패스워드 웹 로그인, 그 끝의 서막

W3C·FIDO, 웹인증 표준 완성

생체정보·모바일만으로 가능

PC 환경서도 급속 확산 전망

얼굴인식으로 웹 인증하는 모습. [ETRI 제공]

패스워드 없이 웹에 로그인할 수 있는 공식적인 상용화 기술 표준이 세계 최초로 공개됐다.

모바일 중심으로 패스워드가 다른 수단으로 대체되고 있는 가운데 PC환경을 구축했던 웹마저도 패스워드를 폐기하면서 사실상 패스워드가 IT 역사 속으로 사라지는 시대를 본격적으로 맞이하게 됐다.

월드와이드웹(WWW) 컨소시엄 W3C와 FIDO((Fast Identity Online)얼라이언스는 4일(현지시간) 패스워드를 이용하지 않고도 로그인할 수 있는 웹인증(Web Authentication) 표준 ‘WebAuthn’을 완성했다고 밝혔다. 영국의 컴퓨터 과학자 팀 버너스리가 1989년 WWW의 하이퍼텍스트 시스템을 개발한 지 30년 만이다.

이로써 사용자는 패스워드 대신 자신의 지문, 홍채, 얼굴인식 등 생체정보와 개인이 소지한 모바일기기만으로도 웹서비스에 바로 로그인할 수 있게 됐다.

이미 이 방식은 마이크로소프트의 윈도10ㆍ엣지, 구글의 안드로이드ㆍ크롬, 애플 사파리, 모질라 파이어폭스 등의 환경에서 지원될 수 있다고 W3C는 설명했다. 제프 자페 W3C CEO는 “이제 웹서비스와 관련 비즈니스가 취약한 패스워드를 넘어서고, 웹사용자들에게 더욱 안전한 온라인 경험을 제공할 때가 됐다”고 강조했다.

이에 따라 웹서비스 제공자와 판매사들은 FIDO2 설계설명서를 내려받아 패스워드 없이 웹에 로그인할 수 있는 환경을 구축할 수 있게 됐다. FIDO 얼라이언스는 현재 테스트도구와 인증 프로그램을 제공하고 있다.

FIDO는 온라인 환경에서 ID,비밀번호 없이 생체인식 기술을 활용해 개인인증을 수행하는 ‘온라인 간편인증’으로 FIDO1 서비스는 스마트폰 환경에서 금융거래 중심으로 제공돼 왔다.

이후 한국전자통신연구원(ETRI)과 같은 연구기관들이 FIDO2 기술을 개발하면서 PCㆍ노트북의 운영체제(OS)나 웹브라우저 환경에서 사람의 생체정보로 인증이 가능한 기술도 구현됐다.

이번에 공개된 웹인증 기술표준은 이같은 연구단계 수준의 인증방식이 본격적인 대중서비스로 확대되는 계기를 마련했다는 점에서 의미가 있다. 한국전자통신연구원 관계자는 “그동안 연구용 목적으로 FIDO2 기술을 개발했다면, 이번에 W3C가 권고제안(Proposed Recommendation) 표준을 내놓으면서 일반 기업체와 개발자들이 대중 소비자를 대상으로 한 간편 웹인증 시스템을 도입할 수 있게 됐다”고 설명했다.

이를 통해 그동안 모바일 환경에서 패스워드 없이 로그인하던 기술이 올해 상반기를 기점으로 PC환경에서도 급속도로 확산될 것이라고 한국전자통신연구원은 예측했다.

패스워드 없이 웹인증되는 시대가 도래하면서 그동안 제기되던 패스워드 문제점을 개선하는 효과도 나타날 것으로 전망된다. 인증전문기업 유비코의 조사결과에 따르면 사용자 1명이 1년 동안 패스워드를 만들고 다시 생성하는 데 10.9시간을 사용하고, 기업이 이를 처리하는 비용만 520만달러에 달하는 것으로 나타났다.

통신사 버라이즌에 따르면 패스워드 데이터 중 81%가 소멸되는 등 패스워드는 분실, 도난 등의 사회적 문제를 넘어 경제적으로도 많은 비용을 발생시킨다는 지적이 지속적으로 이어졌다.

정태일 기자

Print Friendly