작성자: FIDO Alliance Staff
유럽 연합의 디지털 보안, 개인 정보 보호 및 인증 환경은 시민과 전 세계 기업에 광범위한 영향을 미칠 수 있는 새로운 규정으로 인해 빠르게 진화하고 있습니다.
6월 17일에 개최된 Authenticate Virtual Summit: Focus on Europe에서 유럽 인증 시장 전문가들은 PSD2 SCA(Payment Services Directive Strong Customer Authentication), 위임 인증, eIDAS(전자 IDentification, 인증 및 신뢰 서비스) 및 EU 디지털 지갑을 포함한 최신 개발에 대한 통찰력을 제공했습니다.
FIDO Alliance의 전무 이사 겸 CMO인 Andrew Shikiar는 가상 서밋을 시작하면서 FIDO 사양의 작동 방식과 전자상거래, 사물 인터넷(IoT) 및 신원 확인을 포함한 여러 사용 사례에 강력한 인증이 필수적인 이유를 설명했습니다.
Shikiar는 “FIDO의 목표는 첫날부터 암호에 대한 의존도를 줄이는 것이었지만, 대부분의 데이터 침해가 취약한 자격 증명으로 인해 발생하기 때문에 어떤 면에서는 데이터 침해 문제를 해결하기 위한 수단에 불과했습니다”라고 말했습니다.
FIDO가 발전함에 따라 더 우수하고 안전한 계정 복구를 지원하기 위해 신원 확인 보증을 강화할 필요가 있습니다. 그 일환으로 시키아르는 FIDO 얼라이언스가 IDWG(Identity Verification & Binding Working Group)를 출범시켜 이러한 작업을 추진하고 있다고 언급했습니다.
“우리는 소유 기반 신원 확인을 위한 모범 사례를 확립하기 위해 노력하고 있습니다”라고 Shikiar는 말했습니다. “이를 통해 더 안전하고 쉽고 강력한 계정 복구가 가능할 뿐만 아니라 해커가 계정 복구 프로세스를 소셜 엔지니어링 계정 탈취의 기회로 사용하는 것을 막을 수 있습니다.”
장바구니 포기를 제한하는 데 도움이 됩니다.
NokNok의 제품 담당 부사장인 Rolf Lindemann에 따르면 전자상거래의 성공과 강력한 인증 사이에는 실질적인 연관성이 있습니다.
Lindermann은 팬데믹 기간 동안 전자상거래가 그 어느 때보다 빠르게 성장했다고 언급했습니다. 그러나 신용 카드 온라인 결제의 13%가 완료되지 않은 것을 감안할 때 장바구니 포기가 여전히 비즈니스에 상당한 영향을 미치고 있음이 분명합니다.
Lindermann은 “우리는 일반적으로 인증 마찰이 카드 포기의 주요 요인이라는 것을 알게 되었습니다. “온라인 인증이 모든 온라인 거래의 핵심이라는 점을 감안할 때 이는 분명합니다. 인증은 일반적으로 디지털 서비스의 관문입니다.”
인증 마찰을 줄이는 방법은 FIDO를 사용하는 것인데, 린더만은 FIDO를 사용하면 한 번의 편리한 단계로 구현할 수 있는 강력한 고객 인증을 가능하게 할 수 있다고 말했습니다.
강력하게 인증된 디지털 ID를 향해
유럽과 전 세계 다른 곳에서는 어떤 형태로든 디지털 ID를 활성화하고 제공해야 할 필요성에 대한 논의가 증가하고 있습니다. Consult Hyperion의 COO인 Steve Pannifer에 따르면 디지털 신원은 식별, 인증 및 권한 부여의 세 가지로 구성됩니다.
Pannifer는 식별은 이 사람이 진짜이고, 독특하고, 식별 가능한지에 대한 질문을 하는 것이라고 설명했습니다. 인증은 서비스 제공자가 과거의 특정 시점에 ID를 설정한 사람과 동일한지 알고 싶어하기 때문에 식별된 사람이 서비스를 다시 사용하기 위해 들어온다는 것을 인식하는 프로세스입니다. 권한 부여는 ID와 인증을 사용하여 서비스에 액세스하는 모든 것을 함께 연결합니다.
