정부 및 공공 정책

기술이 발전함에 따라 정책도 함께 발전해야 합니다.

글로벌 시장은 인증 기술에 대한 혁신으로 넘쳐나고 있지만, 일부 솔루션은 정부의 보안 및 사용성 요구 사항을 충족하는 데 더 적합합니다.

실무 그룹과 회원사 공공 정책 책임자를 통해 FIDO 얼라이언스는 전 세계 정책 입안자들과 강력한 인증을 위한 새롭고 더 나은 옵션을 제공하는 방법에 대해 의미 있는 논의를 진행하고 관련 정책 업데이트를 권장합니다.

정책 입안자를 위한 FIDO 얼라이언스의 핵심 사항은 다음과 같습니다:

  • 2단계 인증은 더 이상 더 많은 부담이나 비용을 초래하지 않습니다. 기존의 전통적인 MFA 기술도 마찬가지였지만, FIDO는 특히 이러한 비용 및 사용성 문제를 해결하고 정부, 기업, 소비자가 대규모로 쉽게 채택할 수 있는 더 간단하고 강력한 인증 기능을 제공합니다.
  • 이제 기술은 하나의 디바이스에서 두 개의 안전하고 서로 다른 인증 요소를 사용할 수 있을 만큼 성숙해졌습니다. 모바일 디바이스, 특히 매우 강력하고 격리된 실행 환경(예: TEE, SE, TPM)을 제공하는 하드웨어 아키텍처의 발전으로 인해 이러한 디바이스는 물리적으로 구분되는 토큰 없이도 높은 수준의 보안을 달성할 수 있게 되었습니다. 이는 이미 미국 정부와 유럽은행감독청(EBA)에서도 인정받은 바 있습니다.
  • 정부가 강력한 인증을 장려하거나 요구할 경우, ‘올바른’ 인증인지 확인해야 합니다. 정부는 사용자에게 상당한 비용과 부담을 부과하여 채택을 방해할 수 있는 ‘오래된’ 인증 기술을 중심으로 규칙을 만들어서는 안 되며, 사용자를 위험에 빠뜨리는 보안 및 개인정보 보호 문제가 있는 인증 기술을 중심으로 규칙을 만들어서도 안 됩니다.

인증 요건을 연구하는 정책 입안자는 여기에서 양식을 작성하여 FIDO Alliance 브리핑을 요청할 수 있습니다.

전 세계 정부가 FIDO를 배포하고 있습니다. FIDO 정부 배포 페이지에서 자세히 알아보세요.

FIDO 얼라이언스 공공 정책 제출

FIDO Alliance NIST에 대한 입력(2024년 10월) 및 의견 템플릿: 이 입력 문서에서 FIDO Alliance 는 NIST – SP 800-63-4 Suite(두 번째 공개 초안)에 대한 주석을 제공합니다.

FIDO Alliance 유럽연합 집행위원회(European Commission)에 대한 의견 (2024년 9월): 이 입력 문서에서 FIDO Alliance 는 유럽연합 집행위원회(European Commission: Draft Implementing Act – European Digital Identity Wallets: Integrity and Core Functionalities)에 대한 의견을 제시합니다.

FIDO Alliance 유럽연합 집행위원회에 대한 의견 수렴(2024년 7월): 이 입력 문서에서 FIDO Alliance 는 유럽연합 집행위원회(European Commission)에 대한 의견: NIS2 지침 초안 요구 사항(NIS2 Directive Draft Requirements)에 대한 의견을 제시합니다.

FIDO Alliance METI에 대한 의견(2024년 4월): 이 입력 문서에서 FIDO Alliance는 경제산업성(METI)에 대한 의견: IoT 제품 보안 적합성 평가 제도 정책 초안에 대한 의견을 제시합니다.

BRSA에 대한 FIDO Alliance 의견(2024년 1월): 이 입력 문서에서는 터키 은행 규제 및 감독청(BRSA)의 Circular 2023/1에 대한 FIDO Alliance의 의견입니다.

NIST에 대한FIDO Alliance 의견(2024년 1월): 이 입력 문서에서 FIDO Alliance NIST SP 800-171r3에 대한 의견을 제시합니다: 비연방 시스템 및 조직에서 통제된 기밀 정보(CUI) 보호.

계약자를 위한 USG 제안 FAR 조항에 대한FIDO Alliance 의견(2023년 11월): 이 입력 문서에서 FIDO Alliance FAR 사례 2021-019: 분류되지 않은 연방 정보 시스템에 대한 사이버 보안 요구 사항 표준화에 대한 의견을 제시합니다.

뉴욕 금융서비스국(DFS)에 FIDO Alliance 의견 (2023년 8월):
이 입력 문서에서 FIDO Alliance 는 DFS – Revised Proposed 2nd Amendment to Regulation 23 NYCRR 500 – Cybersecurity Requirements for Financial Services Companies에 대한 의견을 제시합니다.

