작성자: 작성자: FIDO 직원
10월 17일에 열린 Authenticate 2022 컨퍼런스는 기업, 서비스 제공업체, 정부 기관을 포함한 화려한 연사 라인업과 함께 강력한 인증의 현재와 미래에 대해 이야기하기 위해 모였습니다.
오프닝 세션은 FIDO Alliance 전무이사 겸 CMO인 Andrew Shikiar가 이끌었으며, 지난 한 해 동안 이뤄진 진척 상황에 대해 자세히 설명했습니다. 시키르가 언급한 하이라이트 중 하나는 패스키의 출시입니다.
2022년에는 FIDO Certified 프로그램 도 시작되어 전문가들이 기술을 검증할 수 있는 방법을 제공합니다. 또한 FIDO 강력한 인증의 광범위한 배포를 가속화하는 데 도움이 되도록 설계된 이니셔티브를 통해 사용성과 채택을 지원하기 위한 작업도 진행되었습니다.
“우리의 임무는 비밀번호와 기존 다단계 인증에 대한 업계의 의존도를 줄이는 것입니다.”라고 시키르는 말합니다. “우리는 처음부터 중앙에 저장된 공유 비밀에서 벗어나 본질적으로 소유에 기반을 두고 일반적인 최종 사용자 디바이스에 의존하는 모델로 전환한다는 대담한 목표를 세웠으며, 이것이 우리의 기본 원칙이었습니다.”
PayPal ID 플랫폼의 제품 책임자 마르시오 멜로는 온라인 결제에서 비밀번호 없는 결제의 약속을 실현하기 위한 방법으로 패스키를 활용하는 방법에 대해 이야기했습니다. Mello는 패스키를 사용하여 사용자가 얼마나 쉽게 인증할 수 있는지 보여주는 워크플로우를 시연했습니다.
멜로는 패스키에 대해 “비밀번호 없는 세상을 만들기 위해 10년 동안 노력해온 업계의 변곡점이라고 할 수 있습니다.”라고 말했습니다.
NTT 도코모는 2015년 이사회 임명을 시작으로 FIDO Alliance 안팎에서 리더로 자리매김해 왔습니다. 도코모는 FIDO 사양 형성에 기여해 왔으며, 대규모로 FIDO 인증을 배포한 최초의 모바일 사업자입니다. Shikiar는 기조연설 무대에서 NTT 도코모의 최고 보안 아키텍트인 모리야마 코이치(Koichi Moriyama)를 초청하여 도코모가 수백만 명의 d 계정 사용자에게 패스키를 지원할 계획임을 발표했습니다. 모리야마는 2023년 초에 지원이 시작될 것이라고 말했습니다.
미국 정부는 FIDO를 MFA의 황금 표준으로 간주합니다.
미국 정부의 사이버 보안 및 인프라 보안국(CISA)은 강력한 인증에 대해 매우 적극적인 관심을 보이고 있습니다.
“우리는 수십 년 동안 비밀번호가 사이버 보안의 취약한 고리이며, 다중 인증이 제공하는 추가적인 보호 계층이 사이버 공격을 방지한다는 사실을 알고 있었습니다.”라고 CISA 디렉터인 젠 이스터리(Jen Easterly)는 말합니다. “하지만 소수의 사람들만이 이를 사용하고 있습니다.”
이스터리는 CISA가 멀티팩터 인증(MFA), 특히 FIDO 표준 기반 강력한 인증의 채택을 촉진하기 위해 여러 이니셔티브를 적극적으로 추진하고 있다고 강조했습니다.
“우리는 이번 기회를 통해 MFA의 표준이자 유일하게 널리 사용되는 피싱 방지 인증 방법인 FIDO를 집중 조명할 것입니다.”
CISA의 사이버 보안 부문 수석 기술 고문인 밥 로드(Bob Lord)는 Authenticate 2022 청중에게 기술 업계가 위협 환경과 같은 것을 가장 잘 이해하지 못하는 조직에 안전 유지의 책임이 있다는 생각을 정상화했다는 것은 이상한 일이라고 말했습니다.
