작성자: FIDO Alliance Staff
금융 서비스에서 FIDO 인증의 역할은 무엇이며, 소비자와 발행자의 보안을 강화하기 위해 무엇을 할 수 있을까요? 이러한 주제는 3월 25일 FIDO Alliance가 주최한 Authenticate Virtual Summit: Modern Authentication for Financial Services의 기초가 되었습니다.
금융 서비스에 초점을 맞춘 이 행사에는 eBay, Financial Data Exchange, Gemini, Google, Javelin Strategy and Research, Mastercard, JP Morgan Chase, StrongKey, Trusona 및 Visa의 연사들이 참여했으며, 인증의 미래부터 사용자의 인증 경험을 최적화하는 방법에 대한 모범 사례에 이르기까지 다양한 주제를 다루었습니다.
FIDO Alliance의 전무 이사 겸 CMO인 Andrew Shikiar는 개막 기조 연설에서 팬데믹 기간 동안 금융 서비스 기관에 대한 사이버 공격이 증가했으며, 이로 인해 더 강력한 인증 방법의 필요성이 높아졌다고 언급했습니다.
“결국, 대부분의 통계와 이러한 문제의 대다수는 근본적인 진실로 귀결되는데, 그것은 우리가 목적에 맞지 않는 인증 모델을 기반으로 초연결 경제, 네트워크 사회를 운영하려고 한다는 것입니다. ” 시키아르가 말했다.
Shikiar는 FIDO Alliance가 전 세계가 암호에서 벗어나 더 강력한 형태의 인증의 이점을 누릴 수 있도록 돕기 위해 어떻게 노력하고 있는지 자세히 설명했습니다. 특히 FIDO는 다양한 범주의 금융 서비스 시장에서 핵심적인 역할을 하고 있습니다. FIDO 사양은 오늘날 금융 서비스 회사에서 계정 탈취 및 피싱 공격으로부터 온라인 계정을 보호하는 데 사용되고 있습니다. 주요 목표는 조직에서 강력한 인증을 더 쉽게 사용할 수 있도록 하는 것입니다. 시키아르는 FIDO 얼라이언스의 슬로건이 ‘더 간단하고, 더 강력한 인증’이라고 강조했다.
“업계에서 한 가지 분명한 사실은 MFA에 대한 접근 방식이 더 복잡해진다는 것입니다 [Multi-Factor Authentication] , 누군가가 그것을 고수할 가능성이 적습니다”라고 Shikiar는 말했습니다. “따라서 사람들이 강력한 인증을 계속 사용하려면 쉽고 단일 제스처가 필요하며, 이것이 FIDO 접근 방식의 핵심입니다.”
Visa에서 FIDO를 통한 인증 개선
Visa는 세계에서 가장 큰 신용 카드 브랜드 및 금융 서비스 회사 중 하나이며 FIDO를 보안을 개선하고 사기를 줄이는 데 도움이 되는 강력한 도구로 보고 있습니다.
기조 연설에서 Visa의 ID 및 인증 제품 책임자인 David Henstock은 FIDO 사양이 결제 업계에서 더 나은 결과를 도출하는 데 중요한 역할을 한다고 말했습니다. Henstock은 최근 몇 년 동안 사기꾼들이 인증 계층을 표적으로 삼고 있다는 사실이 점점 더 많이 발생하고 있다고 지적했습니다.
“항상 제기되는 질문은 Visa가 계정 탈취 사기에 맞서 싸우기 위해 무엇을 할 수 있느냐는 것입니다.” 헨스톡은 말했다. “범인은 지식 기반 인증 또는 간단히 말해서 암호인 경우가 많습니다.”
Henstock은 FIDO가 사용자 이름과 비밀번호에서 판매자의 인증 경험을 업그레이드하는 보다 안전한 표준으로 업그레이드할 수 있는 쉬운 방법이라고 언급했습니다. 그는 전반적인 FIDO가 인증에 더 좋고 사용하기 쉬운 고객 경험을 제공하는 데 도움이 된다고 덧붙였습니다.
