FIDO2
개요
FIDO2(Fast Identity Online 2)는 사용자의 비밀번호 없이도 안전하고 간편한 온라인 인증을 가능하게 하는 오픈 인증 표준입니다. FIDO2는 비밀번호 의존도를 줄이고, 피싱 공격, 자격 증명 도용, 중간자 공격 등의 보안 위협에 대응하기 위해 개발된 차세대 인증 프로토콜로, 전 세계적으로 주목받고 있습니다. 이 표준은 FIDO 얼라이언스(FIDO Alliance)와 월드와이드웹컨소시엄(W3C)이 공동으로 개발 및 표준화한 것으로, 웹 인증(Web Authentication, 줄여서 WebAuthn)과 클라이언트 인증(Client to Authenticator Protocol 2, CTAP2)의 두 핵심 구성 요소로 이루어져 있습니다.
FIDO2는 사용자가 하드웨어 키(예: YubiKey), 스마트폰, 생체 인식(지문, 얼굴 인식 등)을 활용해 안전하게 인증할 수 있도록 하며, 기존의 비밀번호 기반 인증 방식의 취약점을 근본적으로 해결하는 데 기여하고 있습니다.
구성 요소
FIDO2는 두 가지 주요 기술 표준으로 구성되어 있으며, 이 둘은 서로 보완적으로 작동하여 비밀번호 없는 인증 환경을 구현합니다.
1. WebAuthn (웹 인증)
WebAuthn(Web Authentication)은 W3C에서 제정한 웹 표준으로, 웹 브라우저와 웹 서버 간에 공개키 기반 인증을 수행할 수 있도록 합니다. 사용자는 웹사이트에 로그인할 때 비밀번호 대신 등록된 인증 장치(예: USB 보안 키, 스마트폰, 생체 인식 기능이 있는 디바이스)를 사용합니다.
주요 기능
- 공개키 암호화 기반 인증: 사용자 등록 시 공개키-개인키 쌍이 생성되며, 개인키는 절대 외부로 유출되지 않습니다.
- 서버 측에 비밀 정보 저장 없음: 서버는 공개키만 저장하고, 개인키는 사용자 장치에 안전하게 보관됩니다.
- 브라우저 내장 지원: 최신 브라우저(Chrome, Firefox, Edge, Safari 등)에서 기본적으로 WebAuthn을 지원합니다.
동작 흐름
- 등록(Registration): 사용자가 새로운 계정을 만들거나 인증 장치를 등록할 때, 클라이언트(브라우저)는 인증 장치에 개인키를 생성하도록 요청하고, 공개키를 서버에 전송합니다.
- 인증(Authentication): 로그인 시, 서버는 인증 도전(challenge)을 보내고, 인증 장치는 개인키로 서명하여 응답합니다. 서버는 공개키로 서명을 검증합니다.
2. CTAP2 (클라이언트-인증자 프로토콜 2)
CTAP2(Client to Authenticator Protocol 2)는 FIDO 얼라이언스에서 개발한 프로토콜로, 클라이언트(예: 브라우저 또는 운영체제)와 외부 인증 장치(예: USB 키, NFC 키, 스마트폰) 간의 통신을 정의합니다. CTAP2는 FIDO U2F의 후속 버전이며, WebAuthn과 함께 FIDO2의 핵심을 이룹니다.
주요 특징
- 다양한 전송 방식 지원: USB, NFC, 블루투스(BLE), 그리고 근거리 무선 통신을 통한 연결을 지원합니다.
- 다중 인증 방법 지원: PIN, 생체 인식, 물리적 버튼 클릭 등 다양한 인증 방식을 조합해 사용할 수 있습니다.
- 계정 간 격리: 각 웹사이트마다 고유한 키 쌍을 생성하여 크로스 사이트 추적이 불가능합니다.
