참석자들은 이 웹캐스트에 참여하여 FIDO 얼라이언스의 UX 워킹 그룹 구성원들이 초기 사용자 온보딩부터 원활한 교차 디바이스 동기화에 이르기까지 대규모로 패스키를 설계하고 배포할 때 중요한 UX 고려 사항을 살펴보는 것을 들었습니다.

Google, Microsoft 및 HID의 연사들은 일반 사용자를 위해 복잡한 보안 개념을 단순화하는 문제를 해결하고 인증의 미래에 대한 귀중한 통찰력을 얻는 방법에 대해 논의했습니다.

연사들은 패스키 채택을 형성하는 주요 UX 결정, 사용자 연구 결과, 디자인 전략, 그리고 FIDO 얼라이언스가 온라인 보안을 강력하고 쉽게 만들기 위해 어떻게 노력하고 있는지에 대한 인사이트를 공유했습니다.

암호 키 생성 및 로그인에 대한 디자인 지침은 https://www.passkeycentral.org/design-guidelines/ 에서 확인할 수 있습니다.

연사 포함:

• 제임스 황, 마이크로소프트
• 미첼 갤러반, 구글
• 아드리안 카스티요, HID

초안은 9월 30일에 발표되었으며 관련 이해관계자로부터 의견을 얻기 위해 노력하고 있다고 BSI는 보도 자료에서 밝혔 습니다.

BSI TR-03188 패스키 서버 지침은 버전 0.9에서 초안으로 제공된다고 BSI는 밝혔습니다. 이 법안은 FIDO2 및 WebAuthn 표준 등의 범위 내에서 초안을 작성했습니다.

모두가 비밀번호를 대체하는 방법을 연구하는 데에는 이유가 있습니다. 추측하기 쉽고 기억하기 어려운 경우가 많으며, 비밀번호 관리자가 있더라도 데이터 유출이 발생할 때마다 변경하는 것은 고통스러운 일입니다. 다행히도 FIDO(Fast Identity Online) 얼라이언스는 웹의 로그인 필드에 이메일 주소나 비밀번호를 입력할 필요가 없는 새로운 인증 기술인 패스키를 개발하여 인기를 얻고 있습니다. 예를 들어, Microsoft는 8월에 인증 앱에서 비밀번호를 삭제 했지만 패스키에 대한 지원은 그대로 두었습니다.

1955년에 설립된 First Credit Union은 60,000명 이상의 회원을 보유한 뉴질랜드의 회원 소유 금융 기관입니다. 이 조직은 포괄적인 온라인 뱅킹 플랫폼을 통해 안전하고 혁신적인 디지털 뱅킹 경험을 제공합니다. 회원은 모바일 앱과 브라우저 옵션을 통해 자신의 계정에 액세스하여 언제 어디서나 재정을 관리할 수 있습니다. 신용 조합은 다양한 회원 기반의 보안과 사용자 경험을 모두 향상시키기 위해 최첨단 인증 기술을 채택했습니다.

경영진 관점

“Authsignal을 통한 FIDO 인증을 구현하는 것은 회원들의 디지털 경험에 획기적인 변화를 가져왔습니다. 안전하고 원활하며 온라인 뱅킹에 대한 신뢰에 대한 새로운 표준을 설정합니다.” – Herb Wulff, First Credit Union 재무 및 에이전시 뱅킹 관리자

비즈니스 과제

진보적인 현대 금융 기관인 First Credit Union은 디지털 혁신을 향한 길을 받아들였습니다. 여정의 일환으로 보안과 사용자 경험 모두에 영향을 미치는 몇 가지 중요한 과제를 확인했습니다.

이러한 과제는 다음과 같습니다.

• 사이버 보안 위험. 이 조직은 가장 일반적인 공격 벡터 중 하나인 암호에 대한 의존도를 줄이고자 했습니다. First Credit Union은 증가하는 보안 위협을 완화하기 위해 피싱 방지 인증 방법을 모색했습니다.
• 사용자 경험 마찰. 기존의 다단계 인증 방법은 로그인 과정에서 마찰을 일으키는 경우가 많습니다. 신용 조합은 다양한 기술적 편안함 수준을 가진 회원들이 원활하고 직관적으로 안전한 액세스를 느낄 수 있도록 하는 것을 목표로 했습니다.
• 플랫폼 간 호환성. 회원은 다양한 장치와 운영 체제에서 플랫폼에 액세스합니다. First Credit Union은 모바일 앱과 웹 브라우저에서 일관되게 작동하는 솔루션이 필요했습니다.
• 통합 복잡성. 새로운 인증 솔루션은 기존 인프라와 원활하게 통합되어야 했습니다. 이 접근 방식은 배포 중에 내부 팀과 구성원의 중단을 최소화합니다.

First Credit Union이 패스키를 선택한 이유

First Credit Union은 몇 가지 기존 인증 방법과 새로운 인증 방법에 대한 철저한 평가를 수행했습니다. 목표는 다양한 회원 기반을 위한 보안, 유용성 및 접근성 사이의 적절한 균형을 찾는 것이었습니다.

전통적인 옵션은 부족했습니다.

팀은 여러 다단계 인증(MFA) 방법을 탐색했지만 각 접근 방식에서 심각한 단점을 발견했습니다. 인증 앱은 보안을 강화할 수 있지만 일회성 코드에 의존하기 때문에 악용될 수 있는 취약점이 있습니다. 또한 회원들이 별도의 앱을 설치하고 관리해야 하므로 복잡성과 마찰이 가중되었습니다. 이메일 매직 링크는 편의성을 제공했지만 사용성 문제와 피싱 및 이메일 가로채기 위험에 대한 취약성을 야기했습니다.

장치 자격 증명은 보다 원활한 경험을 제공했지만 플랫폼 전반에 필요한 표준 기반 상호 운용성이 부족했습니다. 신용 조합은 독립형 생체 인식 인증도 고려했지만, 이러한 솔루션에는 FIDO 표준이 제공하는 강력한 보안 보장과 플랫폼 간 호환성이 부족했습니다.

중요한 통찰력이 나타났습니다: 너무 많은 인증 옵션을 제공하면 특히 인구 통계에 걸쳐 광범위한 기술적 편안함 수준을 고려할 때 회원들에게 혼란을 줄 위험이 있습니다. 단편화된 경험은 좌절감, 지원 오버헤드 및 채택 감소로 이어질 수 있습니다.

FIDO는 다른 사람들이 할 수 없는 것을 제공했습니다.

FIDO 인증은 여전히 피싱에 심각한 취약성을 나타내고 원활한 표준 기반 상호 운용성이 부족한 대안과 차별화되었습니다. 이 기술은 다음과 같은 강력한 이점을 제공했습니다.

피싱 저항은 공격자가 가로채거나 훔칠 수 있는 암호나 OTP와 같은 공유 비밀을 제거합니다. 비밀번호 없는 경험은 회원의 마찰을 줄이는 동시에 온라인 뱅킹에 더 빠르고 안전하게 액세스할 수 있도록 합니다. FIDO2 사양은 다양한 장치와 플랫폼에서 원활한 인증을 보장하여 앱과 브라우저 기반 서비스를 모두 지원합니다.

이 솔루션은 보안 강화와 로그인 프로세스 간소화를 통해 회원의 신뢰와 만족도를 향상시켰습니다. 또한 비밀번호 재설정 및 로그인 문제로 인한 지원 오버헤드를 줄여 팀이 리소스를 보다 효율적으로 할당하고 전반적인 서비스 품질을 향상시킬 수 있었습니다.

구현 개요

First Credit Union은 Authsignal과 제휴하여 FIDO 인증 패스키 인프라를 구현했습니다. 팀은 구조화된 롤아웃 접근 방식을 따랐습니다.

1단계: 내부 테스트 및 검증

조직은 모바일 및 브라우저 플랫폼 전반에 걸쳐 암호 키 통합을 검증하기 위해 엄격한 내부 테스트를 수행했습니다. 이 단계에서는 기술적 안정성과 호환성이 보장되었습니다.

2단계: 회원 교육 및 커뮤니케이션

First Credit Union은 다음을 포함하는 타겟 커뮤니케이션 캠페인을 시작했습니다.

• 패스키 혜택에 대한 명확한 메시지
• 단계별 설정 및 사용 가이드
• 온보딩을 위한 포괄적인 지원 리소스

3단계: 점진적인 분기 네트워크 롤아웃

팀은 지점 네트워크 전반에 걸쳐 단계적으로 패스키를 도입했습니다. 이 접근 방식을 통해 성능 모니터링, 피드백 수집 및 반복적인 개선이 가능했습니다.

4단계: 모니터링 및 최적화

출시 후 활동에는 채택 지표 및 인증 사용 패턴 추적이 포함되었습니다. 회원 피드백은 사용자 경험을 개선하는 데 도움이 되었습니다.

결과 및 영향

First Credit Union은 패스키 출시 이후 인상적인 채택 및 보안 성과를 달성했습니다.

채택 메트릭

• 회원의 58.4%가 새로운 인증 환경을 채택했습니다.
• 이제 전체 인증의 54.5%가 패스키를 사용합니다.
• 23,500명 이상의 회원이 다단계 인증에 등록했습니다.

회원 경험

대부분의 회원은 사용 편의성과 신뢰 향상을 언급하며 긍정적인 피드백을 제공했습니다. 패스키를 사용하면 얼굴 및 지문 인식과 같은 기기 기본 생체 인식을 통해 로그인이 간소화되었습니다. 회원은 모바일 및 웹 플랫폼에서 원활한 경험을 즐길 수 있습니다.

운영상의 이점

조직은 암호 관련 문제로 인한 지원 오버헤드를 줄였습니다. First Credit Union은 피싱 방지 인증으로 보안 태세를 강화했습니다. 이제 인프라는 미래 대비를 위한 글로벌 표준에 부합합니다.

미래 비전

FIDO 인증은 First Credit Union의 장기적인 디지털 보안 전략의 초석 역할을 합니다. 조직은 다음과 같은 확장을 계획하고 있습니다.