Lord는 강력한 인증과 FIDO 도입에 대해 “너무 많은 조직이 이를 도입해야 한다는 사실을 몰라서 실패하는 것을 봅니다.”라고 말합니다. “그 이유는 올바른 방향으로 이끌 수 있는 무언가가 없기 때문입니다.”
로드와 이스터리 모두 기술 공급업체가 사용자가 강력한 인증을 쉽게 사용할 수 있도록 하고 기본적으로 보안을 제공해야 한다고 주장했습니다.
“보안은 고객의 권리를 보장하는 것이지 사치품이 아닙니다.”라고 Lord는 말합니다.
사회적 영향력이 있는 FIDO 인증
Google의 ID 및 악용 방지 기술 부문 선임 이사인 Jonathan Bellack은 MFA 및 비밀번호 없는 보안을 채택하는 사용자에게 Google 몇 가지 과제에 대해 설명했습니다.
벨락은 “사용자 조사 결과, 적어도 소비자 관점에서 볼 때 사용자들은 보안, 개인정보 보호, 남용 등 업계에서 사용하는 어떤 단어도 안전이라는 거대한 무정형 덩어리에 모두 들어맞기 때문에 구분하지 않는 것으로 나타났습니다.”라고 말합니다.
그는 소비자들은 시간이 매우 부족하며 온라인에서 원하는 작업이나 완료해야 하는 작업을 할 수 있는지 알고 싶어 한다는 점에 주목했습니다. 이를 위해 Bellack은 마찰을 일으키지 않는 방식으로 보안을 포함하기 위해 Google 이 진행하고 있는 여러 가지 노력을 자세히 설명했습니다.
유비코의 CTO인 크리스토퍼 해럴은 세션에서 전 세계 조직에서 자유와 개인정보를 보호하기 위해 FIDO 인증을 어떻게 사용하고 있는지 설명했습니다. 유비코는 언론의 자유 재단, 세이프 이스케이프 작전 등 여러 단체와 협력하고 있습니다. 이 회사는 우크라이나의 여러 정부 기관을 지원하기 위해 20,000개 이상의 키를 기부했습니다.
해럴은 “전쟁이 곧 끝나기를 바라지만, 그전까지는 사이버 공격으로부터 인프라를 보호하는 데 도움이 되기를 바랍니다.”라고 말했습니다.
FIDO 사용자가 자세히 설명하는 도입 과제와 기회
Authenticate 2022 프로그램의 핵심은 사용자 스토리이며, 컨퍼런스 첫째 날에는 많은 사용자 스토리가 발표되었습니다.
Salesforce의 제품 관리 수석 부사장인 Ian Glazer는 회사의 MFA 도입 노력의 최고점과 최저점을 설명했습니다. Salesforce는 2019년 가을에 서비스 전반에 걸쳐 MFA를 100% 도입하기로 결정했고, 그 이후로 지금까지 그 여정을 계속하고 있습니다.
100% MFA 채택을 향한 Salesforce의 여정에는 기술적인 고려 사항과 사용자 참여를 위한 대대적인 노력이 모두 포함되었으며, 그 결과 탄탄한 성과를 거두었습니다. 글레이저는 Salesforce의 회계연도 말 기준 월간 활성 사용자의 약 80%가 MFA 또는 SSO를 사용하고 있다고 언급했습니다. 80%는 눈에 띄는 성과이기는 하지만 Salesforce가 설정한 100% 목표에는 미치지 못합니다. 글레이저는 100% 채택이라는 수치를 추구하기 때문에 그의 팀은 계속해서 혁신하고 채택을 촉진할 방법을 찾아야 한다고 강조했습니다.
Salesforce는 지금까지 MFA를 도입함으로써 비용 절감 및 보안 개선 등 여러 가지 이점을 발견했습니다.
글레이저는 “MFA를 도입한 후 계정 탈취가 급격히 감소했습니다.”라고 말합니다.
