작성자: 작성자: FIDO 직원
Authenticate 2022 컨퍼런스의 둘째 날에는 결제 보안, 생체 인식, 국가 신원 및 디자인 시스템 등 인증 분야의 여러 측면을 아우르는 다양한 주제와 연사가 참여했습니다.
이날 행사는 글로벌 결제 시스템의 현황과 직면한 과제에 대해 논의한 Visa의 수석 이사 더그 피셔의 기조연설로 시작되었습니다. 피셔는 이커머스 사기가 여전히 만연한 위험이지만, 강력한 온라인 인증이 사기를 줄이는 데 도움이 된다고 지적했습니다.
이커머스에서 더 강력한 인증 방식을 도입할 경우, 소비자 구매 프로세스에 더 많은 마찰이 발생하여 장바구니 이탈로 이어질 수 있다는 문제가 있습니다. 피셔는 이 문제를 해결하기 위해 FIDO Alliance, EMVCo 및 W3C가 협력하여 결제 인증 마찰을 줄이기 위해 상호 운용성을 개선하기 위해 노력하고 있다고 설명했습니다. 이러한 공동의 노력으로 현재 개발 중인 보안 결제 확인(SPC) 표준이 탄생했습니다.
“SPC는 현재 개발 중인 웹 표준으로, 결제 시 간소화된 인증을 지원하기 위해 WebAuthn을 기반으로 구축되었습니다.
트랜잭션”이라고 피셔는 말했습니다. “SPC와 FIDO는 땅콩버터와 젤리처럼 잘 어울립니다.”
MFA의 위험
KnowBe4의 데이터 기반 방어 에반젤리스트인 Roger Grimes가 진행한 세션의 주요 메시지는 모든 멀티팩터 인증(MFA) 기술이 동일하지는 않다는 것이었습니다.
그라임스는 공격자가 취약한 사용자를 악용할 수 있는 여러 가지 MFA 우회 기법에 대해 설명했습니다. 그러나 그는 FIDO 기반 강력한 인증은 우회 기술을 가능하게 하는 중간자 공격을 상당수 제거할 수 있다는 점에서 MFA와 다르다고 강조했습니다.
“MFA 공격은 수십 년 동안 존재해 왔지만 올해는 확실히 대세가 되고 있습니다.”라고 Grimes는 말합니다.
BankID의 최고기술책임자인 헤이키 팜 헨릭슨은 비-FIDO MFA의 위험성을 가장 염두에 두고 있습니다.
헨릭슨의 조직은 노르웨이에서 널리 사용되는 디지털 신분증을 제공합니다. BankID는 2020년에 FIDO를 검토하기 시작했고, 얼라이언스에서 제작한 통찰력 있는 백서를 발견하여 헨릭슨과 그의 팀이 FIDO를 선택하고 구현을 시작하는 데 도움을 받았습니다.
헨릭슨은 “우리는 목표를 달성하기 위해 BankID를 현대화할 수 있는 최고의 솔루션이 FIDO2라는 것을 깨달았습니다.”라고 말합니다.
FIDO를 위한 생체 인식 고려 사항
강력한 인증은 지문 판독기나 얼굴 인식 시스템과 같은 생체 인식을 인증자로 사용할 수 있습니다.
그러나 생체 인식 시스템이 보편적으로 결함이나 편견이 없는 것은 아니며, 이는 클락슨 대학교의 식별 기술 연구 센터(CITeR) 책임자인 스테파니 슈커스(Stephanie Schuckers)가 논의한 문제입니다.
“생체 인식과 관련된 편향성에 대해 이야기할 때, 우리가 실제로 말하는 것은 인구 통계 또는 인구학적 차이로 인한 성능의 변동성입니다.”라고 그녀는 말합니다.
슈커스는 편향성은 생체 인식의 전체 분야가 아니라 사용되는 특정 기술 구현과 관련이 있다고 강조했습니다. 테스트와 인증을 통해 잠재적인 편견의 위험을 더 잘 이해하고 줄일 수 있습니다.
