구글 크롬(Google Chrome), 마이크로소프트 엣지(Microsoft Edge), 모질라 파이어폭스(Mozilla Firefox)의 지원을 받는 FIDO2 프로젝트는 전 세계 웹 사용자를 보호하기 위해 유비쿼터스, 피싱 방지, 강력한 인증의 새로운 시대를 열었습니다
캘리포니아주 마운틴뷰, https://www.w3.org/ — 2018년 4월 10일 – FIDO Alliance 와 W3C(World Wide Web Consortium )는 전 세계 사용자에게 더 간단하면서도 강력한 웹 인증을 제공하기 위한 글로벌 노력의 주요 표준 이정표를 달성했습니다. W3C는 FIDO가 W3C에 제출한 웹 API 사양을 기반으로 하는 공동 작업인 웹 인증(WebAuthn)을 CR(Candidate Recommendation) 단계로 발전시켰습니다. CR은 30개 이상의 회원 조직의 대표로 구성된 Web Authentication Working Group의 산물입니다. CR은 웹 표준의 최종 승인을 위한 선행 단계이며, W3C는 온라인 서비스 및 웹 앱 개발자에게 WebAuthn을 구현하도록 요청했습니다.
WebAuthn은 브라우저 및 관련 웹 플랫폼 인프라에 통합할 수 있는 표준 웹 API를 정의하여 사용자에게 웹, 브라우저, 사이트 및 기기 전반에 걸쳐 안전하게 인증할 수 있는 새로운 방법을 제공합니다. WebAuthn은 FIDO Alliance와 협력하여 개발되었으며 FIDO의 CTAP(Client to Authenticator Protocol) 사양과 함께 FIDO2 프로젝트의 핵심 구성요소입니다. CTAP를 사용하면 보안 키 또는 휴대폰과 같은 외부 인증자가 USB, Bluetooth 또는 NFC를 통해 사용자의 인터넷 액세스 장치(PC 또는 휴대폰)에 로컬로 강력한 인증 자격 증명을 전달할 수 있습니다. FIDO2 사양을 종합적으로 사용하면 사용자가 피싱 방지 보안을 갖춘 데스크톱 또는 모바일 디바이스를 사용하여 온라인 서비스에 쉽게 인증할 수 있습니다.
FIDO Alliance의 전무 이사인 Brett McDowell은 “오늘 발표된 새로운 FIDO2 사양과 선도적인 웹 브라우저 지원을 통해 우리는 모든 플랫폼과 장치에서 FIDO 인증을 유비쿼터스로 만들기 위한 큰 발걸음을 내딛고 있습니다. “수년 동안 점점 더 심각해지는 데이터 침해 및 암호 자격 증명 도난 이후, 이제 서비스 제공업체는 취약한 암호 및 일회용 암호에 대한 의존을 끝내고 모든 웹 사이트 및 애플리케이션에 피싱 방지 FIDO 인증을 채택해야 할 때입니다.”
Google, Microsoft, Mozilla는 주력 브라우저에서 WebAuthn 표준을 지원하기로 약속했으며 Windows, Mac, Linux, Chrome OS, Android 플랫폼에 대한 구현을 시작했습니다. 현재 WebAuthn 및 CTAP 사양을 모두 사용할 수 있으므로 개발자와 공급업체는 제품 및 서비스에 차세대 FIDO 인증에 대한 지원을 구축하는 데 박차를 가할 수 있습니다.
“웹의 보안은 오랫동안 웹이 사회에 기여하는 많은 긍정적인 기여를 방해하는 문제였습니다. 많은 웹 보안 문제가 있고 모든 문제를 해결할 수는 없지만 암호에 의존하는 것은 가장 취약한 링크 중 하나입니다. WebAuthn의 다단계 솔루션을 통해 우리는 이러한 취약한 연결 고리를 제거하고 있습니다”라고 W3C의 CEO인 Jeff Jaffe는 말했습니다. “WebAuthn은 사람들이 웹에 액세스하는 방식을 바꿀 것입니다.”