“디지털 신원은 그 자체로 수단이 아니라 목적을 위한 수단입니다”라고 Pannifer는 말했습니다. “그것이 제공하는 목적은 내가 액세스하려고 하는 모든 서비스입니다.”
Keyless의 공동 창립자이자 COO인 Fabian Eberle도 디지털 ID의 열렬한 신봉자입니다. 한 세션에서 Eberle은 개인 ID 관리를 위한 분산형 시스템의 필요성을 설명했습니다. 이러한 시스템은 사용자가 자신의 ID 정보를 제어할 수 있도록 하고 해당 ID 데이터를 보다 비공개적이고 안전한 방식으로 선택적으로 공개할 수 있도록 합니다.
Eberle은 LUISS Guido Carli University에서 현재 10,000명 이상의 학생들이 원격 교육 서비스를 지원하는 데 도움이 되는 디지털 ID 시스템의 혜택을 받고 있다고 언급했습니다. Keyless 접근 방식은 마찰 없는 접근 방식으로 장치를 인증하고 학생을 식별하는 데 도움이 되는 FIDO 표준의 이점을 제공합니다.
유럽의 디지털 신원: eIDAS
유럽 연합에는 국가 디지털 신원 체계의 상호 인정을 위한 법적 프레임워크인 eIDAS 라는 노력이 있습니다.
“eIDAS의 목적은 모든 유럽 국가의 시민이 국경을 넘어 EU의 모든 공공 서비스에 액세스할 수 있도록 하는 것입니다”라고 Yubico의 수석 솔루션 아키텍트인 Sebastian Elfors는 설명했습니다.
유럽 정부는 eIDAS 노력을 지원하기 위해 FIDO 표준을 점점 더 많이 채택하고 있습니다. Elfors가 강조한 것 중에는 노르웨이의 의료 인증, 스웨덴의 대학을 위한 EduID, 영국의 NHS(National Health Service)가 있습니다.
FIDO 표준은 체코의 CZ에도 도움이 되고 있습니다. mojedID(체코어로 my ID) 서비스도 운영하는 NIC 최상위 도메인 레지스트리입니다.
Jaromi Talir, CZ의 기술 연구원. NIC와 eIDAS 기술 하위 그룹의 구성원은 도메인 레지스트리에 도메인 소유자의 ID를 인증해야 하는 요구 사항이 있다고 설명했습니다. 이러한 요구 사항으로 인해 2019년부터 FIDO 표준을 사용하고 있는 mojeID가 만들어졌습니다. 탈리르는 CZ. NIC는 FIDO를 사용하여 사용자 ID를 인증하는 데 도움이 되는 강력한 다단계 인증 기반 접근 방식을 지원합니다.
FIDO를 사용하여 위임된 인증 지원
2021년에 발효된 유럽 연합의 결제 서비스 지침 강력한 고객 인증(PSD2 SCA)에 따라 판매자가 결제 서비스 제공업체를 통해 소비자를 인증해야 하는 요구 사항이 매우 엄격합니다.
마스터카드의 제품 개발 담당 부사장인 조나단 그로사르(Jonathan Grossar)는 패널 토론에서 PSD2 SCA가 도입된 지 몇 달 만에 소비자가 포기한 거래 건수가 증가했다고 언급했습니다.
“따라서 PSD2 SCA의 문제는 소비자가 두 번 인증해야 할 수 있다는 것입니다. “먼저 판매자가 계좌 또는 파일에 저장된 카드에 액세스할 수 있도록 한 다음 두 번째로 은행과 거래하고 잠재적으로 다른 인증 메커니즘을 사용하여 거래를 수행합니다.”