아마존의 AI/ML 표준 책임자인 그렉 캐논은 패널 세션에 슈커스와 함께 참여하여 비밀번호를 없애는 것이 목표이며 생체 인식은 이를 위한 훌륭한 기술이라고 강조했습니다.
생체 인식 스푸핑은 테스트를 통해 해결할 수 있는 문제라는 점을 설명하기 위해 슈커스는 자신의 얼굴 마스크를 포함한 몇 가지 소품을 무대에 가져왔는데, 휴대폰의 안면 인식 시스템을 속이지 못했다고 합니다.
Consumer 인증 습관
사용자가 인증을 바라보는 시각을 이해하는 것은 인증 채택률을 높이기 위해 무엇을 해야 하는지 이해하는 데 중요한 요소입니다.
FIDO Alliance는 인증 기술의 트렌드 및 채택에 대한 소비자 습관을 살펴보는 연례 설문조사를 실시합니다. FIDO Alliance의 마케팅 선임 이사인 Megan Shamas는 2022년 설문조사에 따르면 데이터가 확정적이지는 않지만 일부 측면에서 사용자가 이전 몇 년보다 비밀번호를 덜 입력하고 있음을 보여준다고 말했습니다.
비밀번호 사용을 없애는 데 도움이 될 수 있는 잠재적인 방법으로 생체 인식에 대한 인식도 다시 높아지고 있습니다.
샤마스는 “실제로 생체 인식에 대한 소비자들의 반응이 매우 좋았습니다.”라고 말합니다. “실제로 설문조사에 참여한 많은 소비자들이 가장 안전한 로그인 방법이라고 답했습니다.”
원격 인증 사기를 줄이는 데 도움
보스턴 연방준비은행의 보안 결제 혁신 및 연구 담당 부사장인 마리안 크로우는 무대에 올라 사기 방지를 위해 인증 생태계 전반에 걸쳐 더 많은 협력을 요청했습니다.
Crowe는 비밀번호에 대한 소비자의 피로도가 높고, 많은 사용자가 여러 사이트에서 동일한 비밀번호를 재사용하는 경우가 많은데 이는 안전하지 않은 관행이라고 지적했습니다. MFA는 도움이 되지만 오늘날 소비자에게 제공되는 방식이 일관성이 없는 경우가 많다고 지적했습니다.
Crowe는 “MFA가 의무화되지 않은 산업과 기업에서도 MFA의 구현과 채택을 늘리도록 노력해야 합니다.”라고 말합니다.
설계 시스템에서 FIDO로
인증, 특히 FIDO 기반의 강력한 인증에 일관성을 부여하는 방법 중 하나는 디자인 시스템을 사용하는 것입니다.
이제 조직은 원칙, 패턴 및 재사용 가능한 구성 요소를 제공하는 FIDO 설계 시스템을 fidoalliance.org/design-system 활용할 수 있습니다.
“이 모든 것을 통합하려는 의도는 제품 설계자, 프로젝트 관리자, 제품 관리자 및 엔지니어가 더 간단하고 빠르게 FIDO를 배포할 수 있도록 하는 것입니다.”라고 Trusona의 최고 경험 책임자인 케빈 골드먼은 말합니다. “저희의 의도는 자체 설계 시스템에서 인증과 관련하여 발생할 수 있는 격차를 메우는 것입니다.”
인증 2022의 마지막 날은 조직이 비밀번호 없는 미래로 나아가는 데 도움이 되는 유용한 콘텐츠, 사려 깊은 토론, 더 많은 사용자 사례 및 모범 사례로 가득한 또 다른 날이 될 것으로 기대됩니다.인증 2022의 마지막 날에 참석하고 싶으신가요? 가상 참석 등록은 계속 가능하며, 모든 등록자는 필요에 따라 지난 세션에 액세스할 수 있습니다. 등록하려면 www.authenticatecon.com 을 방문하세요.