전 세계 수백만 명의 구매자와 판매자를 연결하는 글로벌 상거래 리더인 eBay Inc.는 모든 규모의 개인, 기업가, 비즈니스 및 조직에 경제적 기회를 제공합니다. 사용자가 성공의 핵심이기 때문에 eBay는 구매자와 판매자 모두에게 긍정적이고 안전한 경험을 제공하는 것을 강조합니다.
대부분의 웹사이트와 마찬가지로 모든 사용자와 eBay의 상호 작용은 사이트에 로그인하고 자신을 인증하는 것, 즉 자신이 말하는 사람이 맞는지 확인하는 것으로 시작됩니다. 그러나 사용자 이름과 비밀번호를 사용하는 일반적인 인증 절차는 사용자 경험에 영향을 미쳤고 동시에 eBay를 악의적인 행위자에게 더 취약하게 만들었습니다. 사용자는 계속해서 비밀번호를 잊어버리고 재설정하여 답답한 과정을 겪었습니다. 그리고 많은 구매자와 판매자가 여러 사이트의 여러 계정에 동일한 비밀번호를 사용하기 때문에 이러한 사이트 중 하나라도 침해되면 eBay도 침해에 노출될 수 있습니다. eBay는 인증 프로세스를 더 안전하게 만들어야 한다는 것을 알고 있었지만 사용자 경험을 희생해서는 안 되었습니다.
FIDO 표준 내부
FIDO UAF 및 FIDO2 사양을 포함한 FIDO 프로토콜은 공유 암호 대신 표준 공개 키 암호화 기술을 사용하여 피싱 및 채널 공격으로부터 더 강력한 인증 및 보호를 제공합니다. 프로토콜은 또한 처음부터 사용자 개인 정보를 보호하도록 설계되었습니다. 프로토콜은 서로 다른 온라인 서비스에서 서비스 전반에 걸쳐 사용자를 공동 작업하고 추적하는 데 사용할 수 있는 정보를 제공하지 않으며, 생체 인식은 사용될 때 사용자의 장치를 떠나지 않습니다. 이 모든 것은 로그인 시 손가락 스와이프, PIN 입력, 마이크에 대고 말하기, 2단계 장치 삽입 또는 버튼 누르기와 같은 간단한 작업을 통해 사용자 친화적이고 안전한 사용자 경험과 균형을 이룹니다.
보안 및 사용자 여정 우선 순위 지정
로그인 프로세스에 보안 계층을 추가하기 위해 eBay는 SMS 일회용 암호(OTP)를 구현했습니다. 이 방법은 보다 안전한 옵션을 제공하는 데 도움이 되었지만 비용과 사용자 마찰을 추가했으며 여전히 특정 보안 문제에 취약했습니다.
eBay는 간단하고 쉽고 안전한 사용자 인증 경험을 제공하기 위해 다양한 옵션을 검토한 후 기본 모바일 앱과 브라우저 기반 모바일 및 웹 사이트 모두에서 강력한 인증을 위해 FIDO를 출시하기로 결정했습니다.
eBay는 자체 오픈 소스 FIDO 서버를 구축하기로 결정했으며, 이를 통해 사용자 경험과 엔드 투 엔드 로그인 흐름을 최대한 제어할 수 있다고 생각했습니다. 또한 이 접근 방식을 통해 eBay는 소셜 로그인과 같은 다른 로그인 옵션을 더 잘 관리할 수 있습니다.
표준의 이점 실현
FIDO Alliance와 FIDO 표준의 강점은 다양한 주요 기술 회사의 참여를 포함하여 eBay가 FIDO를 선택한 또 다른 중요한 요인이었습니다.
“eBay 사용자 인증을 위해 FIDO 표준을 선택하는 것은 단순히 보안 프로토콜을 채택하는 것 이상이었습니다”라고 eBay의 아이덴티티 책임자인 Ashish Jain은 말했습니다. “eBay는 190개 시장에서 운영되고 있으며 다양한 사용자를 보유하고 있습니다. 우리가 선택한 모든 기술이 다양한 브라우저와 플랫폼에서 일관되게 작동할 수 있도록 해야 했습니다.”