이러한 모든 추가 단계는 판매자와 소비자 모두에게 추가적인 마찰과 복잡성을 초래하며, 이는 위임 인증으로 알려진 접근 방식으로 완화될 수 있습니다. Grossar는 위임 인증을 사용하면 전체 인증 부분이 판매자에 의해 안전한 메커니즘으로 처리된다고 설명했습니다. FIDO 표준을 EMVco의 3-D Secure 표준과 함께 사용하여 인증 및 위험 데이터를 공유하는 것이 Grossar의 견해에 따르면 앞으로 나아갈 길입니다.
Grossar는 “FIDO는 여러 장치와 플랫폼에서 상호 운용이 가능합니다. “간단히 말해서, 오늘날 FIDO를 사용할 수 있는 수십억 개의 장치가 있으며 잠재적으로 위임 인증에 사용할 수 있습니다.”
Amazon의 EU Payment Acceptance & International Expansion 책임자인 Jason Muncey도 위임 인증에 FIDO를 사용하는 것에 대해 낙관적입니다. Muncey는 PSD2 SCA 요구 사항 이전에도 장바구니 포기는 모든 판매자가 감수해야 하는 고통이었다고 언급했습니다. 그의 견해에 따르면, 어떤 형태로든 일관된 접근 방식이 실제로 필요합니다.
Worldpay의 제품 이사 겸 인증 책임자인 Lee Goddard도 이러한 구매 과정에서 항상 어느 정도의 포기 가능성이 있다고 언급했습니다.
“위임 인증에 대한 FIDO의 접근 방식은 더 많은 포기를 없애는 데 한 걸음 더 나아갈 것이라고 생각합니다.
유럽의 원격 신원 확인
팬데믹으로 인해 대면 신원 확인이 어려워지면서 유럽 및 전 세계 다른 지역에서 원격 신원 확인이 증가했습니다.
Jumio의 제품 관리 담당 수석 이사인 Santosh Rajvaidya는 패널 토론에서 현재까지 유럽에서 원격 ID 확인과 관련하여 일관된 접근 방식이 없다고 언급했습니다. 이러한 상황은 올바른 방향으로 나아가는 첫 번째 단계가 될 수 있는 유럽연합 집행위원회(European Commission)의 새로운 디지털 신원 지갑 접근 방식으로 바뀔 수 있습니다.
Rajvaidya는 “디지털 신원 지갑에서 일어나는 일은 ID를 한 번만 확인하면 디지털 신원 지갑에서 신원이 생성된다는 것입니다. “거기서부터 사용자는 여러 응용 프로그램에서 여러 번 재사용할 수 있습니다.”
현재 FIDO 내에 ID 확인 및 바인딩 작업 그룹 IDWG가 있으며, 이 그룹은 원격 신원 확인 작업에도 도움이 되는 작업을 수행하고 있습니다. IDnow의 규제 업무 책임자인 Rayissa Armata는 검증과 관련하여 사용자 경험과 편의성이 핵심 속성이라고 언급했습니다.
“대부분의 사용자는 자신의 신원이나 데이터 프라이버시에 대해 신경 쓰지 않고, 확인란을 선택하고 계속 진행하며 서비스를 받기를 원합니다”라고 그녀는 말했습니다.
FIDO Alliance의 전무 이사 겸 CMO인 Andrew Shikiar는 가상 Authenticate Summit을 마무리하면서 FIDO Alliance가 오늘날 유럽과 전 세계에서 매우 좋은 위치에 있다고 강조했습니다.
“점점 더 많은 기업이 FIDO 인증을 채택하고 있습니다”라고 Shikiar는 말했습니다. “저는 개인적으로 향후 몇 년 안에 거의 모든 온라인 소비자 서비스가 암호 없는 로그인 옵션을 제공할 것이라고 굳게 믿고 있으며, 이러한 서비스 중 대다수가 FIDO를 활용하기를 희망합니다.”
다음 FIDO Authenticate 가상 서밋은 정부 서비스에 초점을 맞춘 9월에 개최될 예정입니다. 그리고 10월에는 FIDO Alliance가 시애틀에서 열리는 Authenticate Conference와 함께 첫 번째 라이브 이벤트를 개최할 예정입니다.