FIDO는 규정 준수를 지원하는 데에도 중요합니다. 유럽에서 PSD2 [Payment Services Directive version 2] 는 강력한 고객 인증(SCA)의 사용을 의무화하기 때문에 강력한 인증 채택을 위한 핵심 동인입니다.
“유럽에서 디지털 상거래를 하고 있다면 SCA 규정을 준수해야 한다”고 헨스톡은 말했다.
StrongKey의 CTO인 Arshad Noor는 조직의 FIDO 배포를 지원하기 위해 Authenticate 세션을 통해 조직이 글로벌 요구 사항의 문제를 해결하는 데 도움이 될 수 있는 StrongKey FIDO 서버의 새로운 기능을 자세히 설명했습니다.
Noor는 “WebAuthn과 FIDO 생태계에서 사람들이 보안 기능과 FIDO와 상호 작용할 때 소비자가 겪는 사용자 경험 사이에서 혼란스러워하는 많은 혼란을 목격하고 있습니다. “우리는 FIDO를 첫째로 보안 기술로, 둘째로 편의 기술로 보아야 한다고 생각합니다.”
암호에 대한 소비자 신뢰가 하락하고 있습니다.
암호에서 벗어나야 할 필요성은 규제에 관한 것일 뿐만 아니라 암호 기반 인증의 보안에 대한 소비자의 신뢰와도 관련이 있습니다.
Javelin Strategy & Research의 애널리스트인 Rachel Huber와 John Buzzard는 한 세션에서 사기 및 온라인 보안 측면에서 시장 현황을 간략하게 설명했습니다.
“우리는 암호에 대한 소비자 신뢰도가 상당히 떨어졌다는 것을 추세적으로 발견했으며 마침내 말하고 싶습니다”라고 Buzzard는 말했습니다.
Buzzard는 소비자들이 생체 인식을 포함한 더 강력한 인증 방법이 신원을 확인하는 효과적인 방법이라는 것을 깨닫기 시작했다고 언급했습니다. 그는 소비자들이 이제 암호에서 벗어날 준비가 되었음을 나타내고 있다고 덧붙였다.
버자드는 “비밀번호가 사라진다 해도, 비밀번호가 존재한다는 의미에서 맥치즈 시장과 비슷해질 수도 있지만, 그것이 필요한 것이라면 아무 의미가 없다”고 말했다. “우리는 더 강력한 형태의 인증을 추진할 준비가 되어 있기 때문에 여전히 괜찮습니다.”
결제와 인증의 미래
FIDO 표준은 eBay의 보안 노력의 핵심으로, 온라인 마켓플레이스가 다양한 사용자 기반의 요구 사항을 충족하는 데 도움이 됩니다. 결제와 인증의 미래에 대한 패널에서, eBay의 아이덴티티, 모빌리티 및 분석 부문 제품 관리 책임자인 Ashish Jain은 자신의 플랫폼이 직면한 주요 과제는 광범위한 고객 기반의 요구와 요구 사항을 충족할 수 있는 올바른 경험을 제공하는 것이라고 설명했습니다.
Jain은 “FIDO에 대한 조사를 시작했을 때 FIDO가 Google, Microsoft 및 Apple의 지원을 받는다는 것을 확인했을 때 다양한 고객의 요구를 충족할 수 있다는 확신을 갖게 되었고, 이에 따라 프로토콜에 대한 조사와 투자를 계속하고 있습니다”라고 말했습니다.
Google의 ID 및 보안 제품 관리자인 Christiaan Brand에게 FIDO 도입은 피싱 위험을 억제하는 데 도움이 되는 방법으로 시작되어 Google과 사용자 모두를 위해 보안의 여러 측면을 개선하는 데 도움이 되는 방법으로 발전했습니다.
Brand는 “FIDO는 몇 안 되는 보안 발명품 중 하나로, 보안 문제를 해결하고 해당 축을 개선하는 동시에 사용성 측면도 개선하는 것을 목표로 합니다”라고 말했습니다. “오늘날 플랫폼에 내장된 FIDO 구성 요소는 사용자에게 더 우수하고 안전한 경험을 제공합니다.”
