FIDO2 구성 기술 요소와 패스워드리스 시장 동향 정리

FIDO2  구성 기술 요소와  패스워드리스 시장 동향 정리


FIDO 1.0, FIDO2,  FIDO UAF, FIDO U2F (fast-identity-online )

FIDO(Fast IDentity Online)는 FIDO 1.0, FIDO2, FIDO UAF 및 FIDO U2F를 포함한 많은 프로토콜 사양을 포함하는 포괄적인 용어입니다.

FIDO 인증 표준은 2014년에 출시되었으며, 기존 비밀번호를 생체 인식 및 하드웨어 토큰으로 대체하는 데 중점을 두었습니다. FIDO UAF(Universal Authentication Framework)와 FIDO U2F(Universal Second Factor)를 모두 포함했습니다.

FIDO2는 Android, IOS, MacOS 및 Windows를 포함한 모든 주요 브라우저와 운영 체제에서 지원되는 보다 포괄적이고 표준화된 프로토콜입니다.



FIDO2 기술과 패스워드리스 시장에 대해 자세히 설명해 드리겠습니다.




FIDO2 구성 기술 요소

FIDO2는 비밀번호 없는 인증을 위한 최신 표준으로, FIDO(빠른 온라인 식별) 얼라이언스와 W3C(World Wide Web Consortium)가 공동으로 개발한 기술입니다.

FIDO2는 WebAuthn(Web Authentication API)과 CTAP(Client to Authenticator Protocol)으로 구성됩니다.


1. FIDO2.0의 등장 배경


FIDO2.0은 기존의 비밀번호 기반 인증 방식의 한계를 극복하기 위해 등장했습니다.
비밀번호는 피싱, 크리덴셜 스터핑, 비밀번호 도난 등의 보안 위협에 취약하며, 사용자가 비밀번호를 기억하고 관리하는 데 어려움을 겪습니다. 이러한 문제를 해결하기 위해 FIDO2.0은 생체 인식과 공개 키 암호화를 기반으로 한 비밀번호 없는 인증 방식을 도입했습니다.

-   W3C(World Wide Wevb Consorium) 에서 구글 크롬, 마이크로소프트 엣지, 모질라 파이어 폭스를 지원하는 2018년 4월 FIDO2 버전이 출시되었습니다.
기존 FIDO는 클라이언츠, 인증사업자, 단말 제조사에서 제공 했다면, FIDO2는 플랫폼 및 외부 인증 서비스를 제공할 수 있습니다.
(즉, 브라우저에서 Non-ActiveX 기반의 로그인, 전자서명등을 지원합니다)




2. WebAuthn (Web Authentication API)

2.1 WebAuthn의 정의:
   - WebAuthn은 웹 애플리케이션이 공개 키 암호화를 사용하여 사용자 인증을 할 수 있도록 하는 웹 API입니다.  WebAuthn API는 사용자가 생체인식이나 FIDO KEY를 사용하여 본인인증을 할수 있는 애플리케이션을 지원 합니다.
이미 대부분의 최신 브라우저가 WebAuthn API를 지원하고 있습니다.


WebAuthn에서 지원되는 브라우저는 다음과 같은 기능이 필수입니다.

1.작업 메시지 작성
2. 확장자 처리
3. 기능이 부족한 인증자에게 사용자 인터페이스 제공
4. 오류 처리 및 기록 관리

2.2 기술 요소:

• 공개 키 암호화: 사용자가 웹사이트에 접근할 때 브라우저가 공개 키와 비공개 키 쌍을 생성합니다. 공개 키는 서버에 저장되고, 비공개 키는 사용자의 장치에 안전하게 저장됩니다.

• 생체 인식 및 하드웨어 보안 키: WebAuthn은 지문, 얼굴 인식 같은 생체 인식 방법이나 ,  하드웨어 보안 키를 통해 비밀번호 없는 인증을 가능하게 합니다.

2.3 작동 방식:
   - 사용자가 WebAuthn을 지원하는 브라우저를 통해 웹사이트에 접근하면, 브라우저는 공개 키와 비공개 키 쌍을 생성합니다. 공개 키는 서버에 저장되고, 비공개 키는 사용자의 장치에 안전하게 저장됩니다.




3. CTAP (Client to Authenticator Protocol)


    3.1 CTAP의 정의:

     CTAP는 클라이언트(브라우저나 운영 체제)와 인증 장치(예: USB, NFC, Bluetooth LE를 통한 보안 키) 간의 통신을 정의하는 프로토콜입니다.

디바이스가 블루투스, USB 또는 근거리 무선 통신(NFC)을 통해 외부/로밍 인증자에게 연결이 가능합니다
디바이스를 이용하여 패스워드의 의존도를 줄일 수 있습니다.

    CTAP는 1단계와 2단계의 인증을 암호화 없이 2단계 인증 또는 다른 단계의 인증을 구현할 수 있습니다.

