AAL (Authenticator Assurance Levels)은 FIDO (Fast Identity Online) Alliance에서 도입한 인증자 보증 수준을 나타내는 용어입니다. AAL은 인증자(생체인식 장치, 보안 키 등)의 신뢰성과 보안 수준을 분류하는 데 사용됩니다.
AAL은 1부터 3까지의 수준으로 구분됩니다.
AAL1: 이 수준은 기본적인 보증 수준을 나타냅니다. 인증자가 사용자를 확인하고 인증하는 데 필요한 최소한의 요구 사항을 충족합니다. 예를 들어, 지문 인식 장치가 단순히 사용자의 지문을 인식하여 인증하는 경우 AAL1로 분류될 수 있습니다.
AAL2: 이 수준은 중간 보증 수준을 나타냅니다. 인증자가 더 강력한 보안 기능을 제공하고 추가적인 보증 요구 사항을 충족합니다. 예를 들어, 얼굴 인식과 함께 사용자의 눈 동작을 확인하여 인증하는 경우 AAL2로 분류될 수 있습니다.
AAL3: 이 수준은 높은 보증 수준을 나타냅니다. 인증자가 강력한 보안 기능과 고급 보증 요구 사항을 충족합니다. 예를 들어, 얼굴 인식과 동시에 사용자의 목소리 패턴을 확인하여 인증하는 경우 AAL3로 분류될 수 있습니다.
AAL은 인증자의 신뢰성과 보안 수준을 표시하여 사용자와 서비스 제공자가 적절한 인증 방법을 선택할 수 있도록 지원합니다.

웹 인증(WebAuthn)은 웹 사이트 및 애플리케이션에서 공개키 암호화 및 보안키를 사용하여 사용자에게 암호 없는 강력한 인증 환경을 제공하는 데 사용할 수 있습니다.
WebAuthn을 사용하려면 먼저 보안키를 구입하거나 지문 스캐너 또는 얼굴 인식과 같은 내장 보안 기능을 지원하는 장치를 사용해야합니다.
사용자가 WebAuthn을 지원하는 웹 사이트 또는 애플리케이션에 로그인하려고 하면 보안키를 삽입하거나 기기에 내장된 보안 기능을 사용하라는 메시지가 표시됩니다.
그런 다음 웹 사이트 또는 응용 프로그램은 보안키 또는 장치에 챌린지를 보내 공개키 및 개인키 세트를 생성합니다.
개인키는 보안키 또는 장치에 남아 있고 공개키는 웹 사이트 또는 애플리케이션으로 다시 전송됩니다.
그런 다음 웹 사이트 또는 응용 프로그램은 서버에 저장된 사용자의 계정 정보로 공개키를 확인합니다.
공개키가 사용자의 계정 정보와 일치하면 사용자는 암호나 추가 인증 요소 없이 웹 사이트 또는 애플리케이션에 액세스할 수 있습니다.
이 프로세스는 피싱 공격 및 암호 도용에 저항하는 강력하고 안전한 인증 형식을 제공합니다.

WebAuthn이라고도 하는 웹 인증은 웹 응용 프로그램에 대해 강력한 암호 없는 인증을 가능하게 하는 웹 표준입니다.
W3C(World Wide Web Consortium)와 FIDO Alliance가 공동으로 만들었습니다.
WebAuthn은 웹 사이트가 보안키, 생체 인식 센서 또는 기타 인증자와 상호 작용하여 암호에 의존하지 않고 사용자를 인증할 수 있는 API를 제공합니다.
WebAuthn을 통해 사용자는 지문 또는 얼굴 인식과 같은 생체 인증 또는 하드웨어 보안키를 포함한 다양한 인증 방법을 사용하여 웹 사이트에 자신을 인증할 수 있습니다.
인증 프로세스는 피싱 공격, 암호 재사용 및 암호 기반 공격의 위험을 제거하므로 기존 사용자 이름/암호 인증보다 더 안전하고 편리하도록 설계되었습니다.
WebAuthn은 Google Chrome, Mozilla Firefox, Microsoft Edge 및 Apple Safari를 포함한 모든 주요 웹 브라우저에서 지원됩니다.
Dropbox, GitHub, Microsoft 및 Google을 포함한 주요 웹 사이트 및 서비스에서 널리 채택되었습니다.