NIST에 FIDO Alliance 입력(2023년 6월):
이 입력 문서에서 FIDO Alliance 는 NIST – Identity and Access Management Roadmap (Draft)에 대한 설명을 제공합니다.

FIDO Alliance NIST (2023년 4월) 및 주석 템플릿에 대한 입력:
이 입력 문서에서 FIDO Alliance 는 NIST – SP 800-63-4 디지털 신원 지침(초안)에 대한 의견을 제시합니다.

CFPB에 FIDO Alliance 입력(2023년 1월):
이 입력 문서에서 FIDO Alliance 는 개인 금융 날짜 권리에 대한 필수 규칙 제정에 대해 CFPB – Small Business Advisory Review Panel에 의견을 제시합니다.

FIDO Alliance 입력 (2023년 1월):
이 입력 문서에서 FIDO Alliance 는 DFS – 금융 서비스 기업을 위한 제안된 사이버 보안 요구 사항 – 23 NYCRR Part 500에 대한 의견을 제시합니다.

FIDO Alliance 입력 (2022년 8월):
이 입력 문서에서 FIDO Alliance 는 DFS – 금융 서비스 기업을 위한 제안된 사이버 보안 요구 사항에 대해 설명합니다.

FIDO Alliance 의견 (2022년 4월):
이 입력 문서에서 FIDO Alliance 는 SEC에 투자 자문사, 등록된 투자 회사 및 비즈니스 개발 회사를 위한 제안된 사이버 보안 위험 관리 규칙에 대해 설명합니다.

FIDO Alliance 입력 (2021년 11월):
이 입력 문서에서 FIDO Alliance 는 SIM 스와핑 및 포트 아웃 사기를 방지하기 위한 규칙에 대해 FCC(NPRM)에 의견을 제시합니다.

NIST에 FIDO Alliance 입력(2021년 10월):
이 입력 문서에서 FIDO Alliance 는 NIST의 IoT 디바이스용 Consumer 라벨링에 대해 설명합니다.

유럽연합 집행위원회(European Commission)에 FIDO Alliance 의견(2021년 10월):
이 입력 문서에서 FIDO Alliance 는 eIDAS 2.0에서 FIDO 표준을 사용하여 유럽연합 집행위원회(European Commission)에 대해 설명합니다.

FIDO Alliance 입력 (2021년 10월):
이 입력 문서에서 FIDO Alliance 는 제로 트러스트 성숙도 모델 초안 및 클라우드 보안 기술 참조 아키텍처에 대해 설명합니다.

FIDO Alliance 입력 (2021년 9월):
이 입력 문서에서 FIDO Alliance 는 백악관 OMB(Office of Management and Budget)에서 발행한 연방 제로 트러스트 전략 초안에 대해 논평합니다.

NIST에 FIDO Alliance 입력(2021년 2월):
이 입력 문서에서 FIDO Alliance 는 연방 기관 및 IoT 디바이스 제조업체를 위한 NIST의 지침 초안에 대해 설명합니다.

Consumer금융보호국(Consumer Financial Protection Bureau)에 대한 FIDO Alliance 의견(2021년 2월):
이 입력 문서에서 FIDO Alliance는 금융 기록에 대한 Consumer 액세스에 대해 소비자 금융 보호국(Consumer)에 의견을 제시합니다.

NIST에 FIDO Alliance 입력(2020년 10월):
이 입력 문서에서 FIDO Alliance 는 신뢰할 수 있는 사물 인터넷(IoT) 장치 네트워크 계층 온보딩 및 수명 주기 관리에 대한 NIST의 초안에 대해 설명합니다.

유럽연합 집행위원회(European Commission)에 FIDO Alliance 의견(2020년 9월):
이 입력 문서에서 FIDO Alliance 는 eIDAS의 미래에 관한 유럽연합 집행위원회(EC)의 Inception Impact Assessment에 대해 논평합니다. FIDO Alliance EC가 고려해야 할 네 가지 영역에 대해 의견을 제시합니다: 1. 인증과 관련하여 – EC는 모든 LOA High 솔루션에 고수준 보안 보장 인증이 필요한지 확인해야 합니다. 2. 옵션 2에 따라 eIDAS를 민간 부문으로 확장하면 많은 기업에서 호평을 받을 수 있습니다. 3. 모든 유럽인은 실물 신분증의 디지털 버전을 만들 수 있는 새로운 옵션을 만들어 혜택을 누릴 수 있습니다. 4. 사전 승인된 ID 제품의 상호 인식 및 재사용.

미국 국립표준기술연구소(NIST)에 대한 FIDO Alliance 의견 (2020년 8월):
이 입력 문서에서 FIDO Alliance 는 NIST의 사전 초안 디지털 신원 지침에 대한 의견 수고에 대해 의견을 제시합니다. FIDO Alliance NIST가 고려해야 할 세 가지 영역에 대한 의견을 제시합니다: 1. SP 800-63-3 발표 이후 위협과 기술 모두의 변화를 인식합니다. 2. AAL3 – 새로운 경로를 탐색합니다. 3. 3. FIDO 표준 참조.

