지난해 12월, 미국 국가사이버보안강화위원회(U.S. Commission on Enhancing National Cybersecurity)는 차기 대통령 행정부에 대한 “야심차지만 중요한 목표”를 제시했다: “2021년까지 신원, 특히 비밀번호 사용이 주요 공격 벡터가 되는 중대한 침해를 막는 것”이다. [1]
이러한 노력에 따라 위원회는 모든 기관이 모든 정부 시스템에서 강력한 인증을 사용하도록 요구할 것을 권고했습니다. 또한 이 요구 사항을 충족하는 데 사용되는 도구가 정부의 PKI 기반 PIV(Personal Identity Verification) 자격 증명에 국한되어서는 안 된다고 지적했습니다. 대신, 위원회는 인증에 대한 요구 사항이 “다른 (즉, PIV가 아닌) 인증 형식을 포함하도록 성능 기반(즉, 강력)으로 만들어야 한다”고 권고했습니다.
FIDO Alliance는 위원회의 권고를 뒷받침하는 새로운 백서를 발표하게 된 것을 기쁘게 생각합니다. 제목 “ FIDO 표준을 활용하여 미국 정부 기관의 PKI 보안 모델 확장 “ 이 백서에서는 FIDO 솔루션을 사용하여 정부 환경 내에서 사이버 보안을 강화하고 기존 PKI를 보완하는 방법에 대해 설명합니다. 이 백서는 FIDO의 공공 정책 및 개인 정보 보호 실무 그룹 (P3WG)에서 개발했습니다.
백서에서 자세히 설명하듯이 FIDO 포함 접근 방식의 이점은 사용하기 쉽고 레거시 애플리케이션과 통합하기 쉬운 추가 인증 솔루션을 제공한다는 것입니다. 그러나 이러한 솔루션은 여전히 비대칭 공개 키 암호화와 관련된 핵심 보안을 유지합니다
- 예를 들어, DPC(Derived PIV Credential) 프로그램을 사용하면 PIV 카드 소유를 증명하여 별도의 PKI 인증서를 발급할 수 있는 것처럼 DPC 워크플로는 NIST 800-157에 지정되어 있습니다 PIV 카드와 연결된 동일한 ID 레코드에 연결된 FIDO 공개/개인 키 쌍을 발급하는 데 사용할 수 있습니다. 주요 차이점은 키 쌍이 “전체” 공개 키 인프라의 일부가 아니라 “경량” 키 쌍이라는 것입니다.
- 또한 PIV를 받을 필요가 없는 정부 생태계의 사람들을 위해 FIDO는 발급 및 유지 관리 비용이 저렴하고 사용하기 쉬운 대안을 제공합니다. 이렇게 하면 개인이 공개 키 암호화를 기반으로 하는 최소한의 강력한 인증을 받을 수 있습니다.
새로운 백서는 PIV가 미국 정부에서 인증의 황금 표준으로 남아 있으며 연방 기업의 핵심 구성 요소로 남을 것임을 분명히 합니다. 그러나 정부 기관이 위원회의 권고 사항을 달성하기 위해 노력함에 따라 FIDO로 PIV 솔루션을 강화하는 접근 방식은 연방 기업 전체의 사이버 위생을 개선하고 미국이 디지털 자산을 보다 효과적으로 보호하는 데 도움이 될 수 있습니다.
2021년까지 비밀번호 기반 침해를 근절하는 것은 야심찬 목표이지만 불가능한 것은 아닙니다. 300개 이상의 FIDO 인증 제품을 통해 미국을 비롯한 전 세계 정부는 성장하는 FIDO® 솔루션 에코시스템을 통해 더 간단하고 강력한 인증을 제공할 수 있습니다.
[1] 국가 사이버 보안 강화 위원회(Commission on Enhancing National Cybersecurity)의 디지털 경제 보안 및 성장에 관한 보고서(Report on Securing and Growing the Digital Economy) 참조, https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf