도하고 있는 기술표준들은 궁극적으로 인터넷 사용자를 온라인에서 더 안전하게 유지할 수 있는 일종의 전진적 사고유형을 보여준다.  서비스 공급업체를 위한 유연성과 고객 환경을 개선하는 개방형 표준을 마련하기 위한 민간 파트너들의 노력에 박수를 보낸다.  CISA에서는 모든 사용자를 위한 사이버 보안 기준을 높이기 위해 노력하고 있다.  오늘 이 발표는 기본적으로 사용자에게 제공될 수 있는 보안 모범 사례를 장려하고 패스워드 기반의 보안 수준을 넘어설 수 있도록 지원하는 사이버 시큐리티 여정의 중요한 마일스톤이 될 것이다.  사이버 시큐리티는 팀 스포츠이며, 우리는 우리의 협업을 계속하게 되어 기쁘다"라고 말했다. 

앤드류 시키어 FIDO 얼라이언스 이사장은 "편리하지만 강력한 인증은 협회의 슬로건일 뿐만 아니라 회원사들의 기술 스펙 및 배포 지침이기도 하다.  어디에나 존재하면서 사용성을 편리한 멀티 팩터 인증을 대규모로 채택할 수 있도록 지원하는 것이 매우 중요하며, 우리는 애플, 구글, 마이크로소프트가 플랫폼과 제품에 사용자 친화적 혁신을 지원함으로써 이러한 목표를 실현하는 데 도움을 준 것에 박수를 보낸다.  이 새로운 기능은 지속적으로 증가하는 FIDO 시큐리티 키 활용률과 함께 사용자 편의성을 해치지 않는 FIDO 인증 구현의 새로운 물결을 이끌어낼 수 있으며, 서비스 공급업체는 온라인 피싱 공격에 강력하게 대응할 수 있는 최신 인증 환경을 구현할 수 있는 모든 옵션을 제공하게 된다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★