작성자: FIDO Alliance 직원
독일 연방 정보보안청(BSI-Bundesamt für Sicherheit in der Informationstechnik)이 현재 FIDO Alliance에서 제공하는 최고 수준의 검증인 Certified Authenticator Level 3+ 레벨을 달성한 최초의 조직이 되는 등 중요한 이정표가 실현되었습니다.
레벨 3+ 지정을 향한 길은 몇 년 동안 진행되어 왔습니다.
FIDO Alliance의 인증 책임자인 Rae Rivera 박사는 FIDO 인증자에 대한 더 높은 수준의 보증을 정의하기 위해 Certified Authenticator 프로그램이 원래 2018년 8월에 시작되었다고 설명했습니다. 그녀는 FIDO 사양에 내재된 보안 및 개인 정보 보호가 포함되어 있다고 언급했습니다. Certified Authenticator 프로그램의 목표는 인증자 자체에 대한 추가 보안 보증을 제공하는 것입니다.
이제 첫 번째 Certified Authenticator Level 3+ 지정이 부여됨에 따라 Rivera는 다른 조직도 이를 따라 전 세계 사용자와 조직을 위한 강력한 인증을 개선하는 데 도움이 될 것으로 기대합니다.
Rivera는 “Certified Authenticator 프로그램에서 더 많은 픽업과 활용이 계속 이루어지고 있습니다”라고 말했습니다. “각 상위 레벨에서는 취약성의 위험이 줄어듭니다.”
다양한 인증자 수준 이해
Certified Authenticator 프로그램에는 세 가지 핵심 레벨(L1, L2, L3 및 )이 있으며 각 레벨은 이전 레벨의 요구 사항을 기반으로 합니다. 공급업체가 각 수준(L1+, L2+, L3+) 내에서 “+”를 달성할 수 있도록 점진적인 추가 보증을 얻을 수 있습니다.
이 프로그램은 인증자를 평가하여 ‘인증자가 개인 키를 얼마나 잘 보호하는가?’ 가장 기본적인 엔트리 레벨은 L1이며, Rivera는 벤더가 FIDO 사양을 지원하고 구현함으로써 이를 달성할 수 있다고 말했습니다. L1에서 인증된 인증자는 피싱 및 자격 증명 남용에 대한 보호 기능을 제공합니다.
L2로 넘어가면서 Rivera는 맬웨어 공격으로부터 보호하기 위해 제한된 운영 환경이 필요하다고 언급했습니다. L3 및 L3+에 도달하면 Rivera는 하드웨어 인증자와 무차별 대입 공격으로부터 보호하는 방법을 살펴보는 것이 중요하다고 말했습니다.
Rivera는 “더 높은 수준의 프로그램, 특히 레벨 3 및 3 플러스의 핵심 속성 중 하나는 제품이 컴패니언 프로그램 인증이라고 부르는 것을 갖추도록 요구한다는 것입니다.
그녀는 이러한 상위 수준에 대해 정의된 컴패니언 프로그램 인증은 주어진 장치 또는 서비스에 대한 보안 태세를 정의하는 데 도움이 되는 일련의 평가 및 지정을 제공하는 Common Criteria 라고 언급했습니다.
Rivera는 “레벨이 높을수록 인증자가 모든 종류의 공격에 덜 취약합니다”라고 말했습니다.
레벨 3+ 인증이 중요한 이유
BSI가 이제 L3+ 인증을 받았기 때문에 다른 사람들도 최고 수준의 보안 보증을 향한 동일한 경로를 따를 수 있는 문이 열려 있습니다.
“개인적으로 저는 이것이 프로그램의 큰 도약이라고 생각합니다”라고 Rivera는 말했습니다.
Rivera는 현재까지 Certified Authenticator 프로그램의 하위 레벨에서 인증된 제품이 많다고 언급했습니다. 이제 첫 번째 L3+를 달성했으므로 더 높은 수준의 보증을 얻기 위해 프로그램을 진행하려는 조직의 관심이 더 높을 것으로 예상합니다.
“이 인증은 특히 더 높은 수준에서 인증된 인증 프로그램의 가치를 명확하게 보여줍니다”라고 그녀는 말했습니다. “금융, 의료, 에너지 및 교육과 같은 정부 및 규제 산업은 종종 네트워크에 대한 특정 유형의 인증이 필요한 더 민감한 사용 사례를 가지고 있습니다. 이러한 시장의 공급업체와 신뢰 당사자는 하드웨어 보호에 대한 요구 사항을 충족하고 Common Criteria 인증도 받았기 때문에 이를 이점으로 보고 있습니다.”
다른 사람들이 첫 번째 레벨 3+ 인증의 혜택을 받을 수 있는 방법
이제 BSI가 레벨 3+ 인증에 도달했기 때문에 이제 말 그대로 다른 사람들이 따를 수 있는 길이 생겼습니다.
Rivera는 L3+ 인증과 관련된 보호 프로필이 있다고 설명했습니다. 보호 프로파일에는 L3+를 달성하는 데 사용되는 모든 구성 요소가 포함되어 있습니다. 따라서 다른 공급업체는 보호 프로필을 활용하여 더 높은 수준의 인증을 받기 위해 제품을 개발할 수 있습니다.
Rivera는 “보호 프로필은 수행해야 할 작업과 구현에 대한 수정이 필요한 사항에 대해 더 높은 수준을 추구하는 사람들에게 좋은 지침 역할을 합니다”라고 말했습니다. “BSI가 레벨 3+ 인증을 받음으로써 다른 사람들이 이 레벨을 달성하는 것이 조금 더 쉬워졌습니다.”