• SUPPORT

    NEWS

NEWS

Title[보안뉴스] FIDO2 인증 받은 안드로이드, 비밀번호 없는 환경 열리나2019-02-27 10:46:57
Writer

새 장비는 박스에서부터 #FIDO2 지원...기존 장비는 #구글 플레이 업데이트로

비밀번호는 적절치 않은 보안 요소라는 FIDO 얼라이언스와 구글

[보안뉴스 문가용 기자] 구글과 FIDO 얼라이언스(FIDO Alliance)가 미국 현지 시각으로 월요일 안드로이드가 FIDO2 인증을 획득했다고 발표했다. 그렇기 때문에 #안드로이드 #웹사이트 와 앱 개발자들은 #비밀번호 를 사용하지 않는 인증 기능을 사용자들에게 제공할 수 있게 되었다.


보안 전문가들은 오래 전부터 비밀번호에만 의존하는 인증 시스템은 취약하고, 따라서 위험성이 크다고 지적해왔다. 비밀번호를 옹호하는 의견도 있긴 했지만, 그 반대에서는 비밀번호는 더 이상 사용할 수 없는 것이라며 폐기 처분을 주장하는 사람들도 있었다. #FIDO #얼라이언스 역시 비밀번호를 다른 인증 수단으로 교체하는 쪽으로 작업을 진행해왔다. “비밀번호보다 안전하고 뚫기 어려운 뭔가가 필요하다”는 게 얼라이언스의 입장이었다.

그래서 시작된 것이 FIDO2 프로젝트였다. 이 프로젝트는 월드와이드웹컨소시엄(W3C)의 웹 오센티케이션(Web Authentication, WebAuthn)이라는 웹 인증 표준과 CTAP(Client-to-Authenticator Protocol)라는 프로토콜로 구성되어 있다. 전자는 온라인 서비스들이 FIDO 인증을 사용할 수 있도록 표준 웹 API를 제공하고, 후자는 FIDO 보안 키 장비나 스마트폰을 사용해 WebAuthn으로 인증을 거칠 수 있도록 해준다.

안드로이드가 이런 FIDO2 인증을 받았다는 건, 안드로이드 사용자들이 안드로이드 장비 내 탑재된 지문 센서나 FIDO 보안 키를 가지고 앱이나 웹사이트에 쉽게 로그인 할 수 있도록 개발자들이 앱이나 웹사이트를 만들어낼 수 있다는 뜻이다.

FIDO2 인증을 받은 건 안드로이드 7 및 상위 버전을 탑재하고 있는 장비들이다. 신제품들은 박스를 뜯고 나오면서부터 인증이 적용되고, 기존 제품들은 구글 플레이 서비스 자동 업데이트를 통해 FIDO2 인증이 적용될 예정이다. 구글 플레이 서비스 업데이트를 통해 FIDO2 지원이 자동으로 이뤄지는 것이므로 사용자들은 장비 제조사의 조치를 기다릴 필요가 없다.

FIDO 인증은 개발자가 간단한 API 호출을 통해 구축할 수 있고, 비밀번호를 사용하지 않아도 되는 체제라 피싱이나 중간자 공격 등 비밀번호를 노리거나 비밀번호를 사용하는 공격 유형에 대해서 장비를 안전하게 지켜준다고 한다.

구글의 제품 관리자인 크리스티앙 브랜드(Christiaan Brand)는 “구글은 오랜 시간 FIDO 얼라이언스 및 W3C와 함께 작업하며 FIDO2 프로토콜을 표준화하는 데 힘써왔다”며 “인증 요소로서 비밀번호를 다른 것으로 대체한다는 건 현대 보안에 있어 가장 중요한 일 중 하나”라고 설명했다.

“이제부터 안드로이드 장비들이 FIDO2 인증 체제 아래 들어감에 따라 구글은 비밀번호 대체 프로젝트를 더 활발히 진행시킬 수 있게 되었고, 구글과 함께하는 파트너와 개발자들은 보다 안전하고 편리한 인증 환경을 사용자들에게 제공할 수 있게 되었습니다.”

FIDO 얼라이언스는 현재 안드로이드 장비 제조사들에게 FIDO 인증 로고 부착을 위해 해야 할 일을 안내하고 있는 중이다.

3줄 요약

1. 구글, FIDO2 인증 받는 데 성공. 이제 비밀번호 없는 인증 장치를 사용자에게 제공하기가 더 쉬워짐.

2. 구글과 FIDO 얼라이언스는 비밀번호가 더 이상 적절한 보안 장치가 아니라는 생각.

3. 구글 사용자라면 다음 구글 플레이 서비스 자동 업데이트 통해 FIDO2 체제 하에 들어갈 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


Copyright © jpsolution All rights reserved.