구글, 페이스북, 드롭박스, 깃허브 등 글로벌 인터넷 서비스가 사용자 계정 보호를 위해 FIDO 이중인증(U2F) 기반 USB 물리 보안키를 도입했다. 피싱 등 계정 탈취를 위한 공격 시도가 점차 고도화되고 빈번해지면서 보안 강화를 위한 방안으로 주목받는다. 다만 국내에서는 관련 USB 보안키 제품 유통이 아직 활성화되지 않아 사용이 어렵다.
5일 업계에 따르면 페이스북은 지난달 전체 사용자를 대상으로 USB 보안키를 이용해 계정에 접속하는 2단계 인증 서비스를 시작했다. 구글과 드롭박스 등에서 동일한 USB 보안키를 함께 사용 가능하고 로그인 피싱으로부터 가장 안전하다고 평가받는 기술이다.
국내에서는 생체인증(UAF) 관련 국제표준화단체로 알려진 FIDO얼라이언스에서 제시한 U2F(Second Factor Experience) 표준을 적용했다. U2F 상호운용성 테스트를 통과한 USB 보안키 하나로 구글, 드롭박스, 세일즈포스, 깃허브(GitHub) 등 계정 접속을 지원한다.
페이스북 측은 물리 보안키가 기존 2단계 인증 수단으로 주로 쓰이던 문자메시지(SMS) 방식과 스마트폰 앱을 이용한 보안코드 생성 방식에서 한 단계 나아간 보안 기술로 봤다. 국내 대부분 금융기관과 포털 사이트 등도 사용하는 SMS 방식 본인인증은 중간자 공격에 취약해 지난해 미국 국립표준기술원(NIST)으로부터 퇴출 대상으로 지목됐다. 네이버도 SMS 본인인증 대신 스마트폰 앱 OTP 생성 방식만을 2단계 인증 서비스로 제공한다.
구글도 USB 보안키 방식을 계정 보호 수단으로 제공한다. 공개 서비스에 앞서 5만여명에 달하는 구글 임직원을 대상으로 시범 적용해 계정 관련 사고율 감소와 보안성 강화 효과를 검증했다.
크리스티안 브랜드 구글 계정·보안상품 매니저는 “파이도 U2F 기반 보안키 방식은 피싱으로부터 계정을 보호하는 가장 완벽한 수단”이라며 “별도 보안 프로그램을 설치할 필요가 없고 접속에 걸리는 시간도 SMS 인증이나 스마트폰 앱으로 일회용비밀번호(OTP) 생성할 때보다 절반 정도에 불과하다”고 평했다.
구글은 향후 기업용 구글앱스 모든 서비스에 보안키 적용 옵션과 보안키를 활용한 조직 보안정책 설정 등을 지원할 예정이다.
FIDO얼라이언스에 따르면 본인 인증 관련 서비스 개발이 생체인증과 모바일에 집중된 한국과 달리 미국, 유럽 등에서는 물리키를 활용한 U2F 방식 비중이 높다. 미국 유비코(YUBICO), 중국 페이티안(FEITIAN) 등 USB 보안키 제조사가 활발하게 사업을 펼친다.
NFC 기능을 지원하는 USB 보안키로 PC뿐만 아니라 모바일에서 계정 접속도 지원한다. 연내 U2F와 UAF를 하나로 통합하고 주요 운용체계(OS), 웹브라우저 등에 기본 탑재되는 FIDO 2.0이 발표되면 시장 확산에 속도가 붙을 전망이다.
국내에서는 클라우드 기업 넷킬러가 자체 서비스와 접목해 고객에게 일부 판매하고 있지만 일반 사용자는 아마존 등에서 해외 직구하는 수밖에 없다.
국내 보안업체 중에서는 지난해 한컴시큐어가 처음으로 U2F 분야 FIDO 공식 인증을 획득했다. USB 보안키 제품 등을 국내 수입하는 코나아이와도 MOU를 교환했다. 기존 확보한 UAF 인증과 함께 금융권·비대면 인증 시장을 준비한다. 최근 SGA솔루션즈도 U2F 공식 인증을 획득했다. SK텔레콤과 협력해 스마트워치 등 웨어러블 기기를 이중인증 물리 보안키로 활용하는 기술을 개발한다.
박정은기자 jepark@etnews.com
