서비스/플랫폼/제품과 FIDO 인증을 사용하는 방법을 설명하세요.
Nikkei Inc.와 Nikkei Group은 “글로벌 커뮤니티에 양질의 저널리즘을 제공하는 가장 신뢰할 수 있고 독립적인 제공업체가 되어 고객이 더 나은 결정을 내릴 수 있도록 돕는다”는 사명을 추구합니다. 우리는 뉴스 조직으로서의 역할의 초석 역할을 하는 닛케이를 포함하여 다양한 미디어 서비스를 제공합니다. 핵심 서비스인 Nikkei Online Edition을 포함하여 Nikkei Group의 디지털 서비스를 지원하는 통합 ID 플랫폼은 “Nikkei ID”입니다.
다양한 서비스를 제공하는 닛케이 ID는 오랫동안 보안과 사용성의 균형을 맞춰야 하는 과제에 직면해 왔습니다. OpenID Connect를 통한 로그인 경험 개선, 2단계 인증 및 CAPTCHA(*1) 도입 등 무단 액세스 위험을 줄이는 등의 조치를 취했지만, 비밀번호 유출 및 재사용과 관련된 보안 위험을 해결하고 점점 더 고도화되는 공격에 대응하는 것은 어려웠습니다.
(*1)사용자가 사람인지 확인하기 위한 보안 인증 방법입니다.
이러한 맥락에서 FIDO 인증이 진화하고 서비스에 패스키를 도입하는 문턱이 낮아짐에 따라 닛케이 ID는 높은 기대를 가지고 검토와 구현을 진행해 왔습니다. 현재는 웹 서비스뿐만 아니라 모바일 앱까지 대응할 수 있도록 기능을 확장하고 있으며, Nikkei ID Lounge Help Center의 내외부 블로그 게시물, 프레젠테이션, 안내 등을 통해 사용자 인식 제고를 통해 패스키 도입을 촉진하는 것을 목표로 하고 있습니다.
극복하려고 했던 어려움은 무엇이었나요?
주요 목표는 보안과 사용자 경험의 균형을 맞추는 것입니다. 닛케이 ID 사용자는 디지털 서비스에 익숙하지 않은 사람이 많기 때문에 단순히 보안을 강화하는 것만으로는 충분하지 않습니다. 예를 들어, CAPTCHA의 도입은 무차별 암호 대입 공격을 방지할 수 있지만, 튜링 테스트(*2)를 통과하지 못하는 사용자에게는 장벽이 되어 지원 문의가 증가하고 고객 서비스에 부담이 가중될 수 있습니다.
(*2) 어떤 것이 ‘인간과 유사한’지 여부를 판단하는 테스트입니다.
그러나 FIDO 인증(패스키)은 OS 및 플랫폼과의 통합을 표준으로 하여 높은 보안과 사용자 경험을 달성합니다. 이를 통해 비밀번호 인증과 관련된 위험을 줄이지만 UX에 부정적인 영향을 미치는 보안 조치를 패스키로 대체할 수 있습니다.
다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?
다음 두 가지 옵션은 FIDO 인증(패스키)의 대안으로 고려되었습니다.
- TOTP 또는 이메일 확인과 같은 이중 인증의 필수 구현
- 다른 ID 플랫폼을 사용한 소셜 로그인
이러한 옵션을 비교한 결과, FIDO 인증(패스키)은 다음과 같은 이점을 제공한다고 생각합니다:
- 기존 비밀번호 인증 위에 인증을 추가하여 점진적인 전환이 가능합니다
- 생체 인증과 같은 더 높은 UX 인증 방법을 사용할 수 있습니다
- 비밀번호와 관련된 위험을 근본적으로 해결합니다
실제 구현에 있어서는 특히 ‘추가 인증’의 측면이 중요했습니다. 즉, 기존 ID 모델을 방해하지 않고 느슨하게 결합되고 응집력이 높은 방식으로 구현할 수 있습니다. WebAuthn 사양은 각 플랫폼의 백엔드와 프론트엔드 모두에 대한 간단한 인터페이스 라이브러리와 API를 제공하여 안전한 구현을 쉽게 만듭니다. 또한 기존 인증 방식을 유지할 수 있기 때문에 지원 업무량이 크게 증가하지 않는다는 장점도 상당했습니다.
FIDO 인증 롤아웃에 대해 설명하세요.
우리는 FIDO 인증을 위해 오픈 소스 백엔드 라이브러리 WebAuthn4J를 사용하여 자체 솔루션을 구현했습니다. WebAuthn4J를 선택한 이유는 명확한 데이터 모델뿐만 아니라 FIDO 얼라이언스에서 제공하는 FIDO2 테스트 도구를 통과했기 때문입니다. 프론트엔드의 경우 WebAuthn API와 직접 상호 작용하는 자체 구현을 개발했습니다. 또한 FIDO 인증을 에뮬레이션하는 테스트 라이브러리를 만들어 이러한 구현에 대한 포괄적인 테스트로 24시간 자동 테스트를 가능하게 했습니다.
FIDO 인증(패스키)의 롤아웃은 다음 단계로 수행되었습니다.
- 피드백 수집 및 사용량 모니터링을 위한 내부 베타 테스트
- 외부 보안 회사의 화이트박스 및 블랙박스 테스트
- 모든 사용자에게 공개 릴리스
FIDO 인증이 미친 영향을 보여주는 데이터 포인트는 무엇인가요?
올해 2월에 출시된 지 막 되었기 때문에 아직 자세한 수치를 제공할 수는 없지만 이미 수천 명의 사용자가 패스키를 사용하고 있습니다. 또, 서포트 데스크에서 패스 키 사용법에 대한 문의는 거의 없다고 들었고, 패스 키의 활용이 원활하게 이루어지고 있다고 인식하고 있습니다.
리소스
구현 섹션에서 언급한 FIDO 인증을 에뮬레이션하는 테스트 라이브러리는 Nikkei의 오픈 소스 소프트웨어로 공개적으로 사용할 수 있습니다. 다음 https://github.com/Nikkei/nid-webauthn-emulator 에서 얻을 수 있습니다
FIDO 인증(패스키) 완료 후 인증은 OpenID Connect 플랫폼인 Authlete를 사용합니다. 이번 사례에서는 FIDO 인증(패스키) 도입에 대한 열정을 표명합니다. (2023년 이 발표 당시에는 패스키가 아직 검토 중이었습니다) https://www.authlete.com/ja/resources/videos/20231212/02/
구현 고려 단계의 기술 블로그 기사: https://hack.nikkei.com/blog/advent20241221/
