기술이 발전함에 따라 정책도 함께 발전해야 합니다.
글로벌 시장은 인증 기술에 대한 혁신으로 넘쳐나고 있지만, 일부 솔루션은 정부의 보안 및 사용성 요구 사항을 충족하는 데 더 적합합니다.
실무 그룹과 회원사 공공 정책 책임자를 통해 FIDO 얼라이언스는 전 세계 정책 입안자들과 강력한 인증을 위한 새롭고 더 나은 옵션을 제공하는 방법에 대해 의미 있는 논의를 진행하고 관련 정책 업데이트를 권장합니다.
정책 입안자를 위한 FIDO 얼라이언스의 핵심 사항은 다음과 같습니다:
- 2단계 인증은 더 이상 더 많은 부담이나 비용을 초래하지 않습니다. 기존의 전통적인 MFA 기술도 마찬가지였지만, FIDO는 특히 이러한 비용 및 사용성 문제를 해결하고 정부, 기업, 소비자가 대규모로 쉽게 채택할 수 있는 더 간단하고 강력한 인증 기능을 제공합니다.
- 이제 기술은 하나의 디바이스에서 두 개의 안전하고 서로 다른 인증 요소를 사용할 수 있을 만큼 성숙해졌습니다. 모바일 디바이스, 특히 매우 강력하고 격리된 실행 환경(예: TEE, SE, TPM)을 제공하는 하드웨어 아키텍처의 발전으로 인해 이러한 디바이스는 물리적으로 구분되는 토큰 없이도 높은 수준의 보안을 달성할 수 있게 되었습니다. 이는 이미 미국 정부와 유럽은행감독청(EBA)에서도 인정받은 바 있습니다.
- 정부가 강력한 인증을 장려하거나 요구할 경우, ‘올바른’ 인증인지 확인해야 합니다. 정부는 사용자에게 상당한 비용과 부담을 부과하여 채택을 방해할 수 있는 ‘오래된’ 인증 기술을 중심으로 규칙을 만들어서는 안 되며, 사용자를 위험에 빠뜨리는 보안 및 개인정보 보호 문제가 있는 인증 기술을 중심으로 규칙을 만들어서도 안 됩니다.
인증 요건을 연구하는 정책 입안자는 여기에서 양식을 작성하여 FIDO Alliance 브리핑을 요청할 수 있습니다.
전 세계 정부가 FIDO를 배포하고 있습니다. FIDO 정부 배포 페이지에서 자세히 알아보세요.
FIDO 얼라이언스 공공 정책 제출
FIDO Alliance METI에 대한 의견(2024년 4월): 이 입력 문서에서 FIDO Alliance는 경제산업성(METI)에 대한 의견: IoT 제품 보안 적합성 평가 제도 정책 초안에 대한 의견을 제시합니다.
BRSA에 대한 FIDO Alliance 의견(2024년 1월): 이 입력 문서에서는 터키 은행 규제 및 감독청(BRSA)의 Circular 2023/1에 대한 FIDO Alliance의 의견입니다.
NIST에 대한FIDO Alliance 의견(2024년 1월): 이 입력 문서에서 FIDO Alliance NIST SP 800-171r3에 대한 의견을 제시합니다: 비연방 시스템 및 조직에서 통제된 기밀 정보(CUI) 보호.
계약자를 위한 USG 제안 FAR 조항에 대한FIDO Alliance 의견(2023년 11월): 이 입력 문서에서 FIDO Alliance FAR 사례 2021-019: 분류되지 않은 연방 정보 시스템에 대한 사이버 보안 요구 사항 표준화에 대한 의견을 제시합니다.
뉴욕 금융서비스국(DFS)에FIDO Alliance 의견 제출(2023년 8월):
이 입력 문서에서 FIDO Alliance DFS – 규정 23 NYCRR 500 – 금융 서비스 회사를 위한 사이버 보안 요구사항에 대한 개정 제안 2차 개정안에 대한 의견을 제시합니다.
NIST에 대한FIDO Alliance 입력 (2023년 6월):
이 입력 문서에서 FIDO Alliance NIST – 신원 및 액세스 관리 로드맵(초안)에 대한 의견을 제시합니다.
NIST에 대한FIDO Alliance 입력 (2023년 4월) 및 의견 템플릿:
이 입력 문서에서 FIDO Alliance NIST – SP 800-63-4 디지털 ID 가이드라인(초안)에 대한 의견을 제시합니다.
