지난 섹션에서는 사이버보안의 사용자 인증에 생체인증을 도입할 경우 보안성에 대한 이슈로 논의를 해 보았습니다.
FIDO 생체인증은 기존 생체인증 기술에 비해 추가적인 보안 계층 및 요소들을 제공하는 고유한 암호화 키를 사용함으로써 스푸핑 및 알려진 다양한 피싱 공격에 더욱 강력한 인증 방법이라는 것을 알아보았습니다.
이번 섹션에서는 실제 도입 시 검토되어야 될 사항인 도입목적, 규제준수, 호환성, 확장성, 사용자 경험, 표준화, 도입비용 및 유지비용에 대해서 알아보겠습니다.

보안을 책임지고 있는 리더는 생체인증 수단을 고려하기 전에 조직에서 원하는 보안 및 사용자 경험의 요구사항이 무엇인지 명확하게 이해하고 목표를 정해야 합니다. 목표를 정한 뒤에는 어떤 방법이 그 목적을 달성하는데 가장 효과적으로 충족시킬 수 있는지를 검토한 후 결정합니다. 이러한 작업은 단독으로 하기 보다는 보안담당, 운영담당, 사용자 그룹, 경영관리 등을 참여시켜 논의할수록 효과가 증대됩니다.

생체인증 사용에 관련된 법은 다양합니다. 개인정보보호법 및 ISMS-P, 국정원 보안적합성 등 다양한 법에서 사용자 인증에 관한 조항이 있고, 최근에는 이 사용자 인증에 생체인증 및 FIDO 인증이 포함되어 ID/PW를 대체하는 수단으로 의무화되고 있는 추세입니다. 생체인증 솔루션은 민감한 데이터의 수집 및 사용을 포함하고 있기 때문에 관리자는 생체인증 솔루션이 개인정보보호법 및 관련 규정을 준수하고 실제로 사용자 생체정보가 제대로 보호되는지 확인해야 합니다.

예를 들어 생체인증을 1:N 방식으로 사용하는 경우 생체정보 저장공간이 일반 메모리 영역에 있는지 안전영역에 있는지를 확인해야 합니다. 암호화가 되어 있더라도 생체정보 탈취 자체만으로 심각한 평판추락, 법률위반 처벌, 손해배상 소송 등에 휘말릴 수 있습니다.

FIDO 생체인증 방식의 경우 로컬 인증 방법을 사용하여 생체정보가 사용자의 스마트폰, PC, 보안키 등의 안전영역에 저장되는 방식으로 생체인증 데이터가 중앙 서버에 저장되지 않습니다. 이를 통해 사용자의 생체정보 및 개인정보를 보호하고 데이터 침해 위험을 줄일 수 있습니다. 1:N 생체인증 방식을 사용하는 경우 서버에 생체정보가 저장되므로 서버의 안전영역을 설정할 수 있는 HSM 사용을 권고하고 있습니다.

ID/PW 또는 OTP를 대체하는 생체인증을 도입하는 경우 기존 시스템과의 통합은 중요한 고려사항입니다. 보안 책임자는 생체인증 솔루션이 기존 시스템과 쉽게 통합, 확장, 교체할 수 있는지를 확인해야 합니다. 연동 시스템은 PC, 업무 애플리케이션, 네트워크 장비, 서버 등으로 크게 구분할 수 있습니다. 각 시스템마다 고유 벤더들이 존재하며 OS, 웹 브라우저, 앱 등과 호환하여 연동 가능합니다. 생체인증과 시스템간 연동 확장성, 생체인증 수단의 추가 확장성 등을 고려해야 합니다. 생체인증 개발 솔루션은 개별 업무시스템과 OS, 웹 브라우저 환경이 상이하여 대부분 수개월의 연동개발 기간이 필요합니다. FIDO 생체인증 방식의 경우 윈도우, MAC, 안드로이드, iOS, 리눅스 등 서로 다른 플랫폼에서 작동하도록 설계되어 있고 크롬, 엣지, 사파리, 파이어폭스 등 대부분의 웹 브라우저에 FIDO 클라이언트가 탑재되어 특정 장치나 플랫폼에서만 작동할 수 있는 기존 생체인증 솔루션에 비해 더 확장이 편리하고 사용자 친화적입니다. 하나의 플랫폼 안에서 지문, 얼굴, 홍채, 정맥, 음성 등 FIDO 표준을 사용하는 생체인증 수단을 손쉽게 추가, 교체할 수 있습니다. 또한 W3C와 FIDO Alliance가 공동 개발한 WebAuthn API를 활용하여 단 하루만에도 업무 애플리케이션과 연동할 수 있도록 지원합니다.

