본문 바로가기
자격증/정보보안기사, 산업기사

FIDO (Fast Identity Online), 바이오 인증 기술

by 리액턴스 2022. 12. 23.
반응형

이 글은 패스워드 없는 인증기술인 FIDO(Passwordless Authentication Technology FIDO) 또는 바이오 인증 기술이라 하는 FIDO의 내용을 다룬다. FIDO의 정의, Alliance, 인증규격, 프로토콜에 관한 내용을 세부적으로 작성한다.

미흡한 점이 있기에 다른 전문가의 정보도 함께 찾아보시기를 바랍니다. 또한 맞춤법 및 단어선정, 문법적인 오류, 오탈자가 있거나 불편함이 있을 수 있습니다. 감사합니다.

 

FIDO란 무엇인가요?

FIDO-엠블럼
FIDO Alliance

FIDO(Fast Identity Online)는 국제 인증 표준 중 하나로, 온라인 환경에서 현재의 아이디, 비밀번호 없이 지문 인식, 홍채 인식 혹은 얼굴 인식 등 다양한 생체 인식을 활용하여 더욱 편리하고 안전하게 개인인증을 수행하는 새로운 인증 시스템을 말한다. 쉽게 말하면 바이오 인증 기술을 이용한 인증방식을 말한다.
인증 프로토콜과 인증수단을 분리하여 보안과 편리성이 높다는 평가를 받으며 스마트 모바일 환경에 적합한 인증 기술이라는 점에서 주목 받는 신기술입니다.
UAF(Universal Authentication Factor)와 ID + PW + 2단계 인증인 U2F로 나누어진다. 대표적인 예로 삼성 페이의 생체 인증을 들 수 있다.
FIDO1은 모바일 기기와 애플리케이션 중심이고, FIDO2는 웹 표준 인증(WebAuthn)으로까지 확대되었다.

 

FIDO Alliance

FIDO 기술의 표준방식을 정하기 위해 2012년 설립된 글로벌 컨소시엄이다.
FIDO Alliance 회원으로는 페이팔, 알리바바, 애플, 구글, 아마존, 레노버, 마이크로소프트, 녹녹랩스, 퀄컴, 삼성, 비자, 크로셜텍 등 전 세계적 IT 기업들이 참여하고 있습니다.

FIDO 표준 구성요소와 인증규격, 프로토콜

FIDO 표준에 따른 인증규격

FIDO-방식
FIDO 방식

FIDO는 크게 UAF와 CTAP1(U2F), CTAP2 라는 방식으로 분류된다.

  • UAF(Universal Authentication Factor): 패스워드를 대신하에 로컬 인증(지문, 얼굴) 등 사용자 생체정보를 통해 온라인 인증하는 모바일 중심의 인증방식이다.
  • CTAP1(U2F, Universal 2nd Factor): 2단계 인증방식이다. 아이디와 패스워드를 이용하여 온라인으로 인증한 이후 추가로 보안 키가 저장된 USB, NFC, 블루투스 등의 보안토큰을 사용하여 추가적인 인증을 하는 방식이다. 아이디와 패스워드가 노출되었다 하더라도, 사용자가 등록한 CTAP1 보안 키가 없으면 접근 불가하다.
  • CTAP2: 패스워드 없이 FIDO 보안 키와 생체 인식을 통해 웹 브라우저 및 운영체제에서 인증하는 것을 말한다. CTAP1과 차이점으론 비밀번호가 없으며, 이를 생체 인증 등으로 대체할 수 있다. 특히, CTAP2는 FIDO2의 또 다른 구성요소인 웹 인증(WebAuthn)과 통합해, 윈도우, 안드로이드, 브라우저 등에서 비밀번호 없이도 다양한 서비스에 로그인할 수 있다. 또한, 내장된 인증 장치는 ASM을 이용하여 인증을 연동시키며, 단말과 서버 간은 자체 프로토콜을 구현하여 인증한다. 대표적인 예로 삼성 패스가 있다.

FIDO의 프로토콜

등록(Registration)
  • FIDO 프로토콜에서 등록(Registration)은 사용자의 인증토큰과 공개키를 등록하는 과정이다. FIDO 클라이언트가 FIDO 서버에 로그인을 시도하면 서버는 클라이언트에게 로그인 시에 사용이 가능한 인증토큰 리스트를 보낸다. 사용자는 화면으로 인증토큰 리스트에서 원하는 인증토큰을 선택하여 본인인증을 수행한 후 키 쌍을 생성한다. 클라이언트는 이렇게 생성된 키 쌍에서 공개키에 서명하여 FIDO 서버로 보낸다. FIDO 서버는 사용자가 선택한 인증토큰과 공개키를 등록하여 나중에 인증(Authentication) 또는 전자서명 검증에 사용한다.

FIDO-등록과정
FIDO 등록과정

인증(Authentication)
  • 인증(Authentication)의 프로토콜의 개념은 등록보다 간단하다. FIDO 서버는 클라이언트에 인증에 필요한 시도(Challenge) 값인 난수와 사용할 수 있는 인증토큰을 보내어 인증을 요청한다. 클라이언트에서는 장치에서 등록된 인증토큰으로 사용자를 인증하고 서버에 등록된 공개키에 대한 쌍인 비밀키를 복호화하여 서버에서 보내온 요청 메시지 대한 응답(Response)으로 전자서명을 생성하여 서버로 보낸다. 서버는 클라이언트가 보내온 전자서명을 등록된 공개키로 검증하여 사용자를 인증한다.

FIDO-인증과정
FIDO 인증과정

반응형
저작자표시 비영리 변경금지

'자격증 > 정보보안기사, 산업기사' 카테고리의 다른 글

접근제어, 접근통제 모델 (MAC, DAC, RBAC)  (0) 2023.06.08
사용자 인증 방법(Type 1~3, 지식, 소유, 존재), MFA, 생체인증  (0) 2023.06.03
랜섬웨어란 무엇인가? 랜섬웨어의 종류 및 예방  (0) 2022.12.04
가상사설망, VPN(Virtual Private Network)이란 무엇인가?(1)  (0) 2022.11.30
해시(Hash), 해시함수(Hash function)란 무엇인가?  (0) 2022.11.25

관련글

티스토리툴바