본문으로 바로가기
49335880 0762018120749335880 08 0801001 5.18.16-RELEASE 76 ITWorld 46559346

IDG 블로그 | “아이폰이 비밀번호를 대체하게 될까?” 애플, 웹 인증 기술 테스트 시작

글자크기
온라인 은행, 기업의 인트라넷, 비공개 온라인 데이터 서비스 등 보안이 철저한 웹사이트에 아이폰의 페이스 ID(Face ID)나 터치 ID(Touch ID)를 사용하면 어떨까?

애플이 웹 인증((Web Authentication, WebAuthn)이라는 새로운 보안 표준을 테스트하면서 이를 현실화할 계획이다.


웹 인증이란 무엇인가?

애플은 사파리 테크놀로지 프리뷰 릴리즈 71(Safari Technology Preview Release 71)에서 이 표준의 베타 테스트 지원을 시작했다. 어디까지나 “실험적인 기능”이라고 명시되어 있어 향후 실제로 적용될지는 미지수다.

웹 인증 기술은 웹사이트나 온라인 서비스가 하드웨어 키(보통 USB 디바이스)를 사용해 사용자의 신원을 인증하는 것이다. 이러한 키들은 보통 비밀번호와 2FA(two-factor authentication, 이중인증) 등 보안 장치와 함께 사용해서 이런 서비스들에 액세스할 때 더 강력한 보호를 제공한다.

똑같은 기술은 아니지만, 많은 온라인 은행 소비자들은 은행에서 어디서나 사용할 수 있는 하드웨어나 소프트웨어 형태의 키를 부여받아 사용하고 있다. 정부나 군대에서 사용되기도 한다.
ITWorld

<이미지를 클릭하시면 크게 보실 수 있습니다>


ⓒ w3.org


아이폰 인증

웹 인증은 FIDO2라는 표준도 지원한다. 하드웨어 키가 블루투스와 NFC를 사용해 웹 인증 세션에서 인증을 하도록 하는 표준이다. 이론적으로 사용자는 지문인식기, 카메라, USB 키 등 현재의 보안 디바이스를 웹사이트 인증 시스템으로 이용할 수 있다.

애플이 FIDO2를 지원할지는 알려지지 않았지만, 만일 지원한다면 아이폰(애플 워치도)이 생체 보안 기능과 업계를 선도하는 운영체제의 보안성 덕분에 보안 서비스에 액세스하는 데 사용할 하드웨어 키 역할을 할 수 있을 것으로 보인다.

개인의 모바일 디바이스를 PC, 맥, 아이패드와 긴밀히 연결해서 시스템 액세스에 사용하거나 비밀번호 보호를 대체하거나 적어도 보완할 수 있다.

단, 웹 인증이 W3C에 의해 완전히 승인되지 않았다는 점을 기억해야 한다. 특히, 파라곤 이니셔티브(Paragon Initiative)가 최근 경고한 바에 따르면, 이 표준에 사용된 일부 알고리즘이 구식이고 공격에 취약한 것으로 알려져 있다.


이것이 중요한 이유

웹 인증은 모질라와 마이크로소프트 엣지, 구글을 지원한다. 보안 보호가 점점 더 하드웨어/소프트웨어/생체가 결합된 다중요소 보안 모델에 의존하고 있음을 의미한다.

그래야만 한다. 뉴스들을 대강 보더라도 공격이 증가하고 있으며, 메리어트 호텔 체인과 같은 대기업들이 영향을 받고 있다.

이는 수백만 명의 이름과 여러 서비스에서 사용하는 비밀번호 등 고객 정보가 탈취되고 있음을 보여주고, 이미 다크 웹에서 다른 공격들이 유통되고 있음이 확실하다.

업계는 피싱과 데이터 탈취와 관련된 보안 문제가 금융 거래 및 개인 데이터 보안을 넘어서고 있는 것은 물론, 정치적 프로세스까지 위협하고 있음을 깨달아야 한다.

이런 맥락에서 디지털로 연결된 사물인터넷(Internet of Things, IoT) 시대에 강력한 보안 기술 개발을 위해 더 긴밀한 협조가 이뤄질 것으로 기대된다.

테스트일지라도 이 보안 표준을 지원하기로 한 애플의 결심은 보안 과제 해결에 해단 모든 이해관계자들의 높은 관심을 보여준다.

한편, 이 기술을 이용하기 위해서는 최신 사파리 프리뷰를 다운로드 받아 설치해야 하며, 개발자 > 실험 기능 > 웹 인증으로 들어가 활성화해야 한다. 또한, 유비키 5(Yubikey 5)나 유비 시큐리티 키(Yubi Security Key)와 같은 외장 하드웨어 디바이스가 필요하다. editor@itworld.co.kr


Jonny Evans editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지