   3.2  CTAP 기술 요소:

• CTAP1: 주로 U2F(Universal 2nd Factor) 장치를 지원합니다.
•  FIDO U2F 보안 키는 사용자 인증을 위한 두 번째 요소로 사용되는 물리적 장치입니다. U2F 보안 키는 암호/핀 기반 인증에 안전한 보조 요소를 추가하는 데 초점을 맞춘 원래 FIDO U2F 사양을 기반으로 합니다

• CTAP2: WebAuthn과의 상호 운용성을 제공하여 더 강력한 인증을 지원합니다.
• 통신 방식: USB, NFC, Bluetooth LE를 통해 클라이언트와 인증 장치 간의 안전한 통신을 보장합니다.

• CTAP1 vs CTAP2: CTAP1은 주로 U2F 장치를 지원하며, CTAP2는 WebAuthn과의 상호 운용성을 제공하여 더 강력한 인증을 지원합니다.


  3.3. FIDO2 인증 방법
• 하드웨어 보안 키: USB, NFC, Bluetooth LE를 통해 연결되는 물리적 장치.
• 생체 인식 장치: 지문 인식기, 얼굴 인식기 등.
• 모바일 애플리케이션: 스마트폰을 통한 인증.



3.4 U2F와 FIDO2 차이점

FIDO2는 크로스 디바이스 및 크로스 플랫폼 암호 없는 인증을 가능하게 하는 두 가지 프로토콜인 WebAuthn과 CTAP를 도입합니다.

FIDO2와 U2F 키의 주요 차이점은 원래 목적에 있습니다. U2F는 원래 비밀번호 기반 로그인을 위한 보조 요소로 설계된 반면 FIDO2는 (단일 및 다중 요소) 비밀번호 없는 인증을 지원하도록 만들어졌습니다.



4. FIDO 인증과 패스워드리스(Passwordless )

FIDO 인증은 확인을 위해 비밀번호를 사용할 필요성을 완전히 없애므로 비밀번호가 없는 인증 유형입니다.
사용자는 패스워드 대신 보안 키, 생체 인식 또는 토큰과 같은 보다 안전하고 편리한 대안을 사용하여 인증합니다.




5.  패스워드리스 시장의 동향과 발전

패스워드리스 시장은 비밀번호를 사용하지 않는 인증 방법을 도입하려는 움직임이 활발히 진행되고 있는 분야입니다.  이미  가지고 계신 스마트폰, 노트북 등은 생체인식을 기반으로  웹브라우저 및 앱을 로그인하거나  기기의 보안을 해제하는 기능을 제공하고 있습니다.

이 시장은 보안 강화, 사용자 경험 개선, 운영 비용 절감 등의 이유로 빠르게 성장하고 있습니다.



5.1. 시장 동향

• 보안 강화: 패스워드리스 인증은 피싱, 크리덴셜 스터핑, 비밀번호 도난 등의 보안 위협을 줄이는 데 효과적입니다.
• 사용자 경험 개선: 비밀번호를 기억하고 입력하는 번거로움을 없애 사용자 편의성을 높입니다.
• 운영 비용 절감: 비밀번호 재설정에 드는 IT 지원 비용을 줄일 수 있습니다.



5.2. 주요 기술 및 솔루션

• 생체 인식: 지문, 얼굴, 홍채 인식 등.
• 보안 키: FIDO2 인증을 지원하는 USB, NFC, Bluetooth LE 장치.
• 모바일 인증: 스마트폰을 이용한 OTP(일회용 비밀번호), 푸시 알림 등을 통한 인증.



5.3. 주요 기업 및 사례

• Microsoft: Windows Hello를 통해 생체 인식 및 보안 키 기반의 패스워드리스 인증 제공.
• Google: Android와 Chrome에서 FIDO2 인증 지원.
• Apple: Face ID와 Touch ID를 통한 패스워드리스 로그인 지원.



5.4. 도입 장벽과 해결 방안

• 사용자 인식 부족: 패스워드리스 기술에 대한 사용자 교육 및 인식 제고 필요.
• 기술적 호환성 문제: 다양한 장치와 애플리케이션 간의 호환성을 높이기 위한 표준화 노력 필요.
• 보안 우려: 생체 정보의 보안 및 프라이버시 보호를 위한 강력한 보안 메커니즘 필요.




결론


FIDO2 기술과 패스워드리스 시장은 비밀번호 기반 인증의 한계를 극복하고 보다 안전하고 편리한 인증 방법을 제공하기 위해 빠르게 발전하고 있습니다. 이 기술들은 사용자 경험을 개선하고 보안 수준을 높이는 데 큰 기여를 하고 있으며, 앞으로 더 많은 기업과 사용자가 이를 채택할 것으로 예상됩니다.



참고 자료
• WebAuthn, Passwordless and FIDO2 Explained - Duo Blog
• Are We There Yet? Approaching a Passwordless Future with FIDO2 - JumpCloud
• Your Guide to FIDO2 Passwordless Authentication - Ping Identity