FIDO와 함께하는 eBay의 여정: 푸시에서 암호 없는 앱으로
첫 번째 단계로, eBay는 푸시 알림 흐름과 함께 FIDO UAF 프로토콜을 사용하여 2단계 인증을 위한 FIDO를 구현했습니다. 즉, 사용자가 사용자 이름과 비밀번호로 eBay에 로그인하면 모바일 eBay 앱에서 로그인을 확인하는 알림을 받게 됩니다. 옵트인(opt-in) 기능으로 구현된 FIDO는 이전 SMS OTP 솔루션보다 훨씬 더 높은 옵트인(opt-in) 비율을 즉시 획득하여 FIDO 표준의 사용 편의성을 검증했습니다.
6개월 후, 이미 빠른 사용자 채택률이 계속 증가하는 것을 확인한 후 eBay는 암호 없는 인증의 다음 단계를 밟기로 결정했습니다. 로그인 흐름을 더욱 단순화하기 위해 회사는 더 이상 사용자가 로그인하기 위해 두 번째 단계를 수행할 필요가 없는 기본 인증을 위한 FIDO2를 출시했습니다. 작동 방식은 다음과 같습니다.
- 사용자가 정상적으로 로그인하면 eBay는 장치가 FIDO2를 지원하는지 여부를 감지합니다. 이 경우 사용자는 암호 없는 인증에 등록할 것인지 묻는 팝업 상자를 받게 됩니다.
- 옵트인하면 사용자에게 얼굴 또는 지문 생체 인식을 등록하라는 메시지가 표시되고 자동으로 등록됩니다.
- 다음에 사용자가 로그인할 때 생체 인식을 제시하기만 하면 됩니다. 사용자 이름과 비밀번호가 필요하지 않습니다.
eBay와 사용자 모두를 위한 혜택 실현
FIDO를 도입한 지 1년도 채 되지 않아 eBay는 이미 FIDO의 이점을 깨닫고 있습니다: 옵트인 비율이 SMS OTP보다 높을 뿐만 아니라 특히 모바일 장치에서 로그인 성공률과 완료율이 크게 향상되었습니다. eBay는 Android/Chrome에서 FIDO2/WebAuthn을 출시하기 시작했으며 이후 Mac, Windows 및 iOS로 확장되었습니다. 최근 eBay는 eBay에 액세스할 수 있는 또 다른 안전한 방법을 제공하는 보안 키와 같은 로밍 인증자에 대한 지원도 추가했습니다.
완전히 암호 없는 미래를 기대합니다
완전히 암호 없는 인증을 구현하기 위해 eBay는 FIDO 인증자를 분실하거나 사용자가 새 장치를 추가할 때 계정을 복구하기 위한 프로세스를 마련해야 합니다. 일반적인 암호 인증에서 사용자는 이메일/암호 재설정 프로세스를 통해 계정을 복구할 수 있지만 수식에서 암호를 제거하는 것은 새로운 과제입니다.
Jain에 따르면 이 문제를 해결하는 것이 향후 6개월 동안 팀의 최우선 과제입니다.
Jain은 “오늘날 사용자는 FIDO를 선택하여 훨씬 빠르고 편리한 로그인 경험을 경험할 수 있습니다. “그러나 FIDO의 보안 이점을 완전히 실현하기 위해 우리는 암호를 완전히 비활성화하기를 기대하고 있습니다. 한 번에 한 걸음씩 내딛고 업계가 협력하여 계정 복구와 같은 문제에 대한 해결책을 찾는다면 우리는 거기에 도달할 것이라고 믿습니다.”
여기에서 eBay 사례 연구 PDF 문서를 볼 수 있습니다.