생체인증 솔루션은 기존 ID/PW나 OTP 인증보다 원활하고 사용자 친화적인 인증 경험을 제공하여 사용자의 만족도와 생산성을 향상 시킬 수 있습니다. 온라인 사용자 인증에 생체인증을 도입시 다음과 같은 수단을 검토할 수 있습니다.

사용자 인증 수단

스마트폰 지문, 얼굴 인식 , 독립형 지문인식 단말기 또는 FIDO 지문 보안키, 얼굴인식용 노트북 카메라, 웹카메라, 전용 적외선 카메라, 3D 카메라, 홍채인식용 전용 적외선 카메라, 정맥인식용 전용 단말기

인증 수단 및 장치별 사용자 경험을 고려하여 일부 도입 또는 전사도입을 고려해야 합니다. 보편적으로 사용되는 스마트폰 또는 PC 장치, FIDO 생체인증을 활용하는 경우 S/W 사용자 경험 및 기능 확장에 중점을 두고, 별도의 독립형 생체인증 단말기와 솔루션을 활용하는 경우 추가적인 H/W 투자 비용 대비 목적에 적합한 사용자 경험을 제공하는지 면밀한 검토가 필요합니다.

FIDO 생체인증은 플랫폼 기반으로 사용하기 쉽도록 설계되었으며, 사용자가 암호를 기억할 필요가 없습니다. FIDO 인증을 통해 사용자는 지문이나 얼굴 인식과 같은 생체인증을 사용하여 인증할 수 있으며, 이렇게 하면 사용자 환경이 개선되고 암호를 잊어버리거나 잘못된 로그인 시도와 같은 사용자 오류 가능성이 줄어들게 됩니다.

표준화 측면에서 FIDO 생체인증과 기존 생체 인증의 주요 차이점은 FIDO가 사이버 보안의 사용자 인증을 위한 개방형 표준을 개발한 반면, 기존 생체 인증 솔루션은 일반적으로 독점 기술에 의존한다는 것입니다.

FIDO(Fast Identity Online) Alliance는 패스워드 없는 인증을 위한 개방형 표준을 개발한 산업계의 글로벌 컨소시엄입니다. OS 및 브라우저를 제공하는 MS, Google, Apple을 비롯한 280여개의 회원사로 구성되며, FIDO 사양에는 범용 인증 프레임워크(UAF)와 범용 2차인증 프레임워크(U2F)가 포함되며, W3C와 인증 표준 API 및 외부 인증 장치를 포함하는 최신의 FIDO2 프레임워크가 발표되어 가장 빨리 확산되고 있습니다. 이는 서로 다른 장치와 플랫폼에서 인증 프로토콜이 어떻게 구현되어야 하는지를 정의해 줍니다. FIDO 사양은 상호 운용이 가능하도록 설계되었으며, 이는 사용자가 동일한 생체 인증 정보를 사용하여 PC 인증부터 사내 업무 시스템 인증, 인터넷 웹 사이트 서비스, 클라우드 서비스 등에서 인증할 수 있음을 의미합니다.

반면에, 기존의 생체 인식 솔루션은 종종 다른 공급업체 또는 플랫폼에 걸쳐 표준화되지 않을 수 있는 독점 기술에 기반하는 경우가 대부분입니다. 이로 인해 상호운용성 문제가 발생할 수 있으며 사용자가 서로 다른 시스템에서 생체인식 데이터를 사용하여 인증하기가 더욱 어려워질 수 있습니다.

전반적으로 FIDO가 제공하는 표준화는 생체 인증의 상호 운용성과 보안을 개선하고 조직이 이러한 솔루션을 보다 쉽게 채택할 수 있도록 지원할 수 있습니다.

FIDO 생체인증 및 기존 생체인증 솔루션의 도입비용은 사용되는 생체인증 기술의 종류, 사용자 수, 구체적인 사용자 시나리오 등 여러 요인에 따라 달라질 수 있습니다. 그럼에도 일반적으로 고려해 볼 수 있는 내용을 살펴보면 다음과 같습니다.