• 안전한 트랜잭션 인증: 트랜잭션 승인과 같은 고위험 작업으로 패스키 확장
• 내부 시스템 액세스: 직원 시스템에 대한 FIDO 기반 인증 구현
• 타사 통합: 향후 서비스 통합을 위해 FIDO의 상호 운용성 활용

주요 권장 사항

First Credit Union은 FIDO 구현을 고려하는 조직에 다음과 같은 인사이트를 제공합니다:

1. 사용자 기반 이해: 회원의 장치, 디지털 습관 및 편안함 수준을 평가하여 경험을 적절하게 맞춤화합니다.

2. 경험 단순화: 너무 많은 인증 옵션으로 사용자를 압도하지 마십시오.

3. 올바른 파트너 선택: 패스키 인프라에 대한 전문 지식을 제공하는 신뢰할 수 있는 제공업체와 협력하세요.

4. 명확한 의사소통: 혜택에 대한 명확한 메시지와 간단한 설정 가이드를 통해 사용자를 조기에 교육합니다

5. 철저한 테스트: 회원 대면 배포 전에 플랫폼 전반에 걸쳐 포괄적인 내부 테스트를 수행합니다.

참석자들은 이 웹캐스트에 참여하여 FIDO 얼라이언스 표준 및 인증이 소프트웨어 정의 차량, 자율 주행 기술 및 커넥티드 서비스로 전환하는 자동차 산업을 어떻게 지원할 수 있는지 들어보았습니다. 이러한 전환은 새로운 비즈니스 모델(예: 차량 내 상거래 및 구독 서비스)을 혁신하고 활용할 수 있는 전례 없는 기회를 제공하지만 심각한 사이버 보안 위협과 사용자 경험 문제도 야기합니다.

이 세션은 FIDO 얼라이언스가 최근 발표한 백서인 자동차 산업의 사이버 보안 문제 해결을 기반으로 하며, FIDO 얼라이언스가 패스키, FIDO 디바이스 온보드(FDO), 기존 및 향후 인증 프로그램을 사용하여 이러한 문제를 해결할 수 있는 고유한 위치에 있는 방법을 살펴봅니다.

프레젠테이션 보기:

플레이북을 다운로드하여 다음을 알아보세요.

• 다양한 유형의 패스키 및 조직에 적합한 옵션을 선택하는 방법
• 소규모로 시작하고, 자신 있게 확장하고, 조직 전체에서 패스키 채택을 표준화하는 데 도움이 되는 단계적 배포 전략
• FIDO 얼라이언스의 데이터로 뒷받침되는 패스키의 ROI

피싱 방지 인증은 모든 경우에 적용되는 일률적인 것이 아닙니다. 그것은 여행입니다. 양식을 작성하여 패스키 플레이북 을 받아 시작하세요.

여기에서 에피소드 1을 들어보세요: https://ow.ly/Y2Zl50X0vEJ

인도의 비밀번호 없는 시장은 2024년에 4억 1,100만 달러로 추산되며, 2030년에는 15억 달러 이상에 이를 것으로 예상됩니다. 이는 기업이 더 빠르고 스마트하며 안전한 로그인 경험을 선택하는 방법을 반영합니다. 이러한 추세를 주도하는 요인과 기업이 어떻게 적응하고 있는지 이해하기 위해 indianexpress.com Zoho Corp.의 사이버 솔루션 및 디지털 서명 담당 수석 전도사인 Chandramouli Dorai와 이야기를 나눴습니다.

생체 인식은 고위험 거래에 가장 일반적으로 사용되는 인증 방법으로 선정됩니다. 또한 58.3명의 응답자가 그렇게 나열하는 등 가장 편리한 것으로 평가되었습니다.

늘 그렇듯이 데이터 개인 정보 보호에 대한 우려가 있습니다. 3명 중 1명은 생체 인식 데이터나 디지털 자격 증명이 도난당하거나 위조되어 신원 사기로 이어질 수 있다고 우려합니다. 인증 데이터 도난은 가장 큰 두려움입니다. “많은 사용자는 생체 인증이 널리 구현되었음에도 불구하고 여전히 자신이나 디지털 자산에 충분히 안전하지 않다고 생각합니다.”

BSP는 감독 하에 있는 조직이 2026년 6월 25일까지 사기 관리 및 신원 확인을 강화하도록 요구합니다. 이 지침은 FIDO 표준을 통한 비밀번호 없는 인증과 같은 안전하고 피싱에 강한 방법을 채택할 것을 요구합니다.

이 조치는 국내에서 온라인 사기 및 사기 사건이 증가하는 가운데 나온 것입니다.

“2027년까지 토큰을 사용하는 MFA 트랜잭션의 90% 이상이 IAM 도구에서 기본적으로 지원되는 FIDO 프로토콜을 기반으로 할 것입니다.”

크리스틴 오웬, 1코스모스
Teresa Wu, IDEMIA 공안

추상적인

현재 전 세계 정부 기관은 시민에게 검증 가능한 디지털 자격 증명(VDC) 발급을 포함하는 디지털 ID 전략을 수립하고 구현하기 위해 노력하고 있습니다. 이러한 이니셔티브의 결과로 조직에서는 VDC를 기본 인증 형식으로 사용하는 것에 대해서도 논의하기 시작했습니다. VDC는 빠르고 안전하며 신뢰할 수 있는 기본 인증 메커니즘을 제공하는 FIDO의 패스키와 함께 사용할 수 있는 사용자 신원을 확인하는 데 중요한 부분입니다. 패스키는 신원 확인을 위해 시민의 VDC를 제시한 후에 발급되어야 합니다. 이 백서에서는 시민에 대한 인증을 구현할 때 VDC와 패스키가 공존하는 방법에 대해 설명합니다.

온라인 사용 사례에 대한 디지털 ID 표준( 예: ISO/IEC 18013-7, W3C, IETF 또는 SD-JWT)을 따르는 솔루션이 배포됨에 따라 ID 속성을 확인하기 위해 디지털 ID를 사용하는 것과 사용자가 온라인으로 자신을 인증할 수 있도록 하는 것 사이의 차이점을 인식하는 데 점점 더 혼란이 커질 것으로 예상됩니다.

이 백서는 패스키와 디지털 ID/VDC의 공존에 대해 논의하고 이러한 기술 사용에 대한 모범 사례를 포함하여 이러한 오해를 명확히 하고 혼란을 피하는 것을 목표로 합니다.

관객

정부 기관, 정책 입안자, 신뢰 당사자

1. 검증 가능한 디지털 자격 증명(VDC) 및 패스키

새로운 기술이 계속 등장함에 따라 전문가들은 이러한 솔루션을 함께 사용하는 새로운 방법을 찾고 있습니다. 이 백서에서는 시민에 대한 인증을 구현할 때 검증 가능한 디지털 자격 증명(VDC)과 패스키가 공존해야 하는 방법에 대해 설명합니다. VDC와 패스키는 모두 디지털 세계에서 신원을 보호하기 위해 개발되었습니다. 그러나 최종 사용자에 대한 역할은 다르지만 교차합니다. 다음 섹션에서는 VDC 및 패스키를 소개합니다.

1.1VDC

VDC에는 ID 속성의 전자 버전이 포함될 수도 있고, 암호화로 확인할 수 있는 물리적 자격 증명(예: 운전 면허증, 여권, 기타 식별 정보)의 디지털 표현일 수도 있습니다. 일반적으로 VDC는 진위 여부를 증명하기 위해 암호화 서명이 필요한 W3C Verifiable Credentials Data Model, IETF(Internet Engineering Task Force) Selective Disclosure for JWT(SD-JWT) 또는 ISO/IEC 18013-5/7(모바일 운전 면허증) 표준을 따릅니다. 이러한 표준 모델은 디지털 지갑을 사용하기 때문에 민감한 정보를 공개하기 전에 사용자 승인을 요구하여 개인 정보를 보호할 수 있는 안전하고 휴대 가능하며 즉각적인 확인 메커니즘이 만들어집니다.

VDC의 배포는 현재 전 세계 여러 지역에서 많이 이루어지고 있습니다. 예를 들어, 아시아 태평양 국가에서는 VDC에 대한 아이디어를 수용하고 있습니다. 일본, 한국, 호주와 같은 국가에서는 VDC 간의 상호 운용성을 보장하기 위해 협력하고 있습니다. 호주의 2024년 디지털 ID법은 디지털 ID에 대한 인증 요구 사항을 만들고 다양한 제공업체 간의 신뢰 프레임워크를 강화했습니다. 미국에서는 모바일 운전 면허증(mDL) 운동이 탄력을 받고 있으며 여러 주에서 이미 mDL 프로그램을 구현했거나 시범 운영하고 있습니다. 정부 기관이 VDC를 구축하는 방법에 대한 자세한 내용은 부록을 참조하십시오.

VDC는 실제 사람을 나타내는 PID(개인 ID) 또는 운전 면허증, 특정 범위의 연령 또는 교육 학위와 같은 개인의 속성을 나타내는 문서인 증명된 속성일 수 있습니다. VDC의 유효성은 IAL(Identity Assurance Levels) 또는 LOA(Levels of Assurance)(국가의 디지털 ID 표준에 따라 다름)로 표현할 수 있습니다. PID가 사용되는 경우 정부 기관은 개인의 신원을 확인하는 데 필요한 확인된 정보 유형을 결정할 수 있습니다. 대부분의 경우 개인의 이름, 주소, 생년월일, 출생지, 공식 정부 문서 번호, 전화번호 및 부모 이름과 같은 기타 속성에 대한 정보는 조직을 대신하여 확인을 수행하는 정부 또는 민간 기관이 사용할 수 있는 통제를 통해 개인을 적절하게 식별할 수 있는 강력한 기반을 제공합니다. 현대 기술은 신원 보장을 더욱 강화하기 위해 지문이나 얼굴 캡처와 같은 생체 인식 기록을 추가할 수 있습니다. 유럽 디지털 신원 지갑(EUDI 지갑)은 회원국이 시민 등록 절차에 사용하는 원칙에 따라 PID가 높은 수준의 보증(LoA)이어야 한다고 요구합니다. EUDI 지갑에 대한 자세한 내용은 섹션 5.3 EU VDC 노력 을 참조하십시오. 마찬가지로 미국 디지털 신원 지침 ^[1] 에서는 정부 사용을 위해 IAL2에서 원격 신원 심사를 수행하도록 요구합니다.