마스터카드의 아이덴티티 솔루션 부문 수석 부사장인 란지타 아이어(Ranjita Iyer)는 FIDO 사양이 EMV 3D Secure 를 포함한 다른 표준과 결합되어 원활한 인증 및 결제 경험을 가능하게 하여 디지털 거래에 대한 승인률을 높이고 사기를 줄일 수 있다고 말합니다.
FIDO를 다른 표준과 통합하는 것도 FDX(Financial Data Exchange)가 스택을 통해 구현하고 있는 것입니다. Financial Data Exchange의 전무 이사인 Don Cardinal은 세션에서 자신의 조직이 안전한 데이터 액세스 권한을 위해 상호 운용 가능한 로열티 프리 표준을 중심으로 금융 서비스 산업을 통합하는 데 전념하고 있다고 설명했습니다.
“전체 아이디어는 사용자 ID와 암호 공유를 중단하고 전체 세션에서 사용을 중지하는 것입니다.”라고 Cardinal은 말했습니다. “이상적으로는 FDX 전체에 OIDC[OpenID Connect] 및 FIDO가 있는 경우 전체 설정을 등록, 사용 및 사용할 수 있으며 자격 증명을 사용하지 않을 수 있으며, 이는 오늘날의 시대에 정말 강력하다고 생각합니다.”
강력한 인증을 위한 UX 최적화
FIDO 사양의 기술적 세부 사항은 강력한 인증을 가능하게 하는 데 중요하지만 사용자 경험을 최적화하는 것은 채택에 매우 중요합니다.
FIDO Alliance의 마케팅 이사인 Megan Shamas는 FIDO 사용자 경험을 테스트하고 개선하기 위한 노력이 현재 진행 중이라고 언급했습니다. 이러한 테스트 노력의 지침은 2021년 말에 공개될 예정입니다.
Visa의 디자인 디렉터(CX/UI)인 Kerry Hebert는 FIDO 구현은 사용자 채택에 달려 있으며 사용자가 등록하는 경우에만 채택이 이루어질 것이라고 강조했습니다. 그녀는 사용자가 등록 단계를 밟기 위해서는 그것이 제공하는 것에 가치가 있고 어떤 식으로든 소비자의 삶을 조금 더 낫게 만든다는 것을 믿어야 한다고 언급했습니다.
Trusona의 최고 경험 책임자인 Kevin Goldman은 금융 서비스 회사가 사용자 경험은 프로세스의 끝에 고정되어 있습니다. 오히려 그는 FIDO 표준을 지원하고 활성화하는 전체 프로세스의 통합된 부분이라고 제안합니다.
JPMorgan Chase & Co의 디지털 신원 및 인증 부문 부사장 겸 제품 관리자인 Judy Clare는 패널 토론에서 경험의 관점에서 FIDO 참여는 소비자가 쉽게 이해할 수 있어야 한다고 제안했습니다.
클레어는 “가치 제안이 있어야 한다 – 나에게 무엇이 있는지, 왜 내가 이걸 클릭해서 30초만 더 시간을 내서 신청하고 내 길을 가야 하는지, 왜냐하면 나는 뭔가를 하기 위해 여기에 있는데 이건 그게 아니었기 때문”이라고 클레어는 말했다. “따라서 사용자를 염두에 두는 것이 정말 중요합니다.”
다음: 더 많은 Authenticate Summits 및 Authenticate 2021 Conference
2021년에는 FIDO Alliance에서 더 많은 콘텐츠를 제공할 예정입니다.
6월에는 유럽에서의 강력한 인증에 초점을 맞춘 또 다른 가상 이벤트가 예정되어 있습니다. 10월 시애틀에서 열릴 예정인 실제 인증 컨퍼런스를 위한 계획도 함께 수립되고 있습니다.
Shikiar는 “일반적으로 우리가 보는 것은 많은 모범 사례 공유이며, 모든 사람이 함께 이 일에 참여하고 있으며, 네트워크 경제를 보호하는 데 도움이 되도록 동기를 부여하고 있으며, FIDO 인증은 그렇게 할 수 있는 좋은 방법을 제시합니다”라고 말했습니다. “그러니 꼭 참여해 보시길 권합니다.”
