이석원 기자
웹 기술 표준화를 추진하는 기관인 월드와이드웹컨소시엄 W3C(World Wide Web Consortium)가 암호 없는 새로운 웹 인증 API인 웹인증(WebAuthn. Web Authentication)을 정식 권고했다. 새로운 온라인 인증 기술 표준화를 목표로 하는 비영리단체인 FIDO 얼라이언스(Fast IDentity Online Alliance)와 공동 개발을 진행하던 것으로 지난 2018년 4월 권고 후보에 이름을 올린 바 있다.
기존 웹서비스 등에 로그인을 하려면 아이디와 암호를 이용하는 게 보통이다. 하지만 이 과정에서 암호 유출이나 재사용 탓에 보안 위험이 발생하는 게 문제. 따라서 암호를 아예 사용하지 않는 새로운 인증 방법으로 고안한 게 바로 웹인증이다.
웹인증은 2단게 보안키를 이용하는 것과 비슷하지만 로그인을 할 때 암호 대신 보안키와 기기에 내장한 지문인식 같은 생체 인식을 이용한다. 또 생체 인증을 해도 지문 같은 정보를 웹서비스에 직접 저장하는 건 아니다.
예를 들어 서비스에서 지문을 등록할 때 해당 지문에 대응하는 공개키 암호 방식으로 이뤄진 비밀키와 공개키를 생성하고 서비스 측에는 공개키만 전달한다. 개인키는 기기 쪽에 저장해 대응 지문으로 인증할 경우에만 제거할 수 있다. 따라서 서버에서 공개키가 혹여 누설되더라도 등록에 이용한 기기가 없다면 로그인할 수 없게 된다.
이 때 이용하는 장치도 FIDO2 인증을 받아야 한다. 안드로이드의 경우 최근 운영체제로 FIDO2 인증을 받아 웹인증에서도 이용할 수 있다.
이미 윈도10과 안드로이드, 크롬OS 등 운영체제는 물론 크롬과 엣지, 파이어폭스, 사파리 같은 브라우저가 웹인증을 지원하고 있는 만큼 이용 인프라는 갖춰지고 있다고 할 수 있다. 다만 아직까지 유효 서비스 자체가 적어 앞으로 지원 확대가 필요할 것으로 보인다.
데이터 유출 사고 중 81%는 추측하기 쉬운 비밀번호를 쓰거나 비밀번호를 도난 당해서 생기는 일이라고 한다. 사용자가 암호를 입력하거나 비밀번호를 설정하는 시간도 연 단위로 생각하면 상당하다고 할 수 있다. W3C 측은 웹서비스나 기업은 비밀번호를 이용한 보안 인증 방식보다 뛰어난 웹인증을 지원하고 사용자 보안과 조작성 향상을 도모할 필요가 있다고 조언한다.
물론 W3C가 웹 표준 권고를 해도 권고를 받느냐는 문제는 별개다. 업체와 서비스에 달려 있다는 얘기다. 하지만 W3C를 지원하는 에어비앤비나 알리바바, 애플, 구글, IBM, 인텔, 마이크로소프트, 모질라, 페이팔, 소프트뱅크 같은 기업이 전 세계적으로 높은 점유율을 지니고 있는 만큼 앞으로 많은 브라우저와 웹서비스가 로그인할 때 웹인증을 지원하도록 시스템을 바꿀 가능성이 높다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