VDC는 발급자 URL의 구문, 문서의 범주 및 신뢰 목록(정부 기관이 URL이 주장하는 것과 동일함을 보장하는 인증서를 발급하는 경우)과 같은 기타 표준화된 구문을 정의한 다음 신뢰 당사자(검증자라고도 함)에 제시될 때 문서의 신뢰성을 보장하는 암호화 봉인 을 만들어 문서의 디지털 표현을 보유합니다. 이 W3C Verified Credentials 데이터 모델에서 URL은 신뢰 모델 역할을 합니다.

정부 기관도 다양한 관할권에 걸쳐 명확한 신원 표준과 상호 인정 메커니즘을 기반으로 디지털 신원 지갑 체계를 구축하고 있기 때문에 국제적으로 디지털 신원 지갑을 채택하면 교통 경찰이 다른 국가의 운전 면허증을 검증하거나 은행이 적절한 견제와 균형을 제공하기 위해 VDC를 수락하는 것이 용이해질 것입니다(예: 고객 파악) 거래 중.

^[1] https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

1.2 패스키

비밀번호가 없고 피싱에 강한 인증 메커니즘인 패스키는 개인 정보 보호 인증의 중요한 발전을 나타내며 기존 비밀번호를 보다 안전하고 사용자 친화적인 대안으로 대체하도록 설계되었습니다.

암호 키에는 동기화된 암호 키와 장치 바인딩 암호 키의 두 가지 유형이 있습니다. 동기화된 패스키는 클라우드에 저장되며 여러 장치에서 액세스할 수 있어 편리하고 쉬운 복구를 제공합니다. 반면 장치 바인딩 암호 키는 특정 장치 또는 보안 키에 로컬로 저장되어 보안을 강화합니다. 패스키 및 구현 방법에 대한 자세한 내용은 패스키 센트럴을 참조하세요.

패스키는 기본 설계 원칙으로 인해 피싱 공격에 대한 강력한 저항력을 나타냅니다. 각 패스키는 본질적으로 신뢰 당사자 ID로 식별되는 서비스의 특정 출처에 연결되어 있으므로 합법적이고 의도된 서비스 공급자에서만 인증이 발생할 수 있습니다. 이 출처별 챌린지-응답 메커니즘은 본질적으로 피싱 사이트의 복제에 저항하므로 이러한 공격은 효과가 없습니다.

마찬가지로 중요한 것은 사용자 기밀을 유지하고 추적을 방지하도록 설계된 패스키의 개인 정보 보호 아키텍처입니다. 인증 중에는 개인 또는 생체 인식 데이터가 외부로 전송되거나 공유되지 않습니다. 지문이나 얼굴 인식 확인과 같은 생체 인식 확인 프로세스는 사용자 장치에서 로컬로 수행되므로 민감한 데이터가 사용자의 통제 하에 유지됩니다.

패스키는 각 서비스에 대해 고유한 암호화 키를 생성하고 플랫폼 간에 재사용할 수 없기 때문에 플랫폼 간 추적이 배제되고 공급자가 여러 서비스에서 사용자 활동을 모니터링할 수 있도록 하는 소셜 로그인과 관련된 개인 정보 보호 문제를 피할 수 있습니다. 기존 인증 방법(예: 비밀번호 또는 이중 인증)과 달리 고유한 암호화 키를 사용하면 단일 손상된 계정으로 인해 발생할 수 있는 연쇄 침해 위험을 효과적으로 완화할 수 있습니다. 공유 비밀을 디바이스 바인딩 암호화 키로 대체함으로써 패스키는 실행 가능한 공격 벡터인 피싱을 근본적으로 무력화합니다. 클라우드 기반 메커니즘을 통해 장치 간에 암호 키가 동기화되면 종단 간 암호화를 통해 보호됩니다.

이러한 개인 정보 보호 중심 디자인은 사용자 간의 보안감과 신뢰감을 조성하고 정부 기관이나 서비스 제공업체가 자신의 개인 정보를 추적하거나 오용하지 않는다는 점을 확신시킵니다. 피싱 방지 인증과 개인 정보 보호 원칙을 결합한 패스키는 안전한 사용자 중심 디지털 신원 관리에 대한 중요한 발전을 나타냅니다.

1.3 VDC와 패스키의 교차점

VDC와 패스키는 모두 보안을 강화하고 디지털 상호 작용 중 마찰을 줄입니다. VDC는 자격 및 속성(실제 사용자와의 연결)을 안전하게 표현하는 데 중점을 두는 반면, 패스키는 특히 피싱 방지 인증(사용자가 가지고 있는 것)을 대상으로 합니다. 이 두 기술을 함께 사용하면 서로를 보완하여 디지털 세계 내에서 보안을 강화합니다.

2. 디지털 신원의 핵심 개념

이 섹션에서는 디지털 ID, 인증 및 권한 부여 간의 차이점을 다룹니다. 또한 검증 가능한 디지털 자격 증명의 사용을 향상시키는 방법도 검토합니다.

2.1 확인된 ID vs 인증 vs 권한 부여

디지털 신원은 온라인 거래를 촉진하는 데 중요한 역할을 합니다. 일반적으로 VDC에는 VDC 소유자의 ID를 확인하기 위한 증거로 제시할 수 있는 ID 속성이 포함되어 있습니다. 예를 들어, 개인은 자신의 신원을 확인하고 은행에 금융 계좌를 개설하기 위해 VDC를 사용하여 이름, 생년월일, 주소와 같은 속성을 어설션할 수 있습니다. 은행은 이러한 속성을 사용하여 KYC(Know Your Customer) 또는 AML(Anti-Money Laundering)과 같은 규정을 준수할 수 있습니다.

신원 확인은 신원 증명을 위해 신뢰할 수 있는 문서를 사용하여 온보딩 중에 개인이 누구인지 확인하는 프로세스입니다. 확인된 신원이 설정되면 인증은 재방문 시 개인을 확인하는 데 도움이 됩니다. 전통적으로 암호 또는 이중 인증이 인증에 사용되었지만 패스키는 기존 인증 방법보다 더 안전할 뿐만 아니라 사용자에게 생체 인식을 사용하여 암호화 키를 빠르게 잠금 해제한 다음 인증에 사용할 수 있는 편리함을 제공합니다. 패스키는 제시될 때마다 사용자에 대한 정보를 어설션할 수 있는 VDC와 달리 개인 정보를 보호하며 인증 중에 사용자 속성을 제공하지 않습니다.

VDC는 권한 부여 요청 중에 요청된 ID 특성을 신뢰 당사자에게 전송하는 데 사용할 수 있습니다. ^[1] 이 방법은 검증된 속성 집합을 통해 최종 사용자에 대한 보다 전체적인 관점을 제공하므로 신뢰 당사자의 위험 노출을 줄일 수 있습니다. 그런 다음 신뢰 당사자는 액세스 규칙 및 제시된 속성에 따라 해당 사용자의 액세스에 대해 정보에 입각한 결정을 내릴 수 있습니다.

^[1] 권한 부여는 ID가 인증된 후 사용자에게 올바른 수준의 액세스 권한을 부여하는 프로세스입니다. IAM(Identity and Access Management) 시스템 내의 특정 기능인 권한 부여는 시스템 관리자가 시스템 리소스에 액세스할 수 있는 사용자를 제어하고 클라이언트 권한을 설정하는 데 도움이 됩니다. 액세스 제어는 사용자 ID에 미리 결정된 액세스 권한 집합을 할당하는 데 사용되며 권한 부여 요청을 결정하는 데 도움이 되는 속성 교환 사용이 사이버 보안 업계에서 주목을 받고 있습니다.

검증 가능한 디지털 자격 증명 사용 강화

VDC는 개인이 직접적인 인증 메커니즘 역할을 하지 않고도 ID 속성 또는 권한에 대해 검증 가능한 클레임을 할 수 있도록 설계되었습니다. 특정 서비스에 대해 사용자를 인증하는 인증 방법과 달리 VDC는 발급자, 보유자 및 검증자가 참여하는 분산형 신뢰 삼각형 을 통해 증명된 클레임(예: 생년월일 및 주소)을 공유하는 데 중점을 둡니다. SD-JWT 및 ISO mdoc 와 같은 표준에서는 사용자가 자격 증명의 특정 클레임(예: 운전 면허증의 연령)을 공유할 때 원본 문서의 무결성을 암호화로 입증해야 하므로 VDC는 개인 정보 보호를 염두에 두고 설계되었습니다. 사용자는 VDC에 대한 소유권을 유지하므로 중앙 집중식 기관에 의존하지 않고 플랫폼 전반에 걸쳐 자격 증명을 제시할 수 있습니다. 이러한 유연성 덕분에 VDC는 신원 증명이 필요한 시나리오에 이상적입니다.

패스키는 인증자를 특정 도메인에 바인딩하는 피싱 방지 인증 방법을 제공합니다. 패스키는 인증 시 개인 식별 정보(PII) 또는 유사한 정보를 전달하지 않으므로 사용자의 개인 정보를 보호합니다. 그러나 VDC는 신뢰 당사자가 요청하고 보유자가 동의한 경우 불필요한 PII를 전달할 수 있습니다. 예를 들어, 악의적인 행위자는 은행의 신원 확인 포털을 사칭하고 VDC에서 사용자의 PII를 캡처하고 사용자의 PII를 악용할 수 있습니다. 암호화 서명은 자격 증명 무결성을 보장하지만 상황별 오용을 해결하지 않아 현재 표준의 격차를 강조합니다. 따라서 사용자 자격 증명 및 속성에 VDC를 활용하는 것이 좋습니다.

이러한 위험에도 불구하고 VDC는 높은 보증 프로세스에 점점 더 많이 채택되고 있습니다.