FIDO Alliance CFPB에 제출한 의견(2023년 1월):
이 입력 문서에서 FIDO Alliance 개인 금융 날짜 권리에 대한 필수 규칙 제정에 관한 CFPB – 중소기업 자문 검토 패널에 의견을 제시합니다.
FIDO Alliance DFS에 입력 (2023년 1월):
이 입력 문서에서 FIDO Alliance DFS – 금융 서비스 회사를 위한 사이버 보안 요구 사항 제안 – 23 NYCRR Part 500에 대한 의견을 제시합니다.
FIDO Alliance DFS에 입력 (2022년 8월):
이 입력 문서에서 FIDO Alliance DFS – 금융 서비스 회사를 위한 사이버 보안 요구 사항 제안에 대한 의견을 제시합니다.
SEC에FIDO Alliance 의견 제출(2022년 4월):
이 의견서에서 FIDO Alliance SEC에 대한 의견 – 투자자문사, 등록 투자 회사 및 사업 개발 회사를 위한 사이버 보안 위험 관리 규칙 제안에 대해 설명합니다.
FCC에FIDO Alliance 의견 제출(2021년 11월):
이 의견서에서 FIDO Alliance SIM 스와핑 및 포트아웃 사기 방지를 위한 규칙에 대한 FCC – NPRM에 대한 의견을 제시합니다.
NIST에 대한FIDO Alliance 입력 (2021년 10월):
이 입력 문서에서 FIDO Alliance NIST의 IoT 디바이스용 소비자 라벨링에 대한 의견을 제시합니다.
유럽 위원회에 제출한 FIDO Alliance 의견 (2021년 10월):
이 입력 문서에서 FIDO Alliance 유럽위원회에 대한 의견 – eIDAS 2.0의 FIDO 표준 사용.
CISA에 대한FIDO Alliance 입력 (2021년 10월):
이 입력 문서에서는 제로 트러스트 성숙도 모델 및 클라우드 보안 기술 참조 아키텍처 초안에 대해 FIDO Alliance 의견을 제시합니다.
OMB에 대한FIDO Alliance 입력 (2021년 9월):
이 의견서에서는 백악관 관리예산처(OMB)에서 발표한 연방 제로 트러스트 전략 초안에 대해 FIDO Alliance 의견을 제시합니다.
NIST에 대한FIDO Alliance 입력 (2021년 2월):
이 의견서에서 FIDO Alliance NIST의 연방 기관 및 IoT 디바이스 제조업체를 위한 지침 초안에 대한 의견을 제시합니다.
소비자 금융 보호국에 대한FIDO Alliance 의견 (2021년 2월):
이 입력 문서에서 FIDO Alliance 금융 기록에 대한 소비자 액세스에 대한 소비자 금융 보호국(CFPB)에 의견을 제시합니다.
NIST에 대한FIDO Alliance 의견(2020년 10월):
이 입력 문서에서는 신뢰할 수 있는 사물 인터넷(IoT) 디바이스 네트워크 계층 온보딩 및 수명 주기 관리에 관한 NIST의 초안에 대해 FIDO Alliance 의견을 제시합니다.
유럽위원회에 제출한 FIDO Alliance 의견 (2020년 9월):
이 의견서에서 FIDO Alliance eIDAS의 미래에 관한 유럽위원회(EC)의 시작 영향 평가에 대한 의견을 제시합니다. FIDO Alliance EC가 고려해야 할 네 가지 영역에 대해 의견을 제시합니다: 1. 인증과 관련하여 – EC는 모든 LOA High 솔루션에 고수준 보안 보장 인증이 필요한지 확인해야 합니다. 2. 옵션 2에 따라 eIDAS를 민간 부문으로 확장하면 많은 기업에서 호평을 받을 수 있습니다. 3. 모든 유럽인은 실물 신분증의 디지털 버전을 만들 수 있는 새로운 옵션을 만들어 혜택을 누릴 수 있습니다. 4. 사전 승인된 ID 제품의 상호 인식 및 재사용.
미국 국립표준기술연구소(NIST)에 FIDO Alliance 입력 (2020년 8월):
이 입력 문서에서 FIDO Alliance NIST의 디지털 신원 가이드라인에 대한 의견 요청 초안에 대한 의견을 제시합니다. FIDO Alliance NIST가 고려해야 할 세 가지 영역에 대한 의견을 제시합니다: 1. SP 800-63-3 발표 이후 위협과 기술 모두의 변화를 인식합니다. 2. AAL3 – 새로운 경로를 탐색합니다. 3. 3. FIDO 표준 참조.
