FIDO(Fast Identity Online)

FIDO(Fast Identity Online)는 비밀번호 기반 인증의 한계를 극복하고 보다 강력하고 편리한 사용자 인증을 제공하기 위해 만들어진 인증 기술 표준입니다. FIDO는 생체인식(지문, 얼굴 인식, 홍채 인식 등), 보안 키(Security Key), PIN 등 비밀번호를 사용하지 않는 인증 방식을 활용하여 패스워드리스(passwordless) 환경을 구현합니다.

FIDO Alliance는 2012년에 설립되어 전 세계 금융, 보안, IT 기업들이 참여하고 있습니다. Google, Apple, Microsoft, Samsung, Visa 등이 회원으로 활동하며, 웹 표준인 WebAuthn(Web Authentication)을 포함하여 FIDO 프로토콜의 표준화를 이끌고 있습니다.

FIDO

 

---

FIDO 인증 방식의 특징

1. 비밀번호 제거(Passwordless)
• 사용자 인증 시 비밀번호 입력 대신 생체인식(Biometrics), PIN, 하드웨어 보안 키 등을 사용.
• 피싱(Phishing), 크리덴셜 스터핑(Credential Stuffing) 등의 공격을 원천 차단

2. 공개키 기반 인증(PKI, Public Key Infrastructure)
• 사용자 기기(로컬 디바이스)에서 공개키와 개인키를 생성하고, 서버에는 공개키만 저장.
• 개인키는 사용자 디바이스에만 저장되어 외부 유출 위험이 낮음

3. 분산 인증(Decentralized Authentication)
• 계정 정보와 생체 데이터는 중앙 서버에 저장하지 않고 사용자 기기에서만 관리
• 데이터 유출 시 개인정보가 보호됨

4. 다중 요소 인증(Multi-Factor Authentication, MFA)
• 하나의 인증 방식(예: 생체인식)만으로도 안전하지만, 필요 시 FIDO2와 OTP(One-Time Password)를 함께 사용하여 이중 보안 구현 가능.

5. 상호운용성(Interoperability)
• FIDO Alliance가 정의한 표준을 따르는 인증 장치는 다양한 서비스와 기기 간의 호환이 가능.
• WebAuthn은 대부분의 웹 브라우저(Chrome, Safari, Edge 등)와 플랫폼에서 지원.

FIDO 인증 프로토콜의 종류

1. FIDO UAF (Universal Authentication Framework)
• 패스워드리스 인증을 목표로 개발
• 사용자 기기(스마트폰 등)에서 생체인식(지문, 얼굴)이나 PIN을 통해 본인 인증 수행.
• 적용 예시 : 모바일뱅킹 로그인 시 지문 인식

2. FIDO U2F (Universal 2nd Factor)
• “이차 인증(2FA)”을 위한 프로토콜.
• 기존 ID/비밀번호 방식에 보안 키(Security Key)를 추가하여 인증 강화.
• 적용 예시 : Google 계정 로그인 시 YubiKey 같은 하드웨어 키 사용.

3. FIDO2 (WebAuthn + CTAP) (현재 가장 보편적)
• FIDO2는 WebAuthn(Web Authentication API)와 CTAP(Client to Authenticator Protocol)을 포함하는 최신 표준.
• 웹 브라우저와 디바이스가 패스워드 없이 인증 가능.
• 적용 예시: Windows Hello, Apple Face ID를 이용한 웹사이트 로그인.

---

FIDO 인증 과정 흐름

1. 사용자 등록(Registration)
• 사용자가 서비스를 처음 등록할 때 FIDO 인증 디바이스에서 공개키/개인키 쌍을 생성
• 공개키(Public Key)는 서버에 등록하고, 개인키(Private Key)는 디바이스 내부에 안전하게 저장
3. 사용자는 PIN 설정 또는 생체인식(지문, 얼굴)을 등록