• 대학은 VDC를 사용하여 학업 기록과 과외 활동 참여를 확인하여 등록을 간소화할 수 있습니다.
• 은행은 문서 확인(예: 여권), 생체 인식 활체 확인, AML 및 정치적 노출자(PEP) 심사를 결합하여 eKYC(전자 고객 파악)를 위해 VDC를 사용하여 원격으로 고객을 온보딩할 수 있습니다.
• VDC는 국경 간 금융 이체 또는 의료 라이센스와 같이 엄격한 신원 보증이 필요한 거래에서 사기를 완화합니다. 예를 들어, 셀카 확인 및 문서 중심 확인은 고부가가치 계약 중에 사용자의 물리적 존재를 보장합니다.
• 국경 간 교육에서 VDC를 사용하면 유학생 자격 증명을 즉시 확인할 수 있어 관리 지연과 사기 위험이 줄어듭니다.

그러나 이러한 애플리케이션에는 VDC의 PII 피싱 취약성을 보상하기 위해 추가 보호 장치(예: 다단계 인증, 활성 감지)가 필요한 경우가 많습니다.

VDC는 분산형 ID 관리, 특히 등록 및 높은 보증 거래를 위한 혁신적인 잠재력을 제공합니다. VDC를 피싱 방지 인증 메커니즘과 통합하고 상호 운용성 표준을 발전시킴으로써 정부 기관과 조직은 위험을 완화하면서 이점을 활용할 수 있습니다. 생태계가 발전함에 따라 혁신과 보안의 균형을 맞추기 위해서는 정부 기관, 표준 기관 및 업계 이해관계자 간의 협력이 필수적입니다.

3. 주요 고려 사항

VDC 및 패스키는 널리 인정되는 표준에 따라 구축되어 상호 운용성을 촉진하고 다양한 플랫폼과 서비스 전반에 걸쳐 원활한 통합을 제공합니다. 이러한 표준화는 광범위한 채택과 진정으로 상호 연결된 디지털 ID 생태계 구축에 매우 중요합니다.

3.1 개인 정보 보호 고려 사항

개인 정보 보호는 VDC와 패스키 모두에 있어야 하는 핵심 기능입니다. VDC와 패스키를 결합하면 최종 사용자와 신뢰 당사자 모두에게 도움이 됩니다. 이 에코시스템에서 사용자는 자격 증명에 대한 제어를 유지하고 필요에 따라 특성을 선택적으로 공유할 수 있습니다(예: 신뢰 당사자에 사용자로 등록할 때). 신뢰 당사자는 VDC 뒤에 있는 사람이 자신이 말하는 사람일 가능성이 높다고 확신할 수 있습니다.

그러나 앞으로 ID 산업 전체는 디지털 시대에 데이터 개인 정보 보호 및 제어에 대한 우려가 커지고 있음을 해결해야 합니다. VDC는 확인된 자격 증명을 보유하고 공유하는 개인 정보 보호 메커니즘이지만 신뢰 당사자는 최종 사용자에게 응용 프로그램에 등록하는 데 필요한 최소 특성만 요청해야 합니다. 신청 유형과 법률 및 규제 요구 사항에 따라 속성은 이메일 주소와 이름만큼 적거나 확인된 집 주소 및 주민등록번호도 포함할 수 있습니다.

3.2 eIDAS 2.0 규정

유럽 디지털 신원 규정 2.0(eIDAS 2.0) 규정은 EUDI 지갑 내에서 암호 키를 암시적 또는 명시적으로 사용할 수 있는 위치를 설명합니다. EUDI 지갑의 PID는 신뢰 당사자에 대한 초기 인증을 위해 높은 eIDAS LoA와 함께 사용해야 합니다. 이 요구 사항을 충족하기 위해 사용자의 EUDI 지갑에 FIDO 패스키를 등록할 수 있습니다. 그런 다음 암호 키를 사용하여 신뢰 당사자에 대한 가명을 사용하여 반복적으로 인증할 수 있습니다. 이러한 방식으로 패스키는 EUDI 지갑 생태계에서 VDC를 공존하거나 보완할 수 있습니다.

eIDAS 2.0 규정의 섹션 5f.3 ^[1] 에 따르면 매우 큰 온라인 플랫폼은 인증을 위해 EUDI 지갑 사용을 수락하고 용이하게 해야 하지만 “인증이 요청되는 특정 온라인 서비스에 필요한 최소 데이터와 관련하여” 그렇게 해야 합니다. 따라서 eIDAS 2.0을 사용하면 온라인 플랫폼이 정부 발급 자격 증명에 의해 발급되고 연결된 VDC도 수락하도록 요구하지 않고 가명 PID 인증을 지원할 수 있습니다.

따라서 패스키 공급자는 패스키를 발급하고 복원해야 합니다. 패스키 공급자 서비스는 EUDI 지갑 생태계의 다양한 엔터티, 즉 클라우드 기반 EUDI 지갑 백엔드, PID 공급자 또는 (적격) 속성 전자 증명((Q)EAA)을 발급하는 적격 신뢰 서비스 공급자(QTSP)에 의해 운영될 수 있습니다.

^[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

클라우드 기반 EUDI 지갑과 패스키 제공업체는 흥미로운 시너지 효과를 발휘합니다. PID 및 (Q)EAA는 FIDO 패스키를 사용하여 사용자 디바이스에서 액세스되는 클라우드 기반 EUDI 지갑 백엔드에서 호스팅됩니다. 사용자의 디바이스를 분실하거나 교체한 경우 사용자는 FIDO 패스키만 복원하면 PID 및 (Q)EAA에 액세스할 수 있습니다. 이를 통해 사용자는 먼저 FIDO 패스키를 디바이스에 다운로드한 다음 FIDO 패스키를 사용하여 클라우드 기반 EUDI 지갑에 즉시 액세스할 수 있으므로 EUDI 지갑을 신속하게 복구할 수 있습니다.

3.3 VDC 및 패스키에 대한 통합 접근 방식의 사용 사례

패스키와 디지털 신원 지갑은 경쟁 기술이 아니라 강력하고 휴대 가능한 신원 생태계를 함께 만드는 보완적인 솔루션입니다. 패스키는 디지털 신원 지갑에 대한 보안 게이트웨이 역할을 하여 무단 액세스에 대한 강력한 방어 기능을 제공하며, 지갑은 고위험 거래 중에 귀중한 데이터를 제공하는 역할을 합니다. 이 조합은 확인된 신원(EUDI 지갑)과 간편한 인증(패스키)을 통합하여 보안을 강화하고 사용자 경험을 간소화합니다.

아마도 가장 중요한 것은 이 조합을 통해 재사용 가능한 ID를 생성할 수 있다는 것입니다. 사용자는 자신의 신원을 한 번 증명한 다음 여러 서비스에서 동일한 VDC를 재사용할 수 있으므로 높은 보안 표준을 유지하면서 디지털 상호 작용의 마찰을 크게 줄일 수 있습니다. 디지털 신원 및 인증에 대한 이러한 통합 접근 방식의 잠재적 응용 분야는 방대하며 여러 부문에 걸쳐 있습니다.

• 온라인 인증: 전자 상거래(예: 국가 지원 주류 판매점)에서 제한된 제품 구매에 대한 연령 확인은 디지털 지갑에 저장된 확인된 자격 증명을 사용하여 간소화하고 암호로 안전하게 액세스할 수 있습니다.
• 정부 서비스: 이러한 결합된 접근 방식을 통해 세금 신고 시스템 및 기타 정부 혜택에 대한 안전한 액세스를 촉진하여 보안을 강화하는 동시에 사용자 경험을 향상시킬 수 있습니다.
• 의료: 여러 병원에서 처방 의사의 자격 증명을 확인하는 것이 더욱 효율적이 되고 의료 서비스 제공자 간의 환자 기록의 안전한 전송이 간소화될 수 있습니다.
• 교육: 고등 교육 시스템은 계정 탈취를 보다 효과적으로 방지할 수 있으며 학생들은 학업 경력 전반에 걸쳐 그리고 그 이후에도 기록을 전달하는 재사용 가능한 ID를 만들 수 있습니다.
• 금융 서비스: KYC(Know Your Customer) 프로세스를 크게 간소화하고 고위험 거래에 대한 보안을 강화하여 보다 효과적으로 구현할 수 있습니다.

대부분의 사용 사례에서 신뢰 당사자는 VDC를 사용하여 상호 작용 시작 시 구성원을 등록하고 구성원과의 추가 상호 작용을 위해 암호 키를 수락해야 합니다. 구성 요소가 고위험 트랜잭션을 수행하는 경우 신뢰 당사자는 인증 시 VDC에 추가 속성을 요청해야 합니다. 또한 VDC는 암호 키 복구에 사용해야 하고 암호 키는 VDC에 액세스하는 데 사용해야 합니다.

4. 추천

유권자에 대한 기본 인증 형식으로 패스키를 채택하는 정부 기관 및 조직은 향상된 보안과 사용 편의성을 활용할 수 있습니다. 신뢰와 유용성을 보장하려면 특히 암호 키 발급 또는 계정 복구를 위해 확인된 ID가 필요한 시나리오에서 확인된 디지털 자격 증명(VDC)으로 암호 키를 지원해야 합니다. VDC는 높은 수준의 보증을 유지하면서 패스키를 안전하게 복구할 수 있는 강력한 메커니즘을 제공합니다.

이를 효과적으로 구현하려면 IAL(Identity Assurance Level) 요구 사항 및 서비스 내에서 보호되는 데이터의 위험 허용 오차를 기반으로 하는 계층화된 접근 방식이 권장됩니다. IAL 요구 사항이 보통인 서비스의 경우 RP(신뢰 당사자는 다음을 수행해야 합니다).

• 정부 발급 신분증을 읽어 사용자의 신원을 확인합니다.
• 확인된 ID에 연결된 패스키를 생성합니다.
• 이후의 모든 상호 작용에서 재인증을 위해 암호 키를 사용합니다.