FIDO2의 보안 이점
FIDO2는 기존 인증 방식의 주요 취약점을 해결하는 데 초점을 맞추고 있습니다.
| 보안 위협 |
FIDO2의 대응 방식 |
| 피싱 공격 |
각 사이트에 고유한 공개키를 사용하므로, 가짜 사이트는 유효한 인증을 받을 수 없습니다. |
| 자료 유출 |
서버에는 공개키만 저장되며, 개인키는 절대 서버에 전송되지 않아 유출 위험이 없습니다. |
| 비밀번호 재사용 |
비밀번호를 사용하지 않으므로, 여러 사이트에서 동일한 비밀번호를 쓰는 문제가 사라집니다. |
| 키로깅 |
인증은 장치 내에서 처리되며, 키 입력이 필요 없어 키로깅 공격에 취약하지 않습니다. |
적용 사례 및 지원 환경
FIDO2는 전 세계 주요 기업과 서비스에서 채택되고 있습니다.
주요 지원 서비스
- Google: Google 계정에서 FIDO2 보안 키를 통한 2단계 인증 지원
- Microsoft: Azure AD 및 Microsoft 계정에서 비밀번호 없는 로그인 제공
- Apple: iOS 16 및 macOS Ventura부터 FIDO2 보안 키 지원
- GitHub, Dropbox, Facebook 등도 FIDO2 기반 인증을 도입
지원 브라우저
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Apple Safari (iOS 16 이상)
관련 표준 및 기술
참고 자료
FIDO2는 디지털 보안의 미래를 이끄는 핵심 기술로, 기업과 개인 모두의 온라인 보안 수준을 한 단계 높이는 데 기여하고 있습니다.
# FIDO2
## 개요
**FIDO2**(Fast Identity Online 2)는 사용자의 비밀번호 없이도 안전하고 간편한 온라인 인증을 가능하게 하는 오픈 인증 표준입니다. FIDO2는 비밀번호 의존도를 줄이고, 피싱 공격, 자격 증명 도용, 중간자 공격 등의 보안 위협에 대응하기 위해 개발된 차세대 인증 프로토콜로, 전 세계적으로 주목받고 있습니다. 이 표준은 FIDO 얼라이언스(FIDO Alliance)와 월드와이드웹컨소시엄(W3C)이 공동으로 개발 및 표준화한 것으로, **웹 인증**(Web Authentication, 줄여서 **WebAuthn**)과 **클라이언트 인증**(Client to Authenticator Protocol 2, **CTAP2**)의 두 핵심 구성 요소로 이루어져 있습니다.
FIDO2는 사용자가 하드웨어 키(예: YubiKey), 스마트폰, 생체 인식(지문, 얼굴 인식 등)을 활용해 안전하게 인증할 수 있도록 하며, 기존의 비밀번호 기반 인증 방식의 취약점을 근본적으로 해결하는 데 기여하고 있습니다.
---
## 구성 요소
FIDO2는 두 가지 주요 기술 표준으로 구성되어 있으며, 이 둘은 서로 보완적으로 작동하여 비밀번호 없는 인증 환경을 구현합니다.
### 1. WebAuthn (웹 인증)
**WebAuthn**(Web Authentication)은 W3C에서 제정한 웹 표준으로, 웹 브라우저와 웹 서버 간에 공개키 기반 인증을 수행할 수 있도록 합니다. 사용자는 웹사이트에 로그인할 때 비밀번호 대신 등록된 인증 장치(예: USB 보안 키, 스마트폰, 생체 인식 기능이 있는 디바이스)를 사용합니다.
#### 주요 기능
- **공개키 암호화 기반 인증**: 사용자 등록 시 공개키-개인키 쌍이 생성되며, 개인키는 절대 외부로 유출되지 않습니다.
- **서버 측에 비밀 정보 저장 없음**: 서버는 공개키만 저장하고, 개인키는 사용자 장치에 안전하게 보관됩니다.
- **브라우저 내장 지원**: 최신 브라우저(Chrome, Firefox, Edge, Safari 등)에서 기본적으로 WebAuthn을 지원합니다.
