패스워드가 필요없는 인증 ”WebAuthn”이란?

2022-01-13
조회수 239



2019년 3월, "WebAuthn”이라는 패스워드에 의존하지 않는 인증방법이, W3C와 FIDO 얼라이언스에 의해 웹표준으로 지정된 후 약 2년이 지났습니다.


하지만 지금도 웹서비스의 인증방식은 여전히 ID와 패스워드를 이용하는 것이 주류입니다. 그렇지만 여러 개의 웹 서비스를 이용하고 있다면 설정했던 패스워드가 생각나지 않거나, 추측되기 쉬운 패스워드는 해킹의 위험성이 있는 등, 리스크가 많다는 것이 현재 웹 서비스의 문제점입니다.


웹 서비스 및 패스워드 관리

스마트폰의 보급으로 인해 편리한 클라우드 서비스와 웹 서비스가 다양하게 출시되면서, 웹 서비스 이용은 우리의 삶에서 빠뜨릴 수 없는 존재가 되었습니다.

여기서 문제가 되는 것은, 많은 사람들이 일상에서 다양한 웹 서비스를 이용하고 있기 때문에 패스워드의 관리를 중요시 해야 된다는 것입니다.


보안상의 이유로 여러 서비스에서 동일한 패스워드를 사용한다거나, 짧고 추측하기 쉬운 패스워드를 사용하는 것은 해킹의 위험이 증가하기 때문에 권장하지 않습니다. 그러나 인간의 기억능력에는 한계가 있기 때문에 많은 웹 서비스를 이용하면서 각각 다른 복잡한 패스워드를 설정하게되면, 어떤 서비스에서 어떤 패스워드를 등록했는지 알 수 없게 되는 일이 발생합니다. 특히, 평소 사용하지 않는 서비스를 이용하려고 할 때 패스워드가 생각이 안나 패스워드를 재발행 한 사례가 다수 발생하고 있습니다.



WebAuthn과 FIDO

“WebAuthn”이란, 간단하게 말하면, 패스워드에 의존하지 않는 인증을 실현하기 위한 「FIDO2」라고 하는 인증기술을 구성하는 기술의 하나로, 브라우저 혹은 관련하는 웹 서비스에  적용할 수 있는 표준 웹API입니다.


FIDO2에서는 패스워드에 의한 인증 대신 지문인증이나 얼굴인증 등의 생체인증이나 스마트폰이나 보안키 등의 외부 디바이스를 이용하여 인증을 합니다.

“WebAuthn”의 사양에는 구체적인 활용사례에 대해서도 기재되어 있습니다.

간단히 요약하면, “WebAuthn”은 다음과 같은 절차를 통해 사용자가 웹 서비스를 인증합니다.


1. 사용자는 스마트폰 등의 단말기로 웹 서비스에 액세스하고, 그 단말기에 미리 설정된 PIN 코드나 생체인증을 통해서 등록한다.

2. 노트북이나 데스크톱 PC로 웹 서비스를 이용하는 경우, 사용자는 “휴대폰으로 로그인” 이라는 옵션을 선택하면, 등록된 스마트폰에 통지메시지가 발송되고, 스마트폰으로 ID를 선택하여, PIN 코드나 생체인증을 사용하여 인증하면 PC 측에서 로그인이 완료된다.


위의예에서는 스마트폰을 통해서 인증을 수행하지만, 보안키라는 외부장치를 사용하여 USB, Bluetooth, NFC등을 사용하여 인증 할 수도 있습니다.

또한, 클라이언트와 서버간의 인증에는 공개키 패스워드의 기술을 이용하고 있기 때문에, 유저의 생체정보 등의 기밀데이터는 네트워크상을 유출되는 일은 없습니다.


패스워드 인증문제와 ”WebAuthn”의 특징

“WebAuthn”이 도입되면 사용자의 편의성과 안전성이 향상되는 것일까?

먼저, 패스워드 인증의 문제점으로는 이하와 같은 점이 생각됩니다.


  • 여러계정을 기억해야 하기 때문에, 잊어버린 경우는 재발행을 해야하는 점.
  • 추측하기 쉬운 간단한 패스워드로 설정 시, 해킹발생.
  • 브루트 포스 또는 리스트형 공격에 의한 피해.
  • 피싱이나 중간자 공격으로 인한 피해.
  • 서비스 제공자 측에서 인증 정보가 유출될 가능성.


패스워드 인증의 보안을 높이는 방법으로서 2단계인증을 이용할 수 있는 서비스도 있습니다. 그러나 지금은 서비스마다 토큰을 관리할 필요가 있기 때문에, 이용하는 서비스가 많으면 번거로움이 늘어날 뿐입니다.

반면 ”WebAuthn”이 보급되면 다음과 같이 될 것으로 생각됩니다.


  • 패스워드를 기억할 필요가 없으며 동일한 인증방법으로 여러 서비스를 사용할 수 있다.
  • 타인의 의한 해킹으로 부정 로그인하기가 어렵다.
  • 인증에 필요한 기밀 정보가 네트워크상에 유출되지 않기 때문에, 피싱이나 중간자 공격의 위협이 없다.
  • 서비스 제공자로부터 인증에 필요한 정보가 유출될 가능성이 없다.


“WebAuthn”의 단점으로는 스마트폰 등의 외부 장치의 고장이나 분실 시에 로그인할 수 없게 될 가능성이 있습니다. 이에 대해서는 서비스 제공 측에서 백업 수단이 준비될 것으로 생각합니다. 물론 백업 수단이 취약하거나 절차가 매우 귀찮다고 하면 의미가 없기 때문에, 이 문제는 앞으로 다가올 문제점이라고 봅니다.


이와같이 ”WebAuthn”은 기존의 패스워드 인증에 비해 많은 사용자에게 편의성과 안전성이 향상되지 않을까 생각됩니다. 그러나 완전한 보안은 존재하지 않기 때문에 “WebAuthn”이 보급되면 새로운 문제와 위험이 발생하는 것은 피할 수 없을 것입니다.


“WebAuthn”의 보급에 있어서는, 클라이언트측의 디바이스나 브라우저, 서비스의  제공자측 시스템 양쪽에서의 대응이 필요하기 때문에, 아직 해결하려면 시간이 걸릴 것으로 예상됩니다.

하지만Microsoft Edge, Google Chrome, Firefox와 같은 주요 브라우저는 “WebAuthn”을 지원한다는 것을 발표하며, 이미 패스워드를 사용하지 않는 인증 방법을 제공하는 웹 서비스도 나오고 있기때문에, 앞으로 많은 서비스에서 “WebAuthn”이 이용되어 패스워드를 사용하지 않는 인증 방식이 일반화되는 것을 충분히 기대할 수 있다고 생각합니다.

6 0

오치영
Oh Dream Officer
ocy@jiran.com

지란을 끌고 가는 힘과 문화는 Dream Challenge KeepGoing
우리가 가야할 방향은 B2B SaaS 집중,
우리의 글로벌 전략은 Japan To Global,
인생의 절반은 일인데 일을 대하는 자세를 배운다 " 일의격 "
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.