유권자에 대한 기본 인증 형식으로 패스키를 채택하는 정부 기관 및 조직은 향상된 보안과 사용 편의성을 활용할 수 있습니다. 신뢰와 유용성을 보장하려면 특히 암호 키 발급 또는 계정 복구를 위해 확인된 ID가 필요한 시나리오에서 확인된 디지털 자격 증명(VDC)으로 암호 키를 지원해야 합니다. VDC는 높은 수준의 보증을 유지하면서 패스키를 안전하게 복구할 수 있는 강력한 메커니즘을 제공합니다.

이를 효과적으로 구현하려면 IAL(Identity Assurance Level) 요구 사항 및 서비스 내에서 보호되는 데이터의 위험 허용 오차를 기반으로 하는 계층화된 접근 방식이 권장됩니다. IAL 요구 사항이 보통인 서비스의 경우 RP(신뢰 당사자는 다음을 수행해야 합니다).

• 정부 발급 신분증을 읽어 사용자의 신원을 확인합니다.
• 확인된 ID에 연결된 패스키를 생성합니다.
• 이후의 모든 상호 작용에서 재인증을 위해 암호 키를 사용합니다.

IAL 요구 사항이 더 높은 서비스의 경우 정부 기관과 FIDO 얼라이언스와 같은 조직 간의 협업이 필수적입니다. 그들은 함께 사용자 개인 정보 보호와 편의성을 유지하면서 패스키가 엄격한 보증 수준을 충족하도록 보장하는 솔루션을 개발할 수 있습니다.

또한 관할권 전반에 걸쳐 IAL에 대한 표준 및 상호 인정 협정이 절실히 필요합니다. 정부 기관은 법률 준수 및 소비자 보호를 위해 특정 서비스에 필요한 IAL 수준을 명시하는 명확한 지침을 수립하기 위해 노력해야 합니다. 이러한 표준은 국경 간 디지털 상호 작용에 대한 상호 운용성과 신뢰를 촉진하기 위해 가능한 한 많은 국가에서 유효한 것을 목표로 해야 합니다.

암호 키를 인증의 기반으로 채택하고 이를 검증된 자격 증명 및 표준화된 IAL 프레임워크와 일치시킴으로써 정부 기관은 보안을 강화하고 사용자 경험을 개선하며 디지털 ID 관리에 대한 글로벌 협력을 촉진할 수 있습니다.

5. 부록

5.1 정부 배포를 위한 검증 가능한 디지털 자격 증명

디지털 신원 환경은 전 세계적으로 상당한 변화를 겪고 있습니다. 이 부록에서는 전 세계 정부 기관이 VDC를 구현하는 방법을 살펴봅니다.

5.2 APAC VDC 노력

아시아 태평양 국가들은 VDC의 아이디어를 수용하고 있습니다. 일본, 한국, 호주와 같은 국가에서는 VDC 간의 상호 운용성을 보장하기 위해 협력하고 있습니다. 호주의 2024년 디지털 ID법 은 디지털 ID에 대한 인증 요구 사항을 만들고 서로 다른 공급자 간의 신뢰 프레임워크를 강화했습니다.

아시아에서는 정부가 발급한 디지털 자격 증명이 빠르게 발전하고 있지만 고르지 않게 발전하고 있습니다. 다양한 경제, 기술, 규제 환경을 반영합니다. 최근의 배포는 안전하고 상호 운용 가능한 시스템을 형성하는 데 있어 표준 기관(예: ISO/IEC 및 W3C)의 발전과 중요한 역할을 모두 강조합니다. 아시아에서는 인도, 싱가포르, 한국과 같은 국가가 강력한 디지털 ID 시스템으로 선두를 달리고 있으며, 호주는 안전하고 상호 운용 가능한 자격 증명을 위해 mDL을 국제 표준과 조화시키고 있습니다.

싱가포르의 SingPass는 원활한 공공 및 민간 서비스 액세스를 위한 벤치마크입니다. 한국은 FIDO 및 ISO/IEC 29115 표준을 통합하여 전자 거버넌스에 디지털 ID를 활용합니다. 일본의 디지털 기관 ^[1] 은 2024년 12월에 출범한 아시아 태평양 디지털 신원 컨소시엄 ^[2] 과 같은 이니셔티브를 통해 개인 번호(마이 넘버) 카드 개선을 추진하고 있습니다.

일본 정부는 2025년 6월 24일부터 iPhone 사용자를 대상으로 mdoc 형식( ISO/IEC 18013-5에 따라 표준화됨)의 디지털 주민등록증(개인 번호 카드/스마트폰의 마이 넘버 카드)을 발행하기 시작했으며, 2026년에는 Android 사용자를 대상으로 발행할 계획입니다. 디지털 주민등록증에는 이름, 생년월일, 주소, 성별, 개인 번호(일본에서는 마이 넘버 라고 함) 등의 신원 정보가 포함됩니다. 목표는 디지털 주민등록증이 대면 및 원격 사용 사례 모두에 대한 다양한 신원 증명 사용 사례에 사용되는 것입니다.

동남아시아에서는 태국의 2022-24 디지털 ID 프레임워크가 1,000만 개의 디지털 ID와 국가 디지털 ID 플랫폼을 목표로 하고 있습니다. 모바일 ID, D.DOPA의 생체 인식에 대해 논의할 때 이 프레임워크의 제작자는 NIST 800-63 및 ISO/IEC 19794 표준을 참조했습니다. ISO/IEC 27001을 준수하는 말레이시아의 MyDigital ID와 사라왁이 계획하고 있는 Sarawakpass는 현금 없는 거래 및 서비스 액세스를 위해 SingPass 를 모방하는 것을 목표로 합니다. 필리핀의 PhilSys 는 실제 카드 지연을 우회하기 위해 디지털 발급에 중점을 두고 6,800만 명을 등록했습니다. 2025년 3월, 대만 디지털 부처는 생체 인증 및 선택적 공개를 사용하여 ID와 라이센스를 저장하기 위한 비필수 모바일 앱인 프로토타입 대만 디지털 신원 지갑 (TW DIW)을 출시했습니다. 샌드박스 시험은 3월에 시작되었으며 12월에는 더 광범위한 테스트가 계획되어 있지만 완전한 디지털 ID 대체는 아니며 의료 데이터 공유는 제외됩니다.

호주와 뉴질랜드는 모바일 운전 면허증을 ISO/IEC 18013-5와 조화시키고 있습니다. 호주와 뉴질랜드에서는 mDL에 대한 조화 노력이 국내 및 국제적으로 검증 가능한 안전하고 상호 운용 가능한 디지털 자격 증명을 보장하는 ISO/IEC 18013-5 채택에 중점을 두고 있습니다. 호주에서는 Austroads의 DTS(Digital Trust Service )가 전국적인 확장성을 성공적으로 테스트한 사전 프로덕션 버전으로 선두를 달리고 있습니다. 2019년 이후 450만 명의 사용자를 보유한 뉴사우스웨일즈는 앱 기반 mDL을 제공하는 Service NSW 앱을 완전한 규정 준수로 전환하여 실제 카드와 법적 동등성을 보장합니다. 남호주의 mySAGOV 앱에는 표준의 검증 기능이 통합되어 있습니다. 2025-26년 출시를 목표로 하는 DTS는 관할권 간 및 글로벌 검증을 가능하게 하며, 2024년 신원 및 검증 가능한 자격 증명 서밋에서 미국 공항 접근과 같은 용도로 시연되었으며 상호 운용성 프레임워크에 뉴질랜드를 포함합니다. 뉴질랜드는 호주와의 상호 인정 협정을 기반으로 NZTA 앱 기반 디지털 라이선스를 ISO/IEC 18013-5에 맞추고 있습니다.

5.3 EU VDC 노력

유럽에서는 2024년 5월에 발효된 유럽 디지털 신원 규정 2.0 (eIDAS 2.0) 규정이 유럽 연합 전역에서 디지털 신원 관리 방식에 중추적인 변화를 가져왔습니다. 이 업데이트된 프레임워크는 EU 시민에게 회원국 전체의 공공 및 민간 서비스에 액세스할 수 있는 안전하고 상호 운용 가능한 디지털 ID 솔루션을 제공하는 것을 목표로 하는 유럽 디지털 신원 지갑(EUDI 지갑)을 도입합니다.

EUDI 지갑은 eIDAS 2.0 규정 ^[3] 의 초석이며 모든 EU 시민에게 무료로 제공됩니다. EUDI 지갑의 목적은 EU 시민이 온라인 및 오프라인 리소스에 액세스할 때 자신의 신원을 증명하거나 전체 신원을 공개하지 않고 특정 개인 속성을 제시할 수 있도록 하는 것입니다. EUDI 지갑은 모바일 운전 면허증, 결제, 공공 서비스 이용 및 은행 계좌 개설과 같은 사용 사례에 사용할 수 있습니다.

EUDI 지갑 아키텍처는 EUDI 지갑에서 사용할 형식과 프로토콜을 지정하는 유럽 디지털 신원 지갑 아키텍처 및 참조 프레임워크(ARF)에 설명되어 있습니다. 각 EUDI 지갑은 높은 eIDAS LoA(보증 수준)에 등록되는 개인 신분증(PID)으로 부트스트랩됩니다. PID 외에도 사용자는 사용자의 신원과 신뢰 당사자에 대한 클레임을 증명할 수 있는 추가 (Q)EAA를 추가할 수 있습니다.

ARF는 다음 형식이 PID 및 (Q)EAA에 적합하다고 지정했습니다.

• ISO/IEC 18013-5 모바일 운전 면허증(mDL)
• W3C 검증 가능한 자격 증명 데이터 모델 v1.1
• IETF SD-JWT 기반 검증 가능 자격 증명(SD-JWT VC)

또한 국제민간항공기구(ICAO) 디지털 여행 자격 증명(DTC)은 EUDI 지갑을 통해 (Q)EAA로 사용할 수도 있습니다.

5.4 미국 VDC의 노력

미국에서는 모바일 운전 면허증(mDL) 운동이 탄력을 받고 있으며 여러 주에서 이미 mDL 프로그램을 구현했거나 시범 운영하고 있습니다. eIDAS 2.0의 중앙 집중식 접근 방식과 달리 미국의 이니셔티브는 업계 협력과 함께 개별 연방 기관 및 주 노력에 의해 주도되어 보다 유기적으로 개발되고 있습니다. 이러한 발전은 점점 더 디지털화되는 세상에서 강력한 사용자 중심 디지털 ID 솔루션의 필요성에 대한 인식이 높아지고 있음을 반영하지만, 다양한 규제 및 기술 경로를 통해 이 목표에 접근하고 있습니다.

