FIDO얼라이언스- W3C, 웹 플랫폼 지원 확대 위해 협력

FIDO얼라이언스(Fast IDentity Online Alliance)가 지난 11월19일(현지시간)도쿄 FIDO 세미나에 참가해 온라인 생체인증에 기반한 수천만 대의 기기들이 일반 사용자들과 기업들의 신용거래 보호에 쓰이고 있다고 발표했다.

FIDO얼라이언스는 단순하고 강력한 인증방식에 대한 개방형 표준을 마련해 온라인 보안에 혁신을 일으키고자 2013년 출범한 산업 연합체다. FIDO에 기반한 기기들은 강력하고 암호화된 인증 체계를 갖췄으며 구글, 페이팔, NTT도코모(NTT DOCOMO, Inc.), 뱅크오브아메리카, 드롭박스, 깃허브 등 주요 업체들의 선택을 받았다.

FIDO얼라이언스는 총 72개 제품을 인증했으며 전 세계 회원사는 250여개에 이른다. 여기에는 미국, 영국, 독일 정부 기관 등이 포함되며, 무역 연계 파트너사도 10여군데가 넘는다. 이에 얼라이언스는 FIDO 인증 도입으로 기존 비밀번호 체계를 첨단화시킬 시기가 왔다고 보고 있다.

FIDO얼라이언스는 2016년에도 이 같은 탄력을 유지하고자 월드와이드웹 국제표준 기관인 월드와이드웹 컨소시엄(W3C)에 3항목의 기술 규격서를 제출했다. 이는 FIDO가 기존 데스크탑, 크롬, 안드로이드, iOS 이외에도 지원 플랫폼 영역을 넓히게끔 설계된 표준 웹 기반 API 구축에 필요한 사항들이다.

FIDO를 지원하는 웹 API는 모든 웹 브라우저 및 관련 웹 플랫폼 인프라에서 표준에 따른 강력한 인증을 보장한다.

샘패스 스리니바스(Sampath Srinivas) FIDO얼라이언스 부의장은 “FIDO의 기술규격은 웹상에서 사기 위험이 없는 인증을 위해 암호화 자격인증에 쓰이는 통합 메커니즘을 규정한다”면서 “오늘 이 같은 내용의 발표를 하게 되어 기쁘며 이는 어디서나 사용 가능하고 웹 사기 위험이 없는 FIDO 인증의 미래를 의미한다”고 말했다.

W3C는 FIDO얼라이언스 회원사들 및 웹 생태계 관계자들과의 협력을 통해 이 API의 변경 제어 권한을 갖게 됐다. 현재 W3C는 내부 회원들에게 새로운 웹 인증 작업 그룹 결성을 제안하고 있다. 이에 FIDO 얼라이언스는 기존 FIDO 인증 프로그램을 통해 W3C가 내놓는 웹 API의 도입을 지원할 예정이다.

FIDO얼라이언스의 더스틴 잉걸스(Dustin Ingalls) 의장은 “FIDO얼라이언스의 변함없는 목표는 강력하고 단순한 인증방식을 만드는 것이다. 강력하게 정보를 보호해주며 사용자들이 여러 개의 사용자명과 비밀번호를 만들고 기억해야 하는 문제점들을 단순히 해결해주는 것을 말한다. 이런 목표를 달성하려면 FIDO 인증은 어디서든 가능해야 한다”고 말했다.

FIDO의 웹 API는 저명한 표준개발기관들의 공식 표준화를 위해 성숙한 기술 규격을 제공한다는 얼라이언스의 목표를 잘 보여준다. FIDO얼라이언스가 비(非) 표준개발기관에 기술 규격서를 제공하기로 한 건 W3C가 처음이다.

W3C의 테크놀로지·소사이어티 도메인 담당자 웬디 셀처(Wendy Seltzer)는 “웹 플랫폼에서 강력 인증을 표준화하는 것은 비밀번호 방식을 넘어서 사용자와 애플리케이션 보안 개선에 기여할 것이다. W3C에 작업물을 공유해준 FIDO얼라이언스 회원들에게 감사하다”고 밝혔다.

W3C에 규격서를 제공한 것은 기술 규격 생산 및 업계 프로그램 운영에 관한 얼라이언스의 목표에도 부합한다. 얼라이언스의 기술 규격은 유연하고 상호운용 가능한 개방형 메커니즘을 표방하는데 이는 사용자 인증 시 비밀번호 의존도를 낮춰준다. 또 얼라이언스는 전 세계에서 FIDO 규격의 성공적 도입을 보장하기 위한 업계 프로그램을 운영하고자 한다.

FIDO얼라이언스의 브렛 맥도웰(Brett McDowell) 사무총장은 “우리가 W3C에 제출한 것은 웹 API 부분에 한정되며, FIDO 2.0의 나머지 부분은 FIDO얼라이언스 내부에서 여전히 개발 중”이라며 “FIDO얼라이언스의 전략은 사용자가 구매하는 모든 기기에 블루투스나 와이파이 표준이 탑재되듯 앞으로 FIDO 표준도 기기 자체적으로 지원될 것이라는 생각에 따르고 있다. FIDO 2.0 작업은 바로 이러한 전략과 어깨를 나란히 하고 있으며 OEM 업체들이 이러한 역량에 맞춘 기기 지원을 계획해주길 바란다”고 말했다.

2015년은 FIDO가 특별히 추진력을 얻은 해로 범 인터넷 규모로 FIDO의 주요 도입이 이뤄진 해라고 볼 수 있다. 이러한 도입 추세는 인터넷 사용자들을 중심으로 FIDO 프로토콜에 대한 인식이 확산하고 있음을 보여준다. 이들 사용자 그룹들은 오늘날 초대형 정보유출의 주범인 비밀번호에 대한 의존성을 없애고자 노력하고 있다

FIDO얼라이언스 프로토콜의 진화는 FIDO에 기반한 강력한 인증방식의 도입 및 확산을 한층 강화할 것이며, 향후 시장에서 부가 플랫폼과 인증 형태를 창출할 것이다. FIDO 기반의 공개키 암호방식을 채택한 기관들은 벌써 이러한 혜택을 실감하고 있다.