2. 인증(Authentication)
• 사용자가 로그인 시도 → 서버가 난수(Challenge) 전송.
• 디바이스는 사용자가 등록한 인증 방식(생체인식, PIN 등)으로 사용자 인증 진행.
• 인증이 완료되면 개인키로 Challenge에 전자서명하여 서버로 전송
• 서버는 등록된 공개키를 사용해 서명을 검증 → 성공 시 로그인 완료

특징: 비밀번호 입력 과정이 없으며, 개인키는 절대 디바이스 밖으로 노출되지 않음

---

FIDO의 보안적 장점

구분	기존 비밀번호	인증 FIDO 인증
인증 방식	사용자 ID/비밀번호	생체인식, PIN, 보안 키
저장 정보	서버에 ID/비밀번호 저장	서버: 공개키, 디바이스: 개인키
공격 취약점	피싱, 크리덴셜 스터핑, 데이터 유출	피싱 및 데이터 유출 방지
사용 편의성	기억 필요, 주기적 변경 필요	기억할 필요 없음, 생체인식으로 간편
규제 준수	추가적 보안 필요(2FA 등)	FIDO2는 PSD2, eIDAS 준수

---

FIDO 적용 사례(금융권 중심)

1. 모바일 뱅킹(Mobile Banking)
• 생체인식 기반 로그인 및 계좌이체 시 PIN 입력 없이 인증.
• KB국민은행, 신한은행, 우리은행 등 다수 금융기관 도입

2. 온라인 결제(E-commerce)
• 비밀번호 입력 없이 FIDO2 인증으로 결제 승인.
• Visa, Mastercard는 WebAuthn 기반 인증을 지원

3. 증권 및 자산 관리(Financial Services)
• 계좌 접속 시 하드웨어 키(FIDO U2F)로 추가 인증
• Robinhood, Interactive Brokers와 같은 해외 증권 플랫폼에서 사용

4. 정부 민원 서비스(Government Services)
• 공공기관 웹사이트 로그인 시 FIDO 기반 본인 인증 적용
• 행정안전부 정부24, 공동인증서 대체 서비스 도입 진행 중

5. 기업 내부 보안(Enterprise Security)
• Google, Microsoft는 사내 네트워크 접근 시 FIDO2 기반 하드웨어 키를 필수화하여 피싱 공격 방어

---

FIDO 도입 시 고려사항(금융권 관점)

1. 사용자 경험(User Experience)
• 금융권에서는 로그인 및 인증 시 사용자가 불편하지 않도록 사용성 테스트 필요.
• 모바일 디바이스(스마트폰) 중심으로 생체인식 지원 여부 확인

2. 컴플라이언스(Compliance)
• 전자금융감독규정, FATF Travel Rule, GDPR, PSD2 등 규제를 준수해야 함.
• 특히 FIDO2 인증은 유럽 PSD2 강력한 고객 인증(SCA) 요건 충족 가능

3. 인프라 확장성(Scalability)
• 향후 다양한 디바이스(PC, 스마트폰, IoT 기기)와의 연동을 고려해 WebAuthn 기반 시스템 구축 필요

4. 인증 수단의 다양성 확보
• 사용자의 디바이스 환경을 고려해 생체인식, PIN, 보안 키 등 다양한 인증 옵션 제공

5. 보안 사고 대응 계획 수립
• 생체인식 데이터는 유출 시 변경이 불가능하므로, FIDO 디바이스 폐기 및 재등록 절차 명확히 마련 필요.

---

FIDO의 미래 전망

1. 패스워드리스(Passworldless) 인증의 확대
• Google, Microsoft, Apple은 패스키(Passkey) 기술을 바탕으로 FIDO2를 적용하여 비밀번호 없는 웹 환경을 구현 중.
2. 금융권 디지털 전환 가속화
• 디지털 뱅킹 및 핀테크 서비스에서 생체인식 기반 인증의 표준으로 자리 잡을 전망.
3. FIDO와 블록체인 융합
• DID(Decentralized Identity) 및 Web3 서비스에서 FIDO 기반 인증 기술 활용 증가.
4. 규제 기관의 관심 증가
• 글로벌 규제 기관이 FIDO를 AML(자금세탁방지) 및 전자서명 인증에 활용 가능성 검토.