인증은 정부가 전 세계에서 서비스를 제공하는 방식에서 점점 더 중요한 역할을 하고 있습니다.
2021년 9월 23일에 열린 Authenticate Virtual Summit에서 전 세계의 사용자, 전문가 및 공급업체는 강력한 인증이 정부 서비스와 온라인 신원 보안을 위한 새로운 노력을 지원하는 데 어떻게 도움이 되는지 자세히 설명했습니다. 영국 국민보건서비스(NHS)와 미국 정부의 login.gov 및 국세청(IRS)을 포함한 사용자들은 온라인 인증 및 디지털 ID의 현재와 미래에 대한 통찰력을 제공했습니다.
행사 오프닝 세션에서 FIDO Alliance의 전무 이사 겸 CMO인 Andrew Shikiar는 전 세계 정부 서비스에서 FIDO의 전략적 필요성을 설명했습니다.
“COVID-19로 인해 디지털 트랜스포메이션 활동을 실제로 가속화해야 하는 필요성이 생겼습니다. “팬데믹이 갑자기 닥쳤을 때 모든 사람이 집에 있었고 모든 활동으로 인해 기존의 다단계 인증을 훨씬 뛰어넘는 최신 인증 체계에 대한 요구 사항이 생겼습니다.”
Shikiar는 FIDO Alliance 표준이 글로벌 규정 및 정책과 매우 잘 부합하며 FIDO 사용을 인용하는 인증에 대한 정부 지침이 증가하는 추세라고 언급했습니다.
“정부 생태계에서 신뢰를 얻는 것이 중요하다”고 시키아르는 말했다. “이는 FIDO가 다양한 규제 기관 및 정부 기관과의 협력을 통해 이루어지며, 궁극적으로 전 세계 시민에게 디지털 ID 서비스를 안전하게 구현함으로써 구체화될 것입니다.”
FIDO의 강력한 인증을 발전시키는 데 도움이 되는 기술
FIDO 사양을 활성화하기 위한 주요 경로는 정부 노력을 지원하는 공급업체를 통하는 것입니다.
Akamai의 보안 전략 CTO인 패트릭 설리번(Patrick Sullivan)은 비밀번호 크리덴셜 스터핑 공격이 매우 흔하다고 말했습니다. 그는 Akamai 플랫폼에서 하루에 10억 건의 비밀번호 공격이 발생한다고 언급했습니다. 바로 이 부분에서 다단계 인증, 특히 FIDO Alliance 표준을 기반으로 하는 강력한 인증이 중요한 역할을 합니다. Sullivan은 스마트폰 앱의 폼 팩터로 제공되는 마찰이 적은 환경에서 다단계 인증을 제공해야 할 분명한 필요성이 있다고 언급했습니다.
Sullivan은 “우리는 그 방향으로 나아갈 때 FIDO2를 달성하기 위해 사용자에게 하드웨어 토큰을 가지고 다니도록 요구하지 않으며, 마찰을 줄임으로써 사용자가 비정상적인 일을 할 위험이 적습니다”라고 말했습니다.
Yubico의 솔루션 엔지니어링 관리자인 Jeff Frederick은 세션에서 미국의 많은 정부 기관이 기본 암호를 넘어서는 CAC(Common Access Card)/PIV(Personal Identity Verification) 자격 증명을 사용한다고 언급했습니다. Frederick은 회사의 YubiKey 장치에서 지원되는 FIDO2 표준이 공개 개인 키 암호화를 사용하는 강력한 가장 방지 인증 프로토콜을 제공한다고 언급했습니다.
Frederick은 “PIV/CAC와 매우 유사하며 FIDO2는 FIDO Alliance에서 관리하는 개방형 표준이므로 모든 공급업체가 이를 지원하고 현재 사용할 수 있습니다”라고 말했습니다. “모든 주요 운영 체제와 모든 주요 브라우저에 내장되어 있으므로 이 작업을 수행하기 위해 설치해야 하는 미들웨어가 없으며 전반적으로 연방 인증 인프라를 현대화하는 솔루션을 구현하기 쉽습니다.”
IRS의 신원 및 인증 부담 경감
IRS의 신원 보증, 개인 정보 보호 정부 연락 담당자 및 공개(PGLD) 국장 보좌관인 Courtney Rasey에 따르면 IRS는 디지털 및 비디지털 채널을 통해 매년 수천만 명의 납세자를 증명하고 승인합니다.
