비밀번호 없는 세상, 가능할까?
*이 글은 외부 필자인 최호섭님의 기고입니다. 지난 5월 애플과 구글, 마이크로소프트가 FIDO와 손을 잡고 웹 사이트에서 비밀번호를 없애겠다고 발표했습니다. FIDO는 이를 통해서 많은 웹사이트와 앱이 모든 기기에서 똑같이 암호 없이 로그인할 수 있다고 덧붙이기도 했습니다. * FIDO 얼라이언스 : 온라인 환경에서 비밀번호를 대체하는 안정성이 있는 인증방식인 FIDO(Fast IDentity Online) 기술표준을 정하기 위해 2012년 7월 설립된 협의회. 어떻게 암호를 입력하지 않고 서비스에 접속할 수 있을까요? 그리고 과연 암호가 없어도 서비스를 안전하게 이용할 수 있을까요? 아마 이 두 가지 의문이 가장 먼저 떠오를 겁니다. 이 회사들과 월드와이드웹 컨소시엄이 발표한 주요 내용을 먼저 살펴봅시다. 1. 사용자가 모든 계정을 다시 등록할 필요 없이 다수의 기기 및 새롭게 등록된 기기에서 ('패스키'로도 지칭되는) FIDO 로그인 계정 자격 증명에 자동으로 접근할 수 있다. 2. 사용자가 실행 중인 OS 플랫폼 또는 웹 브라우저에 관계 없이, FIDO 인증을 보유한 모바일 기기에 활용하여 주변 기기에 로그인할 수 있다. (참조 - 애플·구글·MS, '비밀번호 없는 로그인' 지원 확대하기로) 핵심 기술은 암호를 전송하는 대신에 FIDO 표준으로 인정받은 지문인식, 페이스ID 등의 생체 정보와 핀번호를 이용해 웹 사이트에 접속하는 것입니다. 생체 정보는 웹 사이트에 보관하거나 전송하지 않고 각자의 기기에서 본인이라고 확인이 되면 계정에 기록하고 있던 패스키를 통해 비밀번호 입력 화면을 건너뛰고 웹사이트에 로그인하는 것입니다. FIDO는 온라인에서 비밀번호를 안전하게 대체할 수 있는 인증 기술 표준입니다. 지문 인식이나 얼굴 인식 등 기기에서 본인을 인증하는 방법과, 인증이 성공했다는 정보를 전송하는 기술을 구분해서 다루기 때문에 로그인 과정에서 인증 정보가 유출될 가능성이 낮습니다. 인터넷을 통해서 전송되는 것은 '인증되었다'는 정보가 전부이기 때문이지요. 주로 생체 정보를 바탕으로 하기 때문에 인터넷 뱅킹 등 금융 서비스에도 두루 쓰일 만큼 안정성이 높습니다.