# FIDO2

## 개요

**FIDO2**(Fast Online 2)는 사용자의 비밀번호 없이도 안전하고 간편한 인증을 가능하게 하는 오픈 인증 표준입니다. FIDO2는 비밀번호 의존도를 줄이고, 피싱 공격, 자격 증명 도용, 중간자 공격 등의 보안 위협에 대응하기 위해 개발된 국제적인 웹 인증 프로토콜로, 사용자 경험과 보안성을 동시에 강화하는 것을 목표로 합니다. FIDO2는 **W3C(Web Authentication, WebAuthn)** 와 **FIDO Alliance**가 공동으로 개발한 표준으로 구성되며, 현재 전 세계적으로 주요 브라우저와 플랫폼에서 널리 지원되고 있습니다.

FIDO2는 기존의 비밀번호 기반 인증의 취약점을 극복하고, 하드웨어 기반의 강력한 다중 요소 인증(MFA)을 구현할 수 있도록 설계되었습니다. 사용자는 보안 키, 스마트폰, 생체 인식 장치 등 다양한 인증 수단을 통해 안전하게 로그인할 수 있습니다.

---

## 구성 요소

FIDO2는 두 가지 핵심 기술로 구성되어 있습니다:

### 1. Web Authentication (WebAuthn)

**WebAuthn**은 W3C에서 표준화한 웹 API로, 웹 브라우저와 서버 간에 공개키 기반 인증을 수행할 수 있도록 합니다. 사용자는 등록(Register) 과정에서 고유한 공개키-개인키 쌍을 생성하며, 개인키는 절대 외부로 유출되지 않고 인증 장치(예: 보안 키, 스마트폰)에 안전하게 저장됩니다.

- **등록 과정**: 사용자가 웹사이트에 계정을 등록할 때, 클라이언트 장치에서 공개키-개인키 쌍을 생성하고, 공개키를 서버에 전송합니다.
- **인증 과정**: 로그인 시, 서버는 도전 과제(challenge)를 보내고, 클라이언트는 개인키로 서명하여 응답합니다. 서버는 저장된 공개키로 서명을 검증합니다.

### 2. Client to Authenticator Protocol (CTAP)

**CTAP**(Client to Authenticator Protocol)은 로컬 인증 장치(예: USB 보안 키, NFC 토큰, 블루투스 장치)와 클라이언트(예: 브라우저 또는 운영체제) 간의 통신을 정의하는 프로토콜입니다. CTAP은 다음과 같은 두 가지 버전을 지원합니다:

- **CTAP1/U2F**: 초기 FIDO U2F 표준을 기반으로 하며, 2단계 인증에 주로 사용됩니다.
- **CTAP2**: FIDO2와 호환되며, 비밀번호 없는 인증, 자가 등록(self-enrollment), 사용자 확인(user verification) 등을 지원합니다.

CTAP2는 WebAuthn과 결합되어 **완전한 비밀번호 없는 인증**(Passwordless Authentication)을 가능하게 합니다.

---

## 주요 특징

### 비밀번호 없는 인증 (Passwordless Authentication)

FIDO2는 사용자가 비밀번호 없이도 계정에 로그인할 수 있도록 지원합니다. 예를 들어, Windows Hello, Apple Face ID, Android 생체 인식 등을 통해 인증할 수 있습니다. 이는 비밀번호 관리의 번거로움을 줄이고, 비밀번호 재사용, 피싱 공격 등의 위험을 제거합니다.

### 강력한 보안성

- **공개키 암호화 기반**: 각 사이트마다 고유한 키 쌍을 생성하므로, 한 사이트의 키 유출이 다른 사이트에 영향을 주지 않습니다.
- **피싱 방지**: 인증은 도메인 기반으로 이루어지며, 피싱 사이트는 정상 사이트의 도메인을 위조할 수 없기 때문에 공격이 어렵습니다.
- **개인키 보호**: 개인키는 절대 장치 외부로 전송되지 않으며, 하드웨어 보안 모듈(HSM) 또는 신뢰할 수 있는 실행 환경(TREE)에 저장됩니다.

### 사용자 친화성

FIDO2는 복잡한 비밀번호를 기억하거나 2차 인증 코드를 입력할 필요 없이, 생체 인식이나 보안 키 터치만으로 빠르게 인증할 수 있어 사용자 경험을 크게 향상시킵니다.

---

## 지원 환경

FIDO2는 다음과 같은 주요 플랫폼과 브라우저에서 지원됩니다:

| 플랫폼/브라우저 | 지원 여부 | 비고 |
|------------------|-----------|------|
| Google Chrome    | ✅        | WebAuthn 및 CTAP 지원 |
| Mozilla Firefox  | ✅        | WebAuthn 및 CTAP 지원 |
| Microsoft Edge   | ✅        | Windows Hello 연동 |
| Safari           | ✅        | macOS 및 iOS에서 제한적 지원 |
| Android          | ✅        | 안드로이드 7.0 이상 |
| Windows 10/11    | ✅        | Windows Hello 내장 지원 |
| iOS/iPadOS       | ✅        | Face ID/Touch ID 지원 |

---

## 활용 사례

- **기업 보안**: 직원의 원격 접근 시 비밀번호 없이 보안 키나 생체 인식으로 인증.
- **금융 서비스**: 온라인 뱅킹에서 고강도 인증을 통한 보안 강화.
- **소셜 로그인**: Google, Microsoft, Facebook 등이 FIDO2 기반 로그인 옵션 제공.
- **정부 서비스**: 국민 신원 확인을 위한 안전한 디지털 인증 수단.

---

## 관련 표준 및 조직

- **FIDO Alliance**: FIDO2를 포함한 다양한 비밀번호 없는 인증 표준을 개발하는 국제 컨소시엄. 구글, 마이크로소프트, 애플, 아마존 등 주요 기업이 회원으로 참여.
- **W3C (World Wide Web Consortium)**: WebAuthn 표준을 제정하고 유지 관리.
- **NIST (National Institute of Standards and Technology)**: FIDO2를 SP 800-63B에서 강력한 인증 수단으로 인정.

---

## 참고 자료

- [FIDO Alliance 공식 웹사이트](https://fidoalliance.org)
- [W3C Web Authentication Specification](https://www.w3.org/TR/webauthn/)
- [NIST Digital Identity Guidelines (SP 800-63B)](https://pages.nist.gov/800-63-3/)

FIDO2는 디지털 인증의 미래를 이끄는 핵심 기술로, 보안과 편의성의 균형을 실현하며 전 세계적으로 빠르게 채택되고 있습니다.