일반적으로 FIDO 기반 생체인증 솔루션은 사용자가 보편적으로 사용하고 있는 스마트폰 지문, 얼굴 또는 PC 탑재 지문 등을 사용하기 때문에 기존 생체인증 솔루션에 비해 도입 비용이 낮은 경향이 있습니다. FIDO 표준은 서로 다른 장치와 플랫폼 간에 상호 운용이 가능하도록 설계되어 실제 구현 및 관리의 복잡성을 줄여주기 때문입니다. 또한 FIDO 기반 생체인증 솔루션은 개인정보를 스마트폰, PC의 TPM 하드웨어 보안 모듈에 저장하는 것을 활용하기 때문에 생체정보 보안을 위한 별도의 HSM 하드웨어 보안 모듈을 따로 도입할 필요가 없어 하드웨어와 소프트웨어의 추가적 비용을 줄일 수 있습니다.

반면, 기존 생체인증 솔루션은 같은 수준의 보안을 제공하기 위해 하드웨어 HSM 및 보안 소프트웨어 등을 필요로 하는 경우가 많아 도입 비용이 계획된 예산보다 증가할 수 있습니다. 예를 들어 얼굴인식 시스템은 전용 웹 카메라 또는 적외선 카메라와 같은 인증 장치 및 소프트웨어 알고리즘 라이센스 비용, 서버의 생체 데이터 보호를 위한 HSM 장비 도입 등이 필요할 수 있으며, 이는 실제 구현 및 관리에 비용이 많이 들 수 있습니다. 또한 생체인식 데이터의 저장 및 처리를 위한 추가 인프라를 필요로 할 수 있으며, 이는 전반적인 도입 비용의 증가 요인이 될 수 있습니다.

전반적으로 도입비용은 FIDO 생체인증과 기존 생체인증 솔루션 모두 크게 다를 수 있지만, FIDO 기반 생체인증 솔루션은 상호 운용성과 기존 하드웨어 및 소프트웨어를 활용할 수 있는 능력에 중점을 두기 때문에 일반적으로 더 비용 효율적으로 인식되고 있습니다.

유지보수 및 라이센스 측면에서 FIDO 생체인증과 기존 생체인증 솔루션 간에 몇 가지 차이점을 살펴볼 수 있습니다.

FIDO 기반 생체인증 솔루션은 서로 다른 장치와 OS, 브라우저 간에 상호 운용이 가능하도록 설계되어 유지보수에 필요한 추가 개발이 요구되지 않아 연동 개발 비용이 발생하지 않는 이점이 있습니다. 또한 생체인증 라이센스가 스마트폰, PC 등에 이미 포함되어 있어 추가적인 생체인증 라이센스 비용이 발생하지 않아 유지보수 및 라이센스의 복잡성을 줄일 수 있습니다. FIDO 표준을 지원하는 FIDO Alliance는 FIDO 기반 제품이 표준을 준수하도록 보장하는 인증 프로그램을 제공하여 상호 호환성을 보장하고 유지관리 비용을 절감하는데 실질적 도움이 될 수 있습니다. 결론적으로 FIDO 기반 생체인증은 기존 하드웨어와 소프트웨어를 활용하는 경우가 많기 때문에 유지보수 및 라이센스 비용이 상대적으로 저렴할 수 있습니다.

그러나 기존 생체인증 솔루션은 보다 전문적인 유지보수 및 라이센스를 필요로 할 수 있습니다.

기존 생체인증 솔루션은 공급사마다 개발환경 및 운영 환경이 다르기 때문에 유지 및 라이센스 비용이 더 많이 드는 추가적인 소프트웨어 및 하드웨어 개발 비용이 필요할 수 있습니다. 또한 종래의 생체인증 솔루션은 생체인증 데이터의 저장 및 처리를 위한 추가적인 인프라를 필요로 할 수 있으며, 이는 유지보수 비용을 증가시키는 요인이 될 수 있습니다.

전반적으로 유지보수 및 라이센스 비용은 구체적인 사용자 시나리오 세부사항에 따라 달라 질 수 있지만, FIDO 생체인증 솔루션은 일반적으로 상호운용성이 더 뛰어나도록 설계되었으며, 기존 하드웨어와 소프트웨어를 활용할 수 있으므로, 유지보수 및 라이센스의 전체 비용을 줄이는데 도움이 될 수 있습니다. 기존 생체인증 솔루션은 보다 전문적인 유지보수 및 라이센스가 필요할 수 있으며, 이는 도입의 전반적인 비용을 증가시킬 수 있습니다.

지금까지 사이버보안 사용자인증에 생체인증 도입 검토에 대해 알아보았습니다. 다음 마지막 섹션에서는 다양한 산업 및 응용 분야에서 생체인증 솔루션의 성공적인 도입을 위한 사례는 금융 및 정부, 기업 도입 분야를 중심으로 제공될 예정입니다. 많은 관심 부탁드립니다.