미국 주에서는 유권자에게 신분증과 운전면허증을 제공하므로 mID 및 mDL을 만드는 책임은 각 주에 있습니다. 따라서 미국에서 mDL의 개발 및 구현은 여러 주에 걸쳐 점진적이고 다양한 과정이었습니다. ^[4] 현재 미국 주의 약 3분의 1만이 mDL을 제공하지만, 많은 주에서는 원격 거래를 개선하고, 신원 사기를 줄이고, 정부 서비스와 민간 부문 서비스 모두에 대한 디지털 신원 확인을 강화하는 데 있어 mDL의 잠재적 이점을 인식하면서 추진하고 있습니다.

미국 교통안전국(TSA)은 VDC(예: 모바일 운전 면허증)가 항공 보안 및 운영에 미치는 잠재적 영향을 평가하고 있습니다. TSA는 자격 증명 인증 기술 2(CAT-2) 시스템을 사용하여 TSA 검문소에서 주에서 발급한 모바일 운전 면허증 수락을 포함한 디지털 신원 기능을 통합하여 개인의 신원을 안전하고 원활하게 확인하는 방법을 제공합니다. 현재 TSA는 15개 참여 주에서 모바일 운전 면허증과 모바일 ID를 허용하고 있습니다. 2024년 10월, TSA는 승객이 TSA 공항 보안 검색대에서 신원 확인을 위해 모바일 운전 면허증(mDL)을 계속 사용할 수 있도록 허용하는 최종 규칙 을 연 방 관보 에 발표했습니다. 이제 REAL ID 시행이 2025년 5월 7일부터 시작되었습니다.

NIST NCCoE(National Cybersecurity Center of Excellence)는 디지털 ID 가이드라인 SP 800-63을 게시하는 것 외에도 mDL 에코시스템 전반의 이해 관계자를 모아 mDL 배포에 대한 표준 및 모범 사례를 홍보하고 mDL 채택 문제를 해결하기 위한 참조 구현을 구축하기 위해 mDL 채택 가속화 프로젝트를 시작했습니다. 첫 번째 NCCoE 사용 사례는 소비자가 금융 계좌를 만들 수 있도록 돕고 금융 기관이 mDL을 사용하여 고객 식별 프로그램/고객 파악(CIP/KYC) 요구 사항을 충족하도록 돕는 데 중점을 둘 것입니다.

미국 연방 정부와 사용자와의 디지털 상호 작용을 위해 기관은 디지털 신원 지갑에 저장된 재사용 가능한 신원에 대한 아이디어를 수용하고 있습니다. 일반적으로 이러한 VDC는 클라우드 기반이며 공공 혜택 등록 또는 세금 신고와 같은 작업을 위해 연방 기관과 상호 작용하기 전에 사용자의 신원을 확인하는 데 사용됩니다. 이러한 VDC는 또한 구성원이 기관의 애플리케이션에 로그인하는 데 사용하는 인증자에 연결됩니다. 연방 공간 내에서 인증자에 연결된 VDC를 CSP(자격 증명 서비스 공급자)라고 합니다.

5.5 영국 VDC의 노력

영국 정부는 2024년 11월 디지털 지갑과 관련된 디지털 신원 서비스의 표준과 역할을 설명하는 DIATF(Digital Identity and Attributes Trust Framework) 감마 버전(0.4) ^[5] 을 발표했습니다. 영국은 2025년에 스마트폰의 새로운 GOV.UK 디지털 지갑 앱을 통해 사용할 수 있는 디지털 운전 면허증을 도입할 계획입니다.

^[1] https://www.digital.go.jp/en

^[2] https://www.apdiconsortium.org/

^[3] 2024년 4월 EU 의회에서 “유럽 디지털 신원 프레임워크 구축에 관한 규정(EU) 2024/1183″(eIDAS 2.0)이 채택되었습니다. eIDAS 2.0 규정은 eIDAS 2.0 규정의 특정 법적 측면을 정교화하는 “시행 행위”라고도 하는 위원회 시행 규정(CIR)으로 확장됩니다. eIDAS 2.0 CIR은 계속 지정됩니다.

^[4] 2025년 3월 현재 mDL을 제공하는 주에는 알래스카, 아칸소, 애리조나, 캘리포니아, 콜로라도, 델라웨어, 조지아, 하와이, 아이오와, 루이지애나, 메릴랜드, 미시시피, 뉴욕, 오하이오, 푸에르토리코, 버지니아, 유타, 웨스트버지니아가 포함됩니다.

^[5] https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

6. 기여자

• 제롬 베콰르트, 액시아드
• 존 브래들리, 유비코
• 팀 카팔리, 옥타
• 세바스찬 엘포스, IDnow
• 후루카와 히데아키, 노무라 연구소, 주식회사
• 윌리엄 피셔, NIST
• 헤나 카푸르, 비자
• 수 쿠먼, 아메리칸 익스프레스
• 매튜 밀러, 시스코
• 제프 니그리니, CertiPath, Inc.
• 조 스칼론, 유비코
• Alastair Treharne, Ingenium 생체 인식 연구소

7. 문서 기록

8. 참고자료

APDI(아시아 태평양 디지털 ID) 컨소시엄. APDI 컨소시엄. https://www.apdiconsortium.org/

디지털 에이전시. 집. 디지털 에이전시. https://www.digital.go.jp/en

FIDO 얼라이언스. 집. 패스키 센트럴. https://www.passkeycentral.org/home

NIST. 디지털 ID – 모바일 운전 면허증(mDL). NIST 국가 사이버 보안 우수 센터. https://www.nccoe.nist.gov/projects/digital-identities-mdl

NIST. (2025년 7월). NIST SP 800-63-4 디지털 ID 지침. NIST. https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

디지털 ID 및 속성 사무국 및 과학, 혁신 및 기술부. (2025년 6월 26일). 영국 디지털 신원 및 속성 신뢰 프레임워크(0.4). 영국 정부. https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

유럽 의회 및 유럽 연합 이사회. (2024년 4월 11일). 유럽 의회 및 이사회의 규정(EU) 2024/1183. EUR-Lex.europa.eu. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

교통안전국. (2024년 10월 7일). TSA는 공항 보안 검색대와 연방 건물에서 모바일 운전 면허증을 계속 수락할 수 있는 최종 규칙을 발표했습니다. TSA입니다. https://www.tsa.gov/news/press/releases/2024/10/24/tsa-announces-final-rule-enables-continued-acceptance-mobile-drivers

iPhone 또는 Android 휴대폰에 다양한 패스키를 생성했다고 상상해 보십시오. 휴대전화를 분실했거나 더 이상 작동하지 않는 경우 기기의 패스키는 어떻게 되나요? 그들은 사라졌나요? 그들을 되찾을 수 있습니까? 두려워하지 마세요. 암호가 계정에 연결되고 어디를 가든 팔로우할 수 있도록 암호를 설정하는 방법이 있습니다.

비결은 애초에 패스키를 생성하는 방법에 있습니다. 패스키를 지원하는 비밀번호 관리자, Google 비밀번호 관리자 또는 Apple의 iCloud 키체인을 사용하면 패스키를 계정에 저장하고 모든 기기에서 동기화할 수 있습니다. 휴대전화를 분실하거나 새 휴대전화로 업그레이드한 경우 로그인하면 패스키를 사용할 수 있습니다. 작동 방식은 다음과 같습니다.

비밀번호는 형편없습니다. 그들은 기억하기 어렵지만 더 나쁜 것은 가장 중요한 계정으로 끊임없이 진화하는 사이버 보안 두더지 때리기 게임을 하는 것입니다. 패스키가 작동하는 곳입니다. 지난 2년 동안 구글, 마이크로소프트, 애플과 같은 거대 기업들이 FIDO 얼라이언스(“전 세계의 비밀번호에 대한 과도한 의존도를 줄이기 위해 만들어진 컨소시엄”)가 10년 넘게 실현하려고 노력해 온 비밀번호 없는 미래를 추진하면서 이른바 ‘비밀번호와의 전쟁’이 시작되었습니다.

좋든 싫든 어느 시점에서 패스키를 생성하라는 메시지가 표시되며 이미 생성했을 가능성이 높습니다. 패스키는 기존 비밀번호보다 사용하기가 훨씬 쉬울 뿐만 아니라 훨씬 더 안전하기 때문에 좋은 일입니다. 다음은 사용에 대해 알아야 할 모든 것입니다.

최근 몇 달 사이 “패스키에 중대한 취약점이 발견되었다”는 보도가 반복적으로 등장하고 있다. 그중 일부는 자신들이 판매하는 보안 솔루션을 홍보하는 데 목적을 둔 일부 기술 벤처의 주장으로, “패스키를 탈취할 수 있다”는 식의 과장된 메시지를 담고 있다. 일부 언론은 이를 선정적으로 다루며 마치 패스키 스펙 자체가 무력화된 것처럼 묘사한다. 그러나 실제로 드러난 것은 패스키의 결함이 아니라, 패스키가 사용되는 운영 환경의 침해와 구현상의 오류다. 패스키 자체는 여전히 설계대로 안전하게 작동한다.

패스키는 공개키 암호 방식을 활용하는 FIDO 인증 크리덴셜(Credentials) 이다. 개인키는 사용자의 기기(스마트폰, FIDO 시큐리티키 등)에서만 생성되고 사용자의 통제하에 보관·관리·사용되고, 서비스에는 대응되는 공개키만 저장된다. 로그인 과정에서 서비스는 난수 값을 사용자 기기에 전송하고, 기기는 바인딩된 개인키로 이 값을 서명한다. 서명 결과는 다시 서비스로 전송되어 공개키로 검증되고, 일치할 경우 로그인은 완료된다. 이 과정은 빠르면서도 안전하게 이뤄지며, 개인키는 절대 서비스로 전달되지 않는다. 이러한 구조는 피싱, 자격 증명 탈취, 재사용 공격, 데이터베이스 유출과 같은 전통적인 공격에 근본적으로 저항한다. 패스키 보안 모델을 깨뜨리려면 개인키를 직접 훔쳐야 하지만 이는 기기 자체를 손상시키지 않는 한 암호학적으로 불가능하다.