#### 동작 흐름
1. **등록**(Registration): 사용자가 새로운 계정을 만들거나 인증 장치를 등록할 때, 클라이언트(브라우저)는 인증 장치에 개인키를 생성하도록 요청하고, 공개키를 서버에 전송합니다.
2. **인증**(Authentication): 로그인 시, 서버는 인증 도전(challenge)을 보내고, 인증 장치는 개인키로 서명하여 응답합니다. 서버는 공개키로 서명을 검증합니다.
### 2. CTAP2 (클라이언트-인증자 프로토콜 2)
**CTAP2**(Client to Authenticator Protocol 2)는 FIDO 얼라이언스에서 개발한 프로토콜로, 클라이언트(예: 브라우저 또는 운영체제)와 외부 인증 장치(예: USB 키, NFC 키, 스마트폰) 간의 통신을 정의합니다. CTAP2는 FIDO U2F의 후속 버전이며, WebAuthn과 함께 FIDO2의 핵심을 이룹니다.
#### 주요 특징
- **다양한 전송 방식 지원**: USB, NFC, 블루투스(BLE), 그리고 근거리 무선 통신을 통한 연결을 지원합니다.
- **다중 인증 방법 지원**: PIN, 생체 인식, 물리적 버튼 클릭 등 다양한 인증 방식을 조합해 사용할 수 있습니다.
- **계정 간 격리**: 각 웹사이트마다 고유한 키 쌍을 생성하여 크로스 사이트 추적이 불가능합니다.
---
## FIDO2의 보안 이점
FIDO2는 기존 인증 방식의 주요 취약점을 해결하는 데 초점을 맞추고 있습니다.
| 보안 위협 | FIDO2의 대응 방식 |
|----------|------------------|
| **피싱 공격** | 각 사이트에 고유한 공개키를 사용하므로, 가짜 사이트는 유효한 인증을 받을 수 없습니다. |
| **자료 유출** | 서버에는 공개키만 저장되며, 개인키는 절대 서버에 전송되지 않아 유출 위험이 없습니다. |
| **비밀번호 재사용** | 비밀번호를 사용하지 않으므로, 여러 사이트에서 동일한 비밀번호를 쓰는 문제가 사라집니다. |
| **키로깅** | 인증은 장치 내에서 처리되며, 키 입력이 필요 없어 키로깅 공격에 취약하지 않습니다. |
---
## 적용 사례 및 지원 환경
FIDO2는 전 세계 주요 기업과 서비스에서 채택되고 있습니다.
### 주요 지원 서비스
- **Google**: Google 계정에서 FIDO2 보안 키를 통한 2단계 인증 지원
- **Microsoft**: Azure AD 및 Microsoft 계정에서 비밀번호 없는 로그인 제공
- **Apple**: iOS 16 및 macOS Ventura부터 FIDO2 보안 키 지원
- **GitHub, Dropbox, Facebook** 등도 FIDO2 기반 인증을 도입
### 지원 브라우저
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Apple Safari (iOS 16 이상)
---
## 관련 표준 및 기술
- **FIDO U2F**: FIDO2의 전신으로, 2단계 인증에 초점을 둔 프로토콜
- **Passkeys**: FIDO2 기반의 새로운 사용자 인증 개념으로, 기기 간 동기화를 통해 편리한 비밀번호 없는 로그인을 제공
- **OAuth 2.0, OpenID Connect**와의 통합도 가능하여, 기존 인증 인프라와의 연동이 용이함
---
## 참고 자료
- [FIDO Alliance 공식 사이트](https://fidoalliance.org)
- [W3C WebAuthn 표준 문서](https://www.w3.org/TR/webauthn-2/)
- [Google의 FIDO2 지원 안내](https://support.google.com/accounts/answer/9853574)
- [Microsoft FIDO2 문서](https://learn.microsoft.com/ko-kr/azure/active-directory/authentication/concept-authentication-passwordless)
FIDO2는 디지털 보안의 미래를 이끄는 핵심 기술로, 기업과 개인 모두의 온라인 보안 수준을 한 단계 높이는 데 기여하고 있습니다.