이번 달, 국제자금세탁방지기구(FATF)는 금융 서비스 규제 기관을 위한 최종 ‘디지털 신원 지침‘을 발표했습니다. FATF는 금융 시스템이 자금 세탁, 테러 자금 조달 또는 기타 불법 활동에 사용되지 않도록 하는 전 세계 금융 규제 기관으로 구성된 표준 제정 기관입니다. 역사적으로 FATF는 전통적인 은행 업무에 중점을 두었지만 점점 더 많은 금융 서비스가 디지털화됨에 따라 안전한 금융 시스템의 핵심 요소로서 디지털 신원에 초점을 맞추기 시작했습니다.
FATF 권고안은 글로벌 자금세탁방지(AML) 및 테러자금조달방지(CFT)에 대해 인정받는 표준입니다. 그렇기 때문에 최종 지침에서 여러 곳에서 FIDO 인증을 모범 인증 사례의 예로 인식하는 것이 매우 중요합니다.
주목해야 할 첫 번째 중요한 측면은 특히 은행이 기존 디지털 ID 자격 증명을 가진 사람들을 위해 새 계좌를 개설할 때 고객 실사(CDD) 프로세스의 요소로 인증을 통합했다는 것입니다. FATF가 CDD의 일부로 인증을 명시적으로 포함시킨 것은 이번이 처음이며, 이는 또한 건전한 사용자 인증의 필요성에 대한 광범위한 시장 인식을 말해줍니다. 둘째, FIDO는 허용 가능한 인증 형태로 인식될 뿐만 아니라 레거시 인증 방법에 비해 선호되는 접근 방식으로 알려져 있습니다. 지침에 따라:
““공유 비밀” 지식 인증자로 간주되는 암호 또는 암호는 무차별 대입 로그인 공격, 피싱 공격 및 대규모 온라인 데이터 침해에 취약하며 매우 쉽게 무력화됩니다. 도난당하거나 취약한 암호 또는 기본 암호는 데이터 침해의 81%를 차지합니다. 가입자의 휴대폰으로 문자 메시지를 보내는 SMS 일회용 코드와 같은 다단계 인증(MFA) 솔루션은 암호/암호에 또 다른 보안 계층을 추가하지만 피싱 및 기타 공격에 취약할 수도 있습니다.
하나 이상의 요소가 공개 키 암호화에 의존하는 피싱 방지 인증자(예: PKI 인증서 또는 FIDO 표준을 기반으로 구축된 인증자)는 이러한 취약성을 해결하는 데 도움이 될 수 있습니다.”
이는 인증의 중요성뿐만 아니라 일부 레거시 MFA 기술의 약점(예: 피싱 가능성)과 FIDO를 고수준 보안 보장 인증으로 사용하여 이러한 위험을 완화할 수 있는 방법에 대한 중요한 인식입니다. 이는 은행 규제 기관이 디지털 신원 및 인증에 대한 신규 또는 업데이트된 규칙을 만들 때 강력하게 평가하기를 바라는 중요한 차이점입니다.
FATF 권고안 전문은 여기에서 확인할 수 있습니다.