마약단속국(DEA)에 대한 FIDO Alliance 의견(2020년 6월):
이 입력 문서에서 FIDO Alliance 는 Docket No에 대해 설명합니다. DEA-218I, 마약단속국(DEA)의 규제 약물에 대한 전자 처방전(EPCS)에 대한 임시 최종 규칙에 대한 의견 요청. FIDO Alliance 의견은 크게 네 부분으로 나뉘며, 임시 최종 규칙의 인증 요구사항에 초점을 맞춘 의견 요청 부분에 집중되어 있습니다: 1. 현행 규제에 대한 관찰과 지난 10년간 기술이 어떻게 발전해왔는지 살펴봅니다. 2. FIDO 인증 및 FIDO Alliance 인증 프로그램에 대한 소개. 3. 의견 요청에 대한 특정 DEA 질문에 대한 답변. 4. 기술과 위협이 진화함에 따라 개정된 EPCS 규정을 최신 상태로 유지할 수 있는 방법에 대한 제안.

FIDO 표준이 강력한 고객 인증에 대한 PSD2의 규제 기술 표준 요구 사항을 충족하는 방법 (2018년 12월):
이 문서에서는 PSD2(RTS)에 따른 강력한 고객 인증 및 공통 및 보안 개방형 통신 표준을 위한 규제 기술 표준에 나열된 보안 요구 사항에 대한 자세한 검토를 제공하고 FIDO 표준이 이러한 요구 사항을 충족하는 방법을 설명합니다.

GDPR에 대한 FIDO 관련성에 대한 FAQ (2018년 9월):
이 문서는 인증, 사용자 동의, 생체 인식 사용에 대한 질문에 대한 답변을 제공합니다. 유럽 일반 데이터 보호 규정(European General Data Protection Regulation)의 맥락에서. 서비스 제공업체가 FIDO 인증을 통해 규정을 준수하는 데 어떻게 도움이 되는지 보여줍니다.

결제 서비스 지침 2에 관한 FIDO Alliance Letter(2017년 8월):
FIDO Alliance가 PSD2에서 스크린 스크래핑을 대체 옵션으로 허용해야 하는지에 대한 유럽 위원회와 유럽 의회에 보낸 서한에 대해

NIST(National Institute of Standards and Technology)에 대한 FIDO Alliance 의견: 중요 인프라 사이버 보안 개선을 위한 프레임워크에 대한 정보 요청(RFI):
사이버 보안 프레임워크에 제안된 변경 사항에 대해 NIST에 제출한 의견에서 FIDO Alliance 는 NIST가 프레임워크의 다음 업데이트에서 해당 언어를 명확히 하고 MFA를 명시적으로 요구할 것을 권장합니다. Alliance는 NIST가 프레임워크 코어에 새로운 “인증” 하위 범주를 추가할 것을 촉구하며, “승인된 사용자의 인증은 여러 요소에 의해 보호된다”는 권고안을 제시합니다. 정부와 업계가 취약한 인증으로 인해 증가하는 위험에 대처하기 위해서는 이 언어로 MFA를 명시적으로 언급하는 것이 필요하며, 프레임워크의 적절한 업데이트에 포함되어야 합니다.

개정된 결제 서비스 지침(PSD2)에 따른 강력한 고객 인증 및 보안 통신에 대한 향후 규제 기술 표준 초안에 대한 EBA(European Banking Authority) 토론 문서에 대한 응답
EBA에 대한 이 답변에서 FIDO Alliance 는 보안 모범 사례를 따르는 FIDO 준수 구현이 PSD2의 “강력한 고객 인증”에 대한 EBA 규정이 촉진하기 위해 노력하는 것, 즉 가맹점과 소비자가 대규모로 채택할 더 간단하고 강력한 인증 기능을 보여주는 이상적인 예가 되는 방법에 대해 자세히 설명합니다. 이 답변서에는 또한 EBA가 특히 온디바이스 생체인식과 결합된 FIDO의 공개 키 암호화 아키텍처를 수용함으로써 결제 서비스 제공업체의 취약점을 줄이고 결과적으로 온라인 사기율을 낮추며 사용자 경험의 마찰을 줄여 전반적인 온라인 결제 규모를 가속화할 수 있는 방법에 대해서도 설명되어 있습니다.

FIDO 개인정보 보호: FIDO Alliance 백서
이 백서에서는 FIDO 프로토콜 설계에서 개인 정보 보호가 어떻게 고려되었는지, 그리고 FIDO 프로토콜이 특정 규제 당국의 개인 정보 보호 요구 사항을 충족하는 데 어떻게 도움이 되는지 설명합니다.