“국세청에 전화하는 수천만 명의 납세자 중 누구도 그들이 원한다고 해서 그렇게 하는 것이 아니며, 그것은 실제로 즐거운 평일 저녁 활동이 아닙니다.”라고 그녀는 말했습니다. “납세자는 납세 의무를 이행하기 위해 문제를 해결해야 하며, 우리는 이를 알고 있기 때문에 납세자에게 더 나은 서비스를 제공하고 납세자가 가능한 가장 편리하고 효율적인 방법으로 필요한 서비스를 받을 수 있도록 항상 노력하고 있습니다.”
IRS가 납세자에게 더 편리한 서비스를 제공하기 위해 2021년 6월에 출시한 SADI(Secure Access Digital Identity) 플랫폼을 사용하는 것입니다. Rasey는 SADI가 납세자의 신원을 증명한 다음 IRS에 디지털 신원 증명을 제공하는 CSP(Credential Service {rovider)를 활용한다고 설명했습니다.
“사용자들은 결국 단일 디지털 신원 증명을 사용하여 모든 IRS 온라인 신청서에 액세스할 수 있게 될 것입니다”라고 Rasey는 말했습니다. “IRS는 2022 회계연도 내내 점점 더 많은 신청서를 SADI 뒤로 옮기고 있으며, 우리가 더 많은 신청서를 이동함에 따라 납세자들은 단 하나의 자격 증명으로 많은 일을 할 수 있게 될 것입니다.”
강력한 인증을 통한 제로 트러스트로의 전환
지난 5월 바이든 대통령은 미국 정부 기관에 사이버 보안을 개선하도록 지시하는 행정명령 1402호에 서명했다. 행정 명령의 주요 조항 중 하나는 연방 정부를 제로 트러스트 아키텍처로 전환하는 것입니다.
“제로 트러스트에 대해 이야기할 때, 우리는 조직의 엔터프라이즈 네트워크 내부에 있다는 이유만으로 사람과 장치를 신뢰할 수 없는 아키텍처에 대해 이야기하고 있습니다”라고 OMB(Office of Management and Budget)의 선임 고문인 Eric Mill은 설명했습니다.
Mill은 제로 트러스트 모델에서는 사람과 장치가 각 단계에서 검증되고 인증이 컨텍스트를 인식한다고 언급했습니다. OMB는 CAC/PIV를 사용할 수 없는 환경에서 FIDO WebAuthn을 좋은 대안으로 사용하여 피싱 방지 다단계 인증을 채택할 것을 강력히 권장하고 있습니다.
Mill은 “우리는 다단계 인증을 매우 강력하게 추진하고 있으며 신뢰할 수 있는 인증을 제로 트러스트 아키텍처의 중요한 기반으로 보고 있습니다”라고 말했습니다.
정책 심층 분석 세션 에서 Venable의 기술 비즈니스 전략 담당 전무 이사인 Jeremy Grant는 인증이 정부에 중요한 데에는 여러 가지 이유가 있다고 언급했습니다.
그랜트는 FIDO 사양이 정부가 자체 자산에 대한 접근을 보호하는 데 도움이 될 수 있으며 대중에게 더 많은 고부가가치 시민 대면 서비스를 제공하는 데 도움이 될 수 있다고 말했습니다.
그랜트는 “2021년에 우리가 보고 있는 것은 FIDO 인증이 또 다른 허용 옵션일 뿐만 아니라 많은 경우 전 세계 정부가 선호하는 선택으로 부상하고 있는 전 세계적으로 정말 다른 환경이라고 생각합니다”라고 말했습니다.
NHS(National Health Service)에서 FIDO를 사용하는 방법
FIDO가 둥지를 틀고 있는 세계 지역 중에는 영국이 있습니다.
NHS(National Health Service)는 영국의 공적 자금 지원 의료 및 의료 시스템이며 인간의 건강을 개선하는 데 도움이 되는 FIDO 표준을 수용했습니다. NHS 로그인 서비스를 통해 시민은 의료 서비스에 대한 중앙 집중식 ID를 얻을 수 있으며 NHS 앱은 의료 서비스에 대한 개인의 액세스를 액세스하고 관리하기 위한 간소화된 애플리케이션을 제공합니다.
NHS 로그인 및 NHS 앱의 기술 아키텍트인 Priyanka Mittal은 팬데믹 기간 동안 수요가 증가함에 따라 지난 18개월 동안 NHS 로그인 사용자 기반이 10배 증가했다고 말했습니다.
NHS 앱의 기술 책임자인 Sean Devlin은 처음에 서비스가 SMS 기반 이중 인증 접근 방식을 사용하여 시작했지만 보다 원활한 접근 방식을 찾고 싶었다고 설명했습니다. NHS는 FIDO UAF를 사용하기로 결정하고 eBay의 오픈 소스 FIDO 구현을 출발점으로 사용하여 자체 구현을 구축했습니다.