FIDO2 표준화 노력이 완료되고, W3C 표준 트랙에 따라 WebAuthn이 홍보되고, 주요 브라우저 공급업체가 이를 구현하기 위해 노력함에 따라 인터넷을 사용하는 모든 사용자를 위한 유비쿼터스 하드웨어 지원 FIDO 인증 보호의 새로운 시대가 열렸습니다.
피싱, 메시지 가로채기(man-in-the-middle) 공격, 도난당한 자격 증명의 남용 등 암호와 관련된 위험으로부터 자신과 고객을 보호하려는 기업 및 온라인 서비스 제공업체는 곧 브라우저 또는 외부 인증자를 통해 작동하는 표준 기반의 강력한 인증을 배포할 수 있습니다. FIDO 인증을 배포하면 온라인 서비스에서 휴대폰 및 보안 키와 같이 사람들이 매일 사용하는 장치의 상호 운용 가능한 에코시스템에서 사용자에게 선택권을 제공할 수 있습니다.
브라우저 및 운영 체제에서 새로운 FIDO2 사양의 표준화는 전 세계 규제 기관 및 표준 설정 기관에서 참조하고 이미 수억 대의 기기에서 사용할 수 있으며 Google과 같은 회사의 서비스를 통해 전 세계 35억 개 이상의 사용자 계정에 제공되는 FIDO 인증의 범위를 더욱 확장할 것입니다. 페이스북, NTT 도코모, 뱅크오브아메리카 등. 새로운 사양은 기존의 암호 없는 FIDO UAF 및 2단계 FIDO U2F 사용 사례를 보완하고 FIDO 인증의 가용성을 확장합니다. FIDO2 웹 브라우저 및 온라인 서비스는 이전에 인증된 모든 FIDO 보안 키와 완전히 호환됩니다.
FIDO는 곧 상호 운용성 테스트를 시작하고 FIDO2 사양을 준수하는 서버, 클라이언트 및 인증자에 대한 인증서를 발급할 예정입니다. 적합성 테스트 도구는 FIDO 웹 사이트에서 사용할 수 있습니다. 또한 FIDO는 모든 FIDO 인증자 유형(FIDO UAF, FIDO U2F, WebAuthn, CTAP)과 상호 운용되는 서버에 대한 새로운 Universal Server 인증을 도입할 예정입니다.
WebAuthn 및 FIDO2 프로젝트의 이점
브라우저 및 관련 웹 플랫폼 인프라에 통합할 수 있는 표준 웹 API인 W3C의 WebAuthn API는 각 사이트에 대해 강력하고 고유한 공개 키 기반 자격 증명을 활성화하여 한 사이트에서 도난당한 비밀번호가 다른 사이트에서 사용될 수 있는 위험을 제거합니다. FIDO Authenticator가 있는 디바이스에 로드된 브라우저에서 실행되는 웹 애플리케이션은 공용 API를 쉽게 호출하여 암호 교환 대신 또는 암호 교환 외에 암호화 작업을 통해 사용자에게 더 간단하고 강력한 FIDO 인증을 가능하게 하여 서비스 공급자와 사용자 모두에게 많은 이점을 제공할 수 있습니다.
- 더 간단한 인증: 사용자는 다음을 사용하여 단일 제스처로 간단히 로그인할 수 있습니다.
- PC, 노트북 및/또는 모바일 장치의 내부 또는 내장 인증자(예: 지문 또는 얼굴 생체 인식)
- WebAuthn을 보완하기 위해 FIDO Alliance에서 개발한 외부 인증자용 프로토콜인 CTAP를 사용한 기기 간 인증을 위한 보안 키 및 휴대기기와 같은 편리한 외부 인증자
- 더 강력한 인증: FIDO 인증은 암호 및 관련 인증 형식에만 의존하는 것보다 훨씬 강력하며 다음과 같은 장점이 있습니다.
- 사용자 자격 증명 및 생체 인식 템플릿은 사용자의 장치를 벗어나지 않으며 서버에 저장되지 않습니다
- 계정은 피싱, 메시지 가로채기(man-in-the-middle) 및 훔친 암호를 사용하는 재생 공격으로부터 보호됩니다
- 개발자는 FIDO의 새로운 개발자 리소스 페이지에서 FIDO 인증을 활용하는 앱 및 서비스 만들기를 시작할 수 있습니다.
