이 페이지에서는 FIDO Alliance가 시작된 이래로 FIDO 인증의 기본 원칙인 사용자 개인 정보 보호에 대한 FIDO Alliance의 노력에 대해 자세히 설명합니다.
소개
FIDO Alliance 생태계의 성공은 온라인 서비스에 강력한 인증을 제공하면서 사용자의 개인 정보를 보호하는 것을 목표로 하는 사용자의 신뢰에 기반을 두고 있습니다.
FIDO의 개인 정보 보호 원칙은 FIDO Alliance 기술의 핵심 부분이며 강력한 인증에 대한 FIDO Alliance의 접근 방식을 강화합니다.
개인정보 보호
개인 정보 보호는 전 세계의 많은 사람들에게 다양한 의미를 지니며, 공식적인 정의조차도 문화적, 언어적, 법적 경계에 따라 다릅니다. FIDO Alliance 와 관련하여 “사용자 확인”이라는 용어는 디바이스가 로컬에서 사용자와 상호 작용하거나 사용자를 식별하는 방법을 나타내고, “인증”이라는 용어를 사용하여 FIDO 암호화 프로토콜을 사용하여 네트워크를 통해 원격 시스템에서 사용자를 식별하는 방법을 나타냅니다.
강력한 사용자 확인 시스템은 합법적인 계정 소유자를 식별할 수 있어야 하며, 이를 위해서는 해당 사용자에 대한 정보를 지속적으로 보유해야 하기 때문에 FIDO의 맥락에서 개인 정보 보호는 본질적으로 까다롭습니다. 개인 정보 보호에 대한 FIDO Alliance의 접근 방식은 특정 사용자와 관련된 데이터의 잘 정의된 수집 및 사용을 중심으로 합니다. 이 문서 전체에서 이 데이터를 개인 데이터라고 합니다.
또한 이 데이터의 사용은 사용자에게 놀라운 일이 아니어야 합니다. 이는 또한 FIDO 기반 사용자 확인 프로세스의 범위를 벗어나 지속적인 식별을 허용하므로 사용자 확인 정보를 다른 소스의 데이터와 쉽게 결합할 수 없어야 함을 의미합니다.
FIDO 등록 및 사용자 검증의 흐름
사용자가 FIDO 기술을 사용하여 수행하려는 두 가지 주요 작업은 지정된 온라인 서비스에 대한 초기 등록과 해당 서비스에 대한 후속 인증입니다. 이 모든 것이 작동하려면 FIDO Authenticator 가 필요합니다. 이러한 Authenticator 사용되는 사용자 확인 메커니즘을 제공합니다. 독립 실행형 하드웨어 장치, 장치에 통합된 지문 센서 및 해당 펌웨어 또는 다른 많은 옵션 중 하나일 수 있습니다. FIDO 클라이언트는 사용자 환경의 일부이기도 하며, Authenticator FIDO 서버 간의 통신을 처리합니다. 서버는 온라인 서비스 공급자 인프라의 일부입니다.
이 서비스 공급자는 인증에 의존해야 하는 엔터티이기 때문에 FIDO 용어로 Relying Party라고도 합니다.

그림 1: 등록
등록 프로세스가 끝나면 Relying Party 는 Authenticator 만든 공개 키를 가지게 되며, Authenticator 이 공개 키가 Relying Party에 속한 도메인에서만 합법적으로 사용될 수 있음을 인식합니다.
이 정보를 사용하여 서비스에 사용자를 인증해야 하는 경우 모두 동일한 부분이 관련됩니다.

그림 2: 인증
개인 정보 보호 및 보안 요구 사항은 모두 올바른 사용자만 인증되고 사용자가 원할 때만 인증된다는 동일한 목표를 공유합니다.
보안 없이는 개인 정보 보호가 없습니다
FIDO 기술 사양에는 표준에 내장된 보안 메커니즘의 일부로 여러 개인 정보 보호 관련 요구 사항이 포함되어 있습니다. 실제로, FIDO 기술의 핵심 원칙인 것처럼 사용자를 강력하게 인증하기 위해서는 시스템에 이를 위한 충분한 정보가 있어야 합니다. 이를 위해 FIDO Alliance 는 사용자에 대한 지식을 확보하는 것과 FIDO 관련 작업을 수행하는 데 필요한 정보만 수집하도록 하는 것 사이의 미묘한 균형을 찾기 위해 노력했습니다.
등록은 Relying Party의 웹 사이트에 계정 소유자를 강력하게 인증할 수 있는 기능을 제공하므로 매우 중요한 작업입니다. 등록은 해당 계정과 관련된 모든 후속 FIDO 작업의 기초이므로 특히 심각하게 받아들여야 합니다. 등록 과정에서 FIDO Authenticator 의 유효성도 확인되어 무결성을 보증합니다.
FIDO 기술 사양에 따르면 FIDO 기기에는 웹 사이트에서 볼 수 있는 전역 식별자가 없어야 하며, 이로 인해 FIDO 사용자의 원치 않는 예기치 않은 재식별을 방지할 수 있습니다. 사용자는 다른 Relying Party와의 관계로 인해 한 엔티티에서 식별할 수 없어야 합니다. 또한 FIDO Authenticator 에는 특정 Relying Party 내에 전역 식별자가 없습니다. 이는 개인정보 보호를 제품에 적극적으로 구축하려는 FIDO Alliance의 전반적인 기술적 접근 방식과 태도를 보여주는 대표적인 예입니다.
