IT

'패스워드 없는 웹' 세상 성큼

임민철 기자 입력 2018.08.01. 15:32 수정 2018.08.01. 16:20
음성 기사 옵션 조절 레이어
번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
MS 윈도10 엣지, 웹오센티케이션 API 지원

(지디넷코리아=임민철 기자)마이크로소프트(MS)가 '패스워드 없는 웹'에 한걸음 더 다가섰다.

윈도10 엣지(Edge)가 웹오센티케이션(Web Authentication) API 표준을 지원한다. 일반 이용자들에게 운영체제(OS) 업데이트로 배포되기 전 공개 테스트 단계인 '윈도 인사이더 프리뷰' 버전 17723 빌드부터다.

웹오센티케이션API는 웹표준화단체 월드와이드웹컨소시엄(W3C)이 표준화하고 있는 웹용 인증기술 표준규격이다. 이걸 구현한 온라인 서비스에서 이용자가 계정과 함께 입력하는 패스워드 대신 생체정보나 PIN 번호, 또는 실물 보안 키를 사용해 가입하고 로그인할 수 있게 해준다.

마이크로소프트, 구글 등 브라우저 및 인터넷 서비스를 제공하는 사업자들이 차세대 인증기술 보급에 나서고 있다. FIDO2 표준에 포함되는 W3C Web Authentication API 지원 브라우저 출시도 그 일환이다. [사진=Pixabay 원본 편집]

MS는 지난 30일 공식블로그를 통해 웹오센티케이션 규격을 MS엣지에 지원할 수 있게 됐다고 밝혔다. 이 규격은 엣지 브라우저를 통해 웹에서 더 좋고 보안상 안전한 이용자 경험 및 패스워드 없는 경험을 실현케 해준다고 설명했다.

■ W3C 웹오센티케이션 표준화, 브라우저 생태계로 FIDO 인증기술 확산 가속

윈도 인사이더 프리뷰 17723 빌드의 MS엣지 이용자는 웹오센티케이션 규격으로 안면, 지문같은 생체정보와 PIN 번호, 또는 휴대용 FIDO2 기기를 패스워드 대신 쓸 수 있다. FIDO2 기기는 인증표준 컨소시엄 '패스트아이덴티티온라인(FIDO) 얼라이언스'의 FIDO2 지원 제품을 뜻한다.

MS는 2년 전부터 엣지 브라우저에 웹오센티케이션 규격을 지원하기 시작했다. 하지만 당시 웹오센티케이션API 구현은 완전하지 않았다. W3C 표준화 초기 단계였기 때문이다. 이 API는 지난 3월 권고후보(CR) 단계에 도달했다. 완성된 표준을 뜻하는 권고(Recommendation)의 앞 단계다.

W3C의 웹오센티케이션API 표준화에 MS를 비롯한 IT업체와 FIDO얼라이언스가 함께 참여했다. MS엣지뿐아니라 모질라 파이어폭스, 구글 크롬, 오페라소프트웨어 오페라 등 타사 브라우저도 이 규격을 지원하고 있다. MS는 타사대비 MS엣지의 지원 규격이 더 온전하다고 강조했다.

MS가 윈도인사이더프리뷰 버전에 포함된 MS엣지 브라우저로 Web Authentication API를 활용한 온라인쇼핑몰 결제서비스를 시연한 모습 한 장면.

■ FIDO2 보안 키 제품 상용화-보급 전제 조건 형성

MS엣지의 웹오센티케이션API 지원은 MS의 '패스워드 없는 웹' 비전을 실현하는 주춧돌이다. 이 API는 윈도10 OS에 탑재된 생체정보 통합인증시스템 '윈도헬로(Windows Hello)'와 연동된다. 윈도 이용자가 패스워드 없이, 생체정보인식이나 PIN 입력으로 인터넷을 쓰게 해준다.

웹오센티케이션API를 지원하는 브라우저와 웹서비스를 이용할 때는 FIDO2 보안 키(security key)도 함께 쓸 수 있다. FIDO2 보안 키는 외장형 USB 메모리처럼 이용자가 소지하고 있다가 필요시 PC에 연결하는 걸로 로그인을 처리할 수 있는 인증수단이다.

앞서 MS는 윈도10 보안시스템의 윈도헬로에 FIDO2 보안 키 규격을 지원할 계획이라고 밝혔다. 윈도헬로를 사용 중인 일반 이용자와 기업 환경에서 패스워드 없이 FIDO2표준을 지원하는 보안 키만으로 OS와 인터넷 사이트, 기업용 계정관리 인증을 처리할 수 있게 만들 계획이다.

2018년 구글 클라우드 넥스트 컨퍼런스에서 구글이 공개한 FIDO U2F 표준 기반 2단계 인증용 하드웨어 장치, 타이탄 보안키. (사진=씨넷)

구글도 FIDO얼라이언스 표준 보안 키 활용을 장려하고 있다. 1년 전부터 FIDO 표준 이중요소인증용 실물 보안 키를 직원 계정 보호 기술로 도입했다. 작년 하반기부터는 일반 이용자의 구글서비스 로그인 절차에도 사용을 권장했으며, 조만간 자체 보안 키 제품을 출시할 계획이다.

■ 플랫폼 넘어 인터넷 전반 서비스와 이용자로 기술 확산돼야

패스워드 없는 세계가 임박했다고 보긴 이르다. 웹오센티케이션API 최종 표준이 나와야 하고, 주류 브라우저에서 그 완성된 표준을 지원해야 한다. 또 인터넷 사업자들이 온라인 쇼핑몰, 콘텐츠 서비스, 커뮤니티 웹사이트 등에 웹오센티케이션API 표준 인증 방식을 제공해야 한다.

MS가 말한 패스워드 없는 세계가 도래하려면 여러 서비스 및 웹사이트에 쉽게 적용할 수 있는 FIDO2 인증 솔루션, 일반 이용자와 기업 환경에서 끌릴만한 가격과 기능을 갖춘 FIDO2 보안 키 제품이 확산돼야 한다. 이를테면 한국의 라온시큐어, 드림시큐리티같은 회사 역할이다.

아직 FIDO2 호환을 갖춘 인증솔루션과 보안 키 제품을 찾기는 쉽지 않다. 먼저 보급된 FIDO 유니버설세컨드팩터(U2F) 지원 인증솔루션과 보안 키 제품을 보유한 사업자들이 수익성 확보가 가능하다고 판단한 시점에 본격적인 제품 출시와 보급에 나설 것으로 보인다.

1일 FIDO얼라이언스 이준혁 프로그램매니저는 "현재 안전하지 못한 온라인 환경에서 사용자들을 보호하면서 보다 편리한 이용환경을 구축하기 위한 다양한 업계의 노력이 확인된다"며 "MS의 최근 발표는 FIDO얼라이언스 회원사들이 좀 더 확장된 온라인 환경에서 보다 안전하고 편리한 인증 환경을 지원해 사용자를 사이버공격으로부터 보호하는 데 큰 이정표가 될 것"이라고 평했다.

임민철 기자(imc@zdnet.co.kr)

이 시각 추천뉴스