지원 브라우저 공급업체의 인용문
샘 스리니바스(Sam Srinivas), Google Cloud 보안 제품 관리 이사
“Google 크롬은 더 나은 웹을 구축하기 위해 최선을 다하고 있으며, 개발자가 구조화된 방식으로 보안 키 저장소와 상호 작용할 수 있도록 하는 것은 우리가 이 사명을 계속하는 데 도움이 됩니다. FIDO 내 U2F 및 FIDO2 워킹 그룹의 창립 멤버로서 우리는 이러한 표준의 출시를 기쁘게 생각하며 지속적인 협력을 기대합니다.”
Dave Bossio, 그룹 프로그램 관리자, 운영 체제 보안, Microsoft
“장치, 앱, 브라우저 및 웹 사이트에서 작동하는 암호 대안을 제공하는 것은 암호 없는 미래에 대한 우리의 약속을 이행합니다. FIDO Alliance와의 협력을 통해 현재 승인 프로세스 단계에 있는 WebAuthn API와 W3C에 대한 지원을 Microsoft Edge에 추가할 예정임을 발표하게 되어 기쁩니다.”
Selena Deckelmann, Mozilla Firefox Runtime 엔지니어링 수석 이사
“웹 인증을 통해 Firefox를 사용하는 사람들에게 브라우징 경험에 또 다른 보안 계층을 추가할 수 있는 기회를 제공하고 있습니다. 사람들이 온라인에서 보안을 관리하는 방법에 대한 더 큰 통제권을 부여하고 인터넷을 더 안전하게 만드는 것은 웹을 모든 사람이 개방하고 액세스할 수 있도록 하는 Mozilla의 사명의 핵심입니다.”
오늘 발표를 뒷받침하는 FIDO 회원들의 더 많은 인용문은 FIDO2 프로젝트 웹페이지에서 확인할 수 있습니다.
FIDO 얼라이언스 소개
FIDO(Fast IDentity Online) Alliance(www.fidoalliance.org)는 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결하기 위해 2012년 7월에 결성되었습니다. FIDO 얼라이언스는 비밀번호에 대한 의존도를 낮추는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 세트를 정의하는 더 간단하고 강력한 인증 표준을 통해 인증의 본질을 바꾸고 있습니다. FIDO 인증은 더 강력하고, 비공개이며, 온라인 서비스에 인증할 때 사용하기 쉽습니다.
W3C 소개
W3C(World Wide Web Consortium)의 임무는 웹이 전 세계 모든 사람에게 개방적이고 액세스 가능하며 상호 운용 가능한 상태로 유지되도록 하는 기술 표준 및 지침을 만들어 웹의 잠재력을 최대한 발휘하도록 하는 것입니다. W3C는 HTML5, CSS 및 Open Web Platform과 같은 잘 알려진 사양을 개발하고 보안 및 개인 정보 보호에 대한 작업을 수행하며, 모두 공개되어 고유한 W3C 특허 정책에 따라 무료로 제공됩니다.
“One Web”에 대한 W3C의 비전은 400개 이상의 회원 조직 과 수십 개의 산업 부문을 대표하는 수천 명의 전담 기술자를 한데 모았습니다. W3C는 미국의 MIT 컴퓨터 과학 및 인공 지능 연구소(MIT CSAIL), 프랑스에 본부를 둔 유럽 정보학 및 수학 연구 컨소시엄 (ERCIM), 일본의 게이오 대학, 중국의 베이항 대학 이 공동으로 주최합니다.
FIDO 얼라이언스 PR 연락처
마이크 스미스(Mike Smith) 또는 아드리안 로스(Adrian Loth)
몬트너 테크 PR
203-226-9290
fidopr@montner.com
W3C 홍보 연락처
에이미 반 데르 히엘
W3C 미디어 관계 코디네이터
w3t-pr@w3.org
+1.617.253.5628(미국, 동부 표준시)