Microsoft 는 또한 사용자에게 암호 없는 경험을 가능하게 하는 것을 목표로 광범위한 채택을 강력히 추진하고 있습니다. 아이덴티티 부문 선임 프로그램 관리자인 Scott Bingham과 Microsoft의 선임 제품 관리자인 Emily Houlihan은 세션에서 암호 없는 여정에서 지금까지 배운 교훈을 설명했습니다.
빙엄은 Microsoft 가 임시 일회용 비밀번호, 보안 키, 인증 앱, 윈도우 헬로(Windows Hello)에 대한 지원을 다양한 비밀번호 대체 제품으로 출시하는 데 수년을 보냈다고 말했다. Microsoft 는 암호를 완전히 제거하는 방향으로 점점 더 나아가고 있습니다.
“사람들은 비밀번호 없는 환경을 원합니다.”라고 빙엄은 말합니다. “보안도 중요하지만 사용자 경험도 매우 중요하며 수요를 창출하는 데 도움이 됩니다.”
미군 및 퇴역 군인에게 금융 서비스를 제공하는 USAA도 사용자 보안을 위해 FIDO와 MFA를 채택하고 있습니다. USAA의 기술 보안 아키텍트인 데렉 헨슨은 세션에서 배운 일련의 주요 교훈을 공유했습니다.
그가 얻은 첫 번째 교훈은 처음부터 강력한 인증을 기본값으로 설정하는 것이 좋다는 것입니다.
헨슨은 “나중에 마음을 바꾸도록 설득하는 것보다 보안성이 높은 MFA 프로그램으로 시작하는 것이 훨씬 쉽다는 것을 알게 되었습니다.”라고 말합니다.
USAA가 얻은 또 다른 중요한 교훈은 비밀번호 없는 접근 방식에 있어 사용자에게 인증이 이루어지고 있음을 보여주지 않고 완전히 수동적으로 접근하는 것은 성공할 수 없다는 것입니다. 헨슨은 수십 년 동안 회원으로 가입해 왔는데 지문만으로 로그인할 수 있다는 사실을 믿을 수 없다는 USAA 회원들의 전화가 걸려왔다고 말했습니다. 이를 위해 USAA는 인증 워크플로에 사용자에게 액세스가 보호되고 있음을 알리는 중간 화면을 추가해야 했습니다.
“따라서 안전해야 할 뿐만 아니라 실제로 안전해 보여야 합니다.”라고 그는 말합니다.
금융 서비스 대기업인 Citi도 FIDO의 강력한 인증 방식을 채택했습니다. Citi의 보안 인증 아키텍처 및 기술 엔지니어링 디렉터인 매튜 넌은 세션에서 비밀번호에서 벗어나야 하는 이유에 대해 가감 없이 설명했습니다.
Nunn은 비밀번호를 더 안전하게 만들 수 있는 의미 있는 방법은 사실상 없다고 말했습니다.
“여러분이 암호를 사용하고 우리가 오랫동안 암호를 사용해 온 이유는 우리가 시스템과 상호 작용하기 위해 사용하는 인터페이스인 키보드에 인질로 잡혀 있기 때문입니다.”라고 Nunn은 말합니다.
또한 비밀번호를 사용하지 않으면 사용자가 더 이상 인질로 잡히지 않으며, 사용자가 비밀번호를 다시 입력할 필요 없이 디바이스의 기능을 활용하여 인증할 수 있다고 덧붙였습니다.
생체인식, 소비자 인증 습관, FIDO 이니셔티브, 더 많은 사용자 세션 등 통찰력 있는 콘텐츠와 토론으로 가득한 Authenticate 2022의 2일차는 또 한 번 꽉 찬 하루가 될 것으로 기대됩니다.2일간의 Authenticate 2022에 참석하고 싶으신가요? 가상 참석 등록은 계속 가능하며, 모든 등록자는 필요에 따라 지난 세션에 액세스할 수 있습니다. 등록하려면 www.authenticatecon.com 을 방문하세요.