실제로 무엇이 문제였던 것인가?

연구자들이 “패스키가 무력화되었다고 주장할 때” 실제 의미하는 것은 패스키 자체가 아니라 패스키가 동작하는 환경이 이미 손상된 경우다. 예를 들어:

• 브라우저 취약점: 악성 확장 프로그램이 세션을 가로채거나 사용자 행위에 영향을 미치는 경우
• 기기 손상: 악성코드가 엔드포인트를 장악한 경우
• 애플리케이션 취약점: 인증 흐름이 잘못 구현된 경우

이러한 경우 공격자는 신규 패스키 등록 절차를 가로채 자신이 제어하는 키를 심을 수 있다. 그러나 이는 기존에 등록된 패스키가 탈취된 것이 아니며, 운영 환경이 무너졌을 때 발생하는 우회 공격일 뿐이다.
또한 구현 단계의 부적절한 설계 역시 큰 위험 요인이다. 많은 서비스가 여전히 패스키 도입 과정에서 비밀번호나 OTP를 대체 인증 수단으로 남겨두고 있으며, 공격자는 이를 악용해 사용자를 더 약한 인증으로 끌어내릴 수 있다. 흔히 “다운그레이드 공격”이라 불리는 방식이 바로 이런 대체 경로에서 비롯된다. 따라서 패스키의 보안성을 약화시키는 것은 스펙이 아니라, 대체 인증 수단을 부적절하게 허용한 구현 방식이다.

자극적 헤드라인에 속지 마라: 패스키는 설계대로 작동한다

패스키를 뒷받침하는 암호학적 구조나 기술 표준에서 약점이 발견되었다는 보고는 없다. 연구자들이 시연하는 것은, 사용자 환경이 이미 침해된 경우 공격자가 원래는 안전한 크리덴셜을 오용하거나, 안전한 인증 절차를 우회할 가능성이 있다는 시나리오다. 이는 의미 있는 보안관련 논의이며, 패스키가 안전한 인증의 최고의 표준이라 하더라도 종합적인 보안 프로그램의 필요성이 사라지지 않는다는 점을 상기시킨다.

보안과 연구에 대한 FIDO 얼라이언스의 약속

FIDO 얼라이언스는 보안 강화를 위한 지속적인 연구와 엄격한 검증, 그리고 회원사 및 보안 커뮤니티와의 협력에 전념하고 있다. 회원사들은 양자내성암호(Post-Quantum Cryptography), 딥페이크와 같은 신종 위협이 보안에 미칠 영향을 적극적으로 탐구하고 있으며, 책임 있는 태도로 연구를 수행하는 보안 전문가들과의 협력을 환영한다. 이러한 건설적 협력은 관련 표준과 인증 프로그램, 그리고 구현 품질을 한층 더 강화한다. 선정적인 헤드라인이 일부 기업의 마케팅에는 도움이 될 수 있지만, 실질적인 보안 성과는 선제적 연구와 개방적이고 책임 있는 대화에서 나온다. 이것이 바로 FIDO 얼라이언스가 추구하는 기본 정신이다.

맺음말

제품, 보안, 규제 준수를 책임지는 모든 관계자에게 패스키 도입과 관련해 의미하는 바는 다음과 같다.

• 기본 원칙에 집중: 패스키는 오늘날 대부분의 침해를 유발하는 피싱, 자격 증명 탈취, 재사용 공격을 근본적으로 제거한다.
• 신중한 도입: 통합 및 배포 계획에 주의를 기울이고, 가이드라인과 모범사례를 따르되 특히 대체 인증 수단 모델에 각별히 유의해야 한다.
• 환경 보안과 병행: 엔드포인트 보안, 브라우저 관리, 애플리케이션 강화 등 전반적인 보안 체계를 지속적으로 강화하는 것이 필수적이다.
• 공인된 시험인증 활용: FIDO 시험인증을 거친 구현을 사용하면 플랫폼과 기기 간 일관성을 보장하고 통합 리스크를 줄일 수 있다.

최근의 논란이 우리에게 보여준 것은 단순하다. 운영 환경이 침해되거나, 대체 인증 수단을 부적절하게 허용할 경우 어떤 인증 체계도 안전할 수 없다. 그러나 이는 패스키의 근본적 가치를 훼손하지 않는다. 패스키는 여전히 사기와 침해 위험을 줄이고, 디지털 신뢰를 강화하는 가장 강력한 수단이다. 한국의 금융, 공공, 통신 업계에서 패스키 도입이 본격화되고 있는 지금, 우리가 기억해야 할 것은 “패스키 자체가 위험하다”는 오해가 아니라, 환경 보안과 올바른 구현이 병행될 때 비로소 패스키의 가치가 극대화된다는 진실이다.

공격자들은 중요한 액세스 권한을 얻기 위한 핵심인 조직의 ID 및 액세스 관리(IAM) 프로토콜을 우회하기 위해 항상 기술을 연마하고 있으며, 인공 지능(AI)은 피싱 공격을 더욱 효과적으로 만들고 있으며, 딥페이크는 보안에 정통한 사람도 속이고 있습니다. 암호 없는 기술과 같은 새로운 인증 조치가 존재하지만 구현 문제로 인해 채택이 방해를 받고 있습니다.

사용자는 비밀번호를 보호해야 합니다.

Microsoft Authenticator 사용자에게는 중요한 기한입니다: 5월 초에 발표된 바와 같이 저장된 모든 비밀번호는 2025년 8월 1일에 앱에서 취소 불가능하게 삭제됩니다. 데이터를 확인하거나 전송하지 않으면 저장된 비밀번호에 영구적으로 액세스할 수 없게 됩니다.

전환은 점진적으로 이루어지며 몇 달 동안 진행되었습니다. 2025년 6월부터 더 이상 앱에 새 비밀번호를 저장하거나 외부 소스에서 가져올 수 없습니다. 이는 수동 입력 및 다른 서비스와의 동기화 모두에 영향을 미칩니다. 2025년 7월에는 자동 완성 기능이 비활성화되어 앱이 더 이상 웹사이트나 앱의 로그인 필드를 자동으로 입력하지 않습니다.

FIDO 얼라이언스의 새로운 연구에 따르면 기업의 87%가 패스키를 채택하고 있지만, 아직 배포하지 않은 기업의 거의 절반이 복잡성과 비용 문제를 주요 장벽으로 꼽고 있습니다. HID의 솔루션은 암호 없는 인증으로의 전환을 간소화합니다.

약간 극단적으로 보일 수도 있지만 사용자로부터 비밀번호를 지우기로 한 결정은 몇 달 동안 이루어졌습니다. Microsoft는 2단계 인증(2FA) 또는 비밀번호 없는 로그인을 사용하여 온라인 계정에 안전하게 로그인할 수 있는 Android 및 iOS용으로 Microsoft에서 개발한 무료 모바일 앱인 Microsoft Authenticator를 서서히 종료하고 있습니다.

FIDO 얼라이언스의 새로운 연구에 따르면 기업의 87%가 패스키를 채택하고 있지만, 아직 배포하지 않은 기업의 거의 절반이 복잡성과 비용 문제를 주요 장벽으로 꼽았습니다. HID의 솔루션은 암호 없는 인증으로의 전환을 간소화합니다.

HID의 비밀번호 없는 인증 로드맵의 다음 단계는 기업이 사용자 경험이나 보안 태세를 손상시키지 않으면서 FIDO를 배포할 수 있는 선택권, 유연성 및 속도를 제공합니다. 확장된 포트폴리오는 엔터프라이즈급 라이프사이클 관리를 통해 피싱 방지 인증을 제공하여 모든 규모의 조직이 확장 가능한 비밀번호 없는 보안에 액세스할 수 있도록 합니다. 이 솔루션은 다양한 작업 환경에서 원활하게 작동하는 동시에 중앙 집중식 가시성과 제어를 통해 IT 지원 요구 사항을 줄입니다.

자, 기기를 도난당하면 해당 암호는 어떻게 됩니까?

FIDO 얼라이언스의 새로운 연구에 따르면 기업의 87%가 패스키를 채택하고 있지만, 아직 배포하지 않은 기업의 거의 절반이 복잡성과 비용 문제를 주요 장벽으로 꼽았습니다. HID의 솔루션은 암호 없는 인증으로의 전환을 간소화합니다.

패스키 이식성은 앱이 비공개로 암호화된 방식으로 자격 증명을 교환할 수 있도록 하는 FIDO 얼라이언 스의 새로운 표준을 기반으로 구축되었습니다. Face ID, Touch ID 또는 기기 비밀번호를 사용하여 전송을 승인합니다. 사용자의 관점에서 볼 때 작동합니다. 그리고 그것이 바로 그래야 합니다.

플랫폼의 인증 시스템을 사용하려면 영국 사용자는 여권과 같은 정부 발급 신분증이나 제3자 신원 확인 회사인 페르소나를 통해 셀카를 제출해야 합니다. 이 접근 방식은 Discord가 최근 영국에서 안면 스캔 및 신원 확인을 출시한 것을 포함하여 다른 플랫폼의 성공적인 구현에 따른 것입니다. 페르소나는 사용자 개인 정보를 유지하기 위해 민감한 데이터를 처리하며, 업로드된 사진이나 신분증을 Reddit과 공유하지 않고 최대 7일 동안 저장합니다.

Reddit은 사용자의 인증 상태와 생년월일만 유지하므로 제한된 콘텐츠에 액세스할 때 반복적인 인증이 필요하지 않습니다. 페르소나는 하위 레딧 활동을 포함한 Reddit 사용자 데이터에 액세스하지 않음을 확인했습니다. 개인 정보 보호에 초점을 맞춘 접근 방식은 얼굴 기반 원격 신원 확인에 대한 FIDO 얼라이언스의 인증 프로그램에서 확립한 원칙과 일치하는 디지털 신원 확인의 새로운 표준과 일치합니다.