마약단속국(DEA)에 대한FIDO Alliance 입력 (2020년 6월):
이 입력 문서에서 FIDO Alliance 도켓 번호에 대한 의견을 제시합니다. DEA-218I, 마약단속국(DEA)의 규제 약물에 대한 전자 처방전(EPCS)에 대한 임시 최종 규칙에 대한 의견 요청. FIDO Alliance 의견은 크게 네 부분으로 나뉘며, 임시 최종 규칙의 인증 요구사항에 초점을 맞춘 의견 요청 부분에 집중되어 있습니다: 1. 현행 규제에 대한 관찰과 지난 10년간 기술이 어떻게 발전해왔는지 살펴봅니다. 2. FIDO 인증 및 FIDO Alliance 인증 프로그램에 대한 소개. 3. 의견 요청에 대한 특정 DEA 질문에 대한 답변. 4. 기술과 위협이 진화함에 따라 개정된 EPCS 규정을 최신 상태로 유지할 수 있는 방법에 대한 제안.
FIDO 표준이 강력한 고객 인증에 대한 PSD2의 규제 기술 표준 요구 사항을 충족하는 방법 (2018년 12월):
이 문서는 강력한 고객 인증을 위한 규제 기술 표준 및 PSD2에 따른 공통적이고 안전한 개방형 통신 표준(이하 RTS)에 나열된 보안 요구 사항을 자세히 검토하고 FIDO 표준이 이러한 요구 사항을 어떻게 충족하는지 설명합니다.
GDPR의 FIDO 관련성에 대한 FAQ (2018년 9월):
이 문서는 유럽 일반 개인정보 보호 규정의 맥락에서 인증, 사용자 동의, 생체 인식 사용 등에 관한 질문에 대한 답변을 제공합니다. 서비스 제공업체가 FIDO 인증을 통해 규정을 준수하는 데 어떻게 도움이 되는지 보여줍니다.
결제 서비스 지침 2에 관한FIDO Alliance 서신 (2017년 8월):
화면 스크래핑을 PSD2의 대체 옵션으로 허용해야 하는지에 대한 유럽 위원회 및 유럽 의회에 보낸 FIDO Alliance서한
미국 국립표준기술연구소(NIST)에 대한FIDO Alliance 의견: 중요 인프라 사이버 보안 개선을 위한 프레임워크에 대한 정보 요청(RFI) (2017년 4월):
사이버 보안 프레임워크에 대한 제안된 변경 사항에 대해 NIST에 제출한 의견서에서 FIDO Alliance NIST가 프레임워크의 다음 업데이트에서 언어를 명확히 하고 MFA를 명시적으로 요구할 것을 권장합니다. Alliance는 NIST가 프레임워크 코어에 새로운 “인증” 하위 범주를 추가할 것을 촉구하며, “승인된 사용자의 인증은 여러 요소에 의해 보호된다”는 권고안을 제시합니다. 정부와 업계가 취약한 인증으로 인해 증가하는 위험에 대처하기 위해서는 이 언어로 MFA를 명시적으로 언급하는 것이 필요하며, 프레임워크의 적절한 업데이트에 포함되어야 합니다.
개정 결제 서비스 지침(PSD2)에 따른 강력한 고객 인증 및 보안 통신에 관한 향후 규제 기술 표준 초안에 대한 유럽은행감독청(EBA)의 토론 문서에 대한 응답
FIDO Alliance EBA에 대한 이 답변에서 보안 모범 사례를 따르는 FIDO 호환 구현이 PSD2에 따른 “강력한 고객 인증”에 대한 EBA 규정이 추구하는 이상적인 사례, 즉 판매자와 소비자가 대규모로 채택할 수 있는 더 간단하고 강력한 인증 기능을 어떻게 촉진하는지 자세히 설명합니다. 이 답변서에는 또한 EBA가 특히 온디바이스 생체인식과 결합된 FIDO의 공개 키 암호화 아키텍처를 수용함으로써 결제 서비스 제공업체의 취약점을 줄이고 결과적으로 온라인 사기율을 낮추며 사용자 경험의 마찰을 줄여 전반적인 온라인 결제 규모를 가속화할 수 있는 방법에 대해서도 설명되어 있습니다.
FIDO 개인정보 보호: FIDO Alliance 백서
이 백서에서는 FIDO 프로토콜 설계 시 개인정보 보호가 어떻게 고려되었으며, 특정 규제 기관의 개인정보 보호 요구 사항을 충족하는 데 어떻게 도움이 되는지 설명합니다.