Enterprise Attestation 증명 사용 Enterprise 네트워크 또는 엔터프라이즈의 Relying Party 내에서 글로벌 식별자가 있는 Enterprise Attestation 사용 FIDO 인증자에 대해서는 예외가 있습니다. 여기서 Enterprise는 일종의 조직 형태(종종 비즈니스 엔터티)입니다. 기업의 데이터 처리자의 신뢰 당사자(GDPR에 의해 정의됨)는 Enterprise Relying Party의 일부로 간주됩니다. Enterprise Attestation 지원 인증자는 고객이 아닌 Enterprises의 직원, 계약자 및 정의된 구성원만 사용할 수 있습니다.
FIDO 사양 내의 다른 기술적 보호 장치에는 특정 웹 사이트에 발급된 키는 해당 웹 사이트의 웹 브라우저에서만 행사할 수 있다는 것이 포함되며, 이는 서로 다른 사이트 간의 강력한 경계를 증폭시킵니다. 이 요구 사항은 다른 출처에서 피싱을 목적으로 공개 키를 도난하는 것을 무용지물로 만들 뿐만 아니라 여러 공모 사이트에서 Authenticator 를 사용하여 웹을 탐색할 때 사용자의 ID를 강력하게 확인하고 상관 관계를 지정하는 것을 방지합니다.
FIDO의 개인 정보 보호 장치 중 일부는 기술에만 국한되지 않습니다. 일부는 정책 기반이고 일부는 제공되는 사용자 경험에 중점을 둡니다. 예를 들어 FIDO Authenticator 와 웹 사이트 간에 관계를 만들 때 알림은 사용자의 지식을 바탕으로 관계를 맺도록 하는 데 중요한 부분입니다. 사용자의 신뢰를 얻는 것이 중요합니다. FIDO 기술은 그 목적을 투명하게 공개해야 합니다.
FIDO 개인정보 보호 원칙
FIDO 인증자, 클라이언트 및 서버의 설계 및 구현은 완전히 준수되는 것으로 간주되기 위해 다음 원칙을 준수해야 합니다. 사용자 계정의 무결성을 보호하기 위해 노력하는 동시에 사용자가 원하지 않거나 기대하지 않을 때 사용자를 식별하는 데 FIDO 기술이 사용되지 않도록 합니다.
#1 개인 데이터를 사용하는 모든 작업에 대해 명시적이고 정보에 입각한 사용자 동의 필요
여기에는 등록, 사용자 확인 및 거래 확인 중 식별 가능한 개인 데이터의 수집 및 사용이 포함됩니다. 사용자가 원하거나, 알고 있거나, 기대하지 않는 한 사용자를 식별해서는 안 됩니다.
#2 모든 FIDO 작업에 대해 사용자에게 명확한 컨텍스트 제공
여기에는 FIDO 관련 작업에 사용되는 사용자 ID와 서버 ID가 무엇인지 명시적으로 지정하는 것이 포함되지만 이에 국한되지 않습니다.
#3 개인정보 수집을 FIDO 관련 목적으로 제한
사용자와 Relying Party 간의 FIDO 작업에 필요한 FIDO 관련 개인 정보만 수집합니다.
FIDO 관련 개인 정보는 등록 중에(그리고 잠재적으로 사용자 확인 중에) 수집되는 데이터로, 특정 FIDO 관련 작업을 수행하는 데 필요합니다. Relying Party 가 동시에 수집할 수 있는 다른 정보와 구별되지만 FIDO 작업 범위의 일부는 아닙니다.
등록 시 Relying Party 는 사용자로부터 수집한 정보를 공개해야 합니다. 사용자 확인 또는 거래 확인 시간에 추가 정보가 수집되는 경우 수집 내용도 사용자에게 공개해야 합니다. 추가 수집이 없는 경우 명시적인 추가 수집 공개가 필요하지 않습니다.
#4 FIDO 작업에만 개인 데이터 사용
FIDO 작업 중에 수집된 데이터의 유일한 허용 가능한 사용은 등록, 사용자 확인 또는 권한 부여와 같은 식별을 수행하는 것입니다.
#5 FIDO 작업 외부에서 사용자 식별 방지
FIDO 관련 데이터는 FIDO 작업 또는 시스템 로그인과 같은 사용자 요구 및 사용자 예상 식별 작업 중 이외의 다른 방법으로 사용자를 식별해서는 안 됩니다.
#6 생체 인식 데이터는 사용자의 개인 컴퓨팅 환경을 벗어나서는 안 됩니다.
생체 인식 데이터, 측정 및 이러한 데이터의 개인 식별 파생은 인증자에서 추출되지 않도록 보호되어야 하며 사용자의 개인 컴퓨팅 환경 외부로 전송되어서는 안 됩니다.
#7 FIDO 관련 데이터를 무단 액세스 또는 공개로부터 보호
FIDO 작업과 관련된 데이터는 적절하게 보호되어야 합니다. 이는 FIDO Certification Working Group의 가이드라인의 일부로 검증될 것입니다.
#8 사용자가 FIDO 인증자를 쉽게 보고 관리할 수 있도록 허용
사용자는 자신의 계정과 연결된 FIDO Authenticator를 쉽게 나열하고 이 정보를 사용하여 표준 작업을 수행할 수 있어야 합니다(예: 분실 시 Authenticator 등록 취소).
결론
이러한 개인 정보 보호 원칙은 사용자의 개인 정보 보호에 대한 FIDO Alliance의 분명한 강력한 약속을 반영합니다. FIDO의 사양에 널리 퍼져 있는 포괄적인 기술 메커니즘은 FIDO 표준이 안전한 만큼 개인 정보를 보호할 수 있는 기반을 제공합니다.