Devlin은 FIDO를 사용하기 전에 사용자가 다단계 인증 흐름을 통과하기 위해 최대 5개의 서로 다른 화면을 탐색해야 했다고 말했습니다. FIDO를 사용하면 단일 화면입니다.
NHS는 또한 FIDO로 전환하여 많은 비용을 절약했습니다. 하루에 500,000건 이상의 FIDO 로그인이 이루어지는 Devlin은 NHS가 SMS 메시징 비용을 하루에 £8,000 정도로 절약하고 있다고 추정합니다.
FIDO Strong Authentication을 Login.gov 에 도입
FIDO 사양은 미국 정부 서비스를 위한 싱글 사인온 플랫폼인 login.gov 에서도 중추적인 역할을 합니다.
GSA(General Services Administration)의 login.gov 엔지니어링 책임자인 Jonathan Hooper는 인증 포털이 미국 정부 전역의 200개 이상의 사이트에 걸쳐 27개의 서로 다른 기관에 분산되어 있다고 설명했습니다. Hooper는 2018년부터 WebAuthn 사양을 포함한 다단계 인증의 사용을 확대하기 시작했다 login.gov 설명했습니다.
후퍼는 “우리는 ‘빅 브라더’가 되고 싶지 않고, 사용자의 프라이버시를 보호할 수 있기를 원하며, 이를 위해 프로토콜에 내장된 것들이 우리에게 매우 매력적이었다”고 말했다. “WebAuthn은 또한 매우 저렴하며, SMS를 수행하는 것보다 WebAuthn 인증 이벤트를 수행하는 것이 훨씬 저렴합니다.”
FIDO를 통한 디지털 ID 개선
DIACC(Digital ID & Authentication Council of Canada)의 회장인 조니 브레넌(Joni Brennan)에 따르면 디지털 ID에 대한 FIDO 기반 접근 방식은 곧 캐나다에서도 적용될 수 있습니다. 현재 진행 중인 노력은 정보 보증 프레임워크인 PCTF(Pan Canadian Trust Framework)입니다.
“FIDO Alliance 기반 사양과 결합된 정보 보증 프레임워크를 활용하여 디지털 ID 채택에 필요한 엔드 투 엔드 경험을 만들고 검증할 수 있는 좋은 기회가 있다고 생각합니다.”
대통령 특별보좌관이자 백악관 국가안보회의(NSC) 선임국장인 아미트 미탈(Amit Mital)도 디지털 ID 보안의 필요성을 강조했다.
“오늘날 우리는 스스로를 인증하고 신원을 밝힐 때 수십 개의 인기 있는 시스템 중 하나를 사용할 수 있습니다”라고 Mital은 말했습니다. “
그래서 생태계 자체는 매우 탈중앙화되어 있고, 매우 조화롭지 않습니다. 또한 근본적으로 안전하지 않다”고 말했다.
Mital은 디지털 시스템 전반에서 소비자를 식별할 수 있는 쉽고 안전하며 저렴하고 신뢰할 수 있는 방법을 제공할 수 있는 강력한 원격 ID 솔루션이 분명히 필요하다고 말했습니다.
Mital은 “디지털 ID가 필요한 시나리오가 다양하고 많으며 이러한 모든 시나리오를 해결할 수 있는 단일 엔터티는 없다는 것이 분명합니다. “우리는 대기업과 신생 기업을 포함한 민간 부문뿐만 아니라 연방과 주, 지역, 부족 및 영토의 정부에서 최고의 아이디어와 혁신을 결합하는 생태계가 필요합니다.”
FIDO 얼라이언스(FIDO Alliance)의 앤드류 시키아르(Andrew Shikiar) 전무이사는 이날 행사를 마무리하며 다양한 유형의 정부 서비스와 보안 디지털 신원에 대한 의존도에 대해 많은 대화가 진행되고 있다고 말했습니다.
Shikiar는 “궁극적으로 ID와 인증은 정부 기관과 시민 모두의 요구 사항을 충족하는 방식으로 새로운 서비스를 대규모로 배포하기 위한 핵심입니다.
웹캐스트는 이제 온디맨드로 시청할 수 있습니다. 녹화본을 시청하려면 이벤트 페이지를 방문하세요.
과거의 암호를 강력한 최신 인증으로 전환하는 방법에 대한 자세한 내용은 2021년 10월 18일부터 20일까지 시애틀에서 개최되는 Authenticate 2021 에 참석하거나 가상으로 진행하세요. 등록에 대한 전체 일정과 세부 정보는 authenticatecon.com 에서 확인할 수 있습니다.