보안키는 인증 및 권한 부여 목적으로 사용되는 물리적 장치입니다.
이는 기존의 사용자 이름 및 암호 인증을 넘어 추가 보안 계층을 제공하는 이중 인증의 한 형태입니다.
보안키는 암호 기반 인증 시스템과 함께 사용하여 계정 해킹 및 무단 액세스에 대한 추가 보호 계층을 제공하도록 설계되었습니다.
보안키는 각 인증 요청에 대해 고유한 디지털 서명을 생성하여 작동합니다.
디지털 서명은 보안키에 저장된 비밀키를 사용하여 생성됩니다.
이 키는 보안키안에 암호화 되어 있으며 복제가 불가능하여 해커가 기존 해킹 방법을 사용하여 계정에 액세스하는 것이 사실상 불가능합니다.
보안키에는 USB 기반 보안키와 NFC 기반 보안키의 두 가지 주요 유형이 있습니다.
USB 기반 보안 키는 컴퓨터 또는 모바일 장치의 USB 포트에 연결되며, NFC 기반 보안키는 NFC(근거리 통신) 기술을 사용하여 장치와 무선으로 통신합니다.
보안키는 계정 해킹 방지 효과와 사용 편의성으로 인해 최근 몇 년 동안 점점 인기를 얻고 있습니다.
Google, Microsoft 및 Dropbox를 포함한 많은 주요 기술 회사는 이제 이중 인증의 한 형태로 보안키를 지원합니다.

생체 인증은 기존 인증 방법보다 높은 수준의 보안을 제공할 수 있지만 생체 인식 데이터 사용과 관련된 개인 정보 보호 문제도 있습니다.
다음은 생체 인증과 관련된 몇 가지 주요 개인 정보 보호 문제입니다.
데이터 위반: 생체 인식 데이터는 일단 손상되면 암호나 PIN처럼 변경할 수 없습니다.
공격자가 생체 인식 데이터 데이터베이스에 대한 액세스 권한을 얻으면 그 결과는 심각하고 오래 지속될 수 있습니다.
데이터 오용: 생체 인식 데이터는 개인의 움직임, 행동 및 활동 추적과 같은 인증 이외의 목적으로 사용될 수 있습니다.
이 데이터는 정부 및 기업을 포함한 제3자에 의해 오용될 위험이 있습니다.
동의 부족: 생체 인식 데이터는 종종 개인의 명시적인 동의 없이 수집됩니다.
예를 들어, 얼굴 인식 기술은 스캔되는 개인의 지식이나 동의 없이 공공 장소에서 자주 사용됩니다.
차별: 생체 인식 시스템은 유색인종이나 장애인과 같은 특정 그룹에 편향되어 차별과 부당한 대우로 이어질 수 있습니다.
부정확성: 생체 인식 시스템은 거짓 긍정 또는 거짓 음성과 같은 오류가 발생하기 쉬울 수 있으며, 이로 인해 합법적인 사용자에 대한 액세스가 거부되거나 제한된 영역에 대한 무단 액세스가 발생할 수 있습니다.
조직은 이러한 개인 정보 보호 문제를 해결하고 사용자의 생체 인식 데이터를 보호하기 위한 적절한 보호 장치를 구현하는 것이 중요합니다.
여기에는 강력한 암호화 및 액세스 제어 구현, 데이터 수집에 대한 명시적 동의 획득, 생체 인식 시스템이 투명하고 정확하며 편견이 없는지 확인하는 것이 포함됩니다.