자동차 산업이 소프트웨어 정의 차량, 자율 주행 기술, 커넥티드 서비스로 전환함에 따라 사이버 보안이 중요한 관심사가 되었습니다. FIDO 얼라이언스의 이 백서에서는 차세대 차량 보안을 위한 주요 과제와 새로운 솔루션을 간략하게 설명합니다. UN R155, UN R156, ISO/SAE 21434 와 같은 글로벌 규제 프레임워크를 검토하고 비밀번호 없는 인증, 보안 디바이스 온보딩 및 생체 인식 인증에 대한 FIDO 얼라이언스의 표준을 제시합니다.

관객

이 백서에서는 자동차 산업을 다룹니다. 청중에는 자동차 시스템 엔지니어, 자동차 IVI 제품 및 개발 관리자, 자동차 네트워킹 및 차량 내 사이버 보안 엔지니어, 구매와 같은 애플리케이션을 위한 차량 내 서비스 제품 관리자, IT 시스템 사이버 보안 관리자, UN R155/R156 및 ISO/SAE 21434와 같은 글로벌 규제 프레임워크를 지원하려는 엔지니어, 제조 시스템 엔지니어 및 자동차-클라우드 연결 엔지니어가 포함됩니다.

1. 소개

자동차 산업은 소프트웨어 정의 및 자율주행차로의 전환, 첨단 IT와 유사한 아키텍처, 무선(OTA) 업데이트, 차량 내 상거래의 증가 등 혁신적인 변화를 겪고 있습니다. 이러한 변화는 새로운 수익 기회를 제공하는 동시에 심각한 사이버 보안 위협도 가져옵니다.

UN 규정 155, UN 규정 156 및 ISO/SAE 21434와 같은 글로벌 사이버 보안 법률은 새로운 위협으로부터 차량을 보호하는 것을 목표로 합니다. FIDO 얼라이언스는 보안 인증, 디바이스 온보딩 및 생체 인식 인증을 위한 표준을 제공함으로써 중요한 역할을 합니다.

표준을 활용하면 자동차 회사는 일관된 보안을 보장하고, 집단적 전문 지식을 활용하며, 새로운 시장과 수익을 방해할 가능성이 있는 독점 솔루션을 피할 수 있습니다. FIDO 표준은 소비자 서비스, 차량 내 솔루션, 인력 인증, 제조 등 다양한 자동차 애플리케이션에 적용되어 업계 전반에 걸쳐 강력한 사이버 보안을 보장합니다.

이 백서는 자동차 생태계 내 기업들에게 FIDO 얼라이언스가 제공하는 표준 및 서비스에 대한 인사이트와 현재 및 미래의 사용 사례에 대한 검토를 제공합니다.

FIDO 얼라이언스는 FIDO의 프로그램이 목적에 적합한지 확인하고 기업이 사이버 보안 요구 사항을 충족하고 운전자 경험을 개선하며 새로운 기회를 활용할 수 있도록 성공적으로 지원하기 위해 업계 전문가와의 피드백 및 파트너십을 모색하고 있습니다.

2. 자동차 산업의 진화

자동차 산업은 140년의 역사를 가지고 있으며 현재 업계의 모든 측면에 영향을 미치는 변화를 겪고 있습니다.

• 전기화 및 지속 가능성
• 소프트웨어 정의 차량 및 연결성
• 자율 주행 및 보조 운전
• 비즈니스 모델 변화: MaaS(Mobility-as-a-Service) 및 직접 판매
• 공급망 중단 및 지정학적 위험
• 새로운 수익원: 데이터 수익화 및 서비스
• EV 충전 인프라 출시와 에너지 그리드에 미치는 영향
• 변화하는 소비자 기대치와 디지털 경험

이러한 변화는 새로운 수익 기회와 개선된 차량 측면에서 제조업체에 잠재적인 이점을 제공하지만 상당한 사이버 위협도 도입합니다.

차량은 고립된 기계 시스템에서 복잡한 소프트웨어, 하드웨어 및 통신 네트워크를 통합하는 상호 연결된 사이버 물리적 플랫폼(종종 다양한 주체에 의해 생성됨)으로 발전했습니다. 제조업체는 최종 사용자에게 더 나은 차량과 향상된 운전 경험을 제공하기 위해 이러한 시스템을 구현하지만 새로운 “공격 표면”과 관련된 사이버 위협의 위험도 증가시킵니다. 이러한 잠재적 위협은 악의적인 해커부터 국가 자금 지원 행위자에 이르기까지 다양한 형태로 나타납니다. 이러한 위협을 최소화하기 위해 이제 제조업체, 공급업체, 규제 기관 및 기타 업계 이해관계자가 사이버 보안에 집중하는 것이 근본적인 우선 순위입니다.

3. 도전에 맞서고 기회를 포착하세요

자동차 사이버 보안 전문가들은 엄청난 도전 과제를 안고 있습니다. 한편으로는 위협의 증가에 대응하고 소비자를 보호하기 위해 개발된 관련 법률을 설명해야 합니다. 다른 한편으로는 차량 내 상거래, 구독 서비스와 같은 부가가치 차량 기능, 공장 및 사무실을 위한 추가 사이버 보안과 같은 새로운 비즈니스 모델을 지원하는 데 개방적이어야 합니다. 이러한 모든 요구 사항을 충족할 수 있는 간단한 솔루션은 없지만 FIDO 얼라이언스와 같은 조직의 표준 및 인증 프로그램을 활용하면 큰 도움이 될 수 있습니다.

4. 자동차 사이버 보안 및 글로벌 법률

각국 정부와 국제기구는 설계, 운영, 심지어 수명 종료까지 포함한 자동차 수명 주기 전반에 걸쳐 엄격한 사이버 보안 조치를 요구하는 규정을 제정했습니다. 이러한 프레임워크는 새로운 위협으로부터 차량을 보호하고 자동차 생태계 전반에 걸쳐 안전과 신뢰의 기준을 설정하는 것을 목표로 합니다. 전 세계의 주요 예는 다음과 같습니다.

• 유엔 규정 155 및 유엔 규정 156: 차량에 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS)을 통합하도록 의무화합니다.
• ISO/SAE 21434: 글로벌 자동차 사이버 보안 엔지니어링의 기반을 제공하여 전체 차량 수명 주기에 걸쳐 사이버 위험을 관리하기 위한 프로세스를 간략하게 설명합니다.
• 중국의 GB 44495-2024 및 GB 44496-2024: 사이버 보안 관리 시스템(CSMS)을 규제하고 세분화된 방식으로 보안 소프트웨어 업데이트를 관리합니다.
• 인도의 AIS 189 및 AIS 190: UN R155 및 R156에 연합하여 커넥티드 차량의 사이버 보안을 규제합니다.
• 미국: 안전한 차량 개발 프로세스, 사고 대응 계획 및 지속적인 위험 모니터링을 강조하는 NHTSA(National Highway Traffic Safety Administration)의 사이버 보안 모범 사례 발표

이러한 표준에 대해 자세히 알아보려면 부록 A 를 참조하십시오.

5. FIDO 얼라이언스 및 FIDO 표준

FIDO 얼라이언스는 비밀번호에 대한 전 세계의 의존도를 줄이는 데 중점을 둔 사명을 가진 개방형 산업 협회입니다. 이를 위해 FIDO 얼라이언스는 사용자 인증 및 디바이스 온보딩에 대한 표준의 개발, 사용 및 준수를 촉진합니다.

FIDO 얼라이언스:

• 사용자와 장치 모두의 인증을 위해 암호에 대한 의존도를 줄이기 위해 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 집합을 정의하는 기술 사양을 개발합니다.
• 글로벌 규정의 진화를 추적하고 자체 표준을 발전시켜 업계가 조화로운 방식으로 이러한 규정을 충족하고 규정 준수 부담을 줄일 수 있도록 지원합니다.
• 이러한 사양의 성공적인 글로벌 채택을 보장하기 위해 산업 인증 프로그램을 운영합니다.
• FIDO의 글로벌 사용을 촉진하기 위한 교육 및 시장 채택 프로그램을 제공합니다.
• 공식적인 표준화를 위해 공인된 표준 개발 기관에 성숙한 기술 사양을 제출합니다.

FIDO 얼라이언스는 IT, 실리콘, 결제 및 소비자 서비스 분야의 리더들이 대표하는 전 세계 300개 이상의 회원을 보유하고 있으며 Apple, Visa, Infineon, Microsoft, Dell, Amazon 및 Google의 대표로 구성된 이사회를 구성하고 있습니다. 얼라이언스에는 같은 생각을 가진 회원들이 기술 작업 영역을 개발 및 발전시키고 시장별 요구 사항을 조정할 수 있는 다양한 활성 실무 그룹도 있습니다.

FIDO 얼라이언스는 이 분야의 리더들이 기술, 비즈니스 및 시장 요구 사항을 파악하고 협력할 수 있는 자동차 워킹 그룹을 출범할 계획입니다. 자세한 내용은 연락처 양식을 사용하십시오. https://fidoalliance.org/contact/ 또는 이메일 info@fidoalliance.org .

6. 자동차 사이버 보안 규정 준수를 위한 FIDO

주요 자동차 사이버 보안 표준인 ISO/SAE 21434 와 그에 따른 가장 유명한 규정인 UN R155의 요구 사항을 충족하는 것은 강력한 ID 관리와 안전한 장치 온보딩에 달려 있습니다. 이러한 표준은 FIDO 프로토콜 자체를 규정하지는 않지만, FIDO가 실질적인 이점을 제공하는 주요 원칙을 간략하게 설명합니다.

ISO 21434, 특히 위험 평가 및 위협 완화에 관한 8항과 9항은 무단 액세스를 방지하기 위한 전략을 요구합니다. FIDO의 비밀번호 없는 인증은 취약한 자격 증명을 제거하고 커넥티드 차량 시스템에 대한 일반적인 위협인 피싱 및 크리덴셜 스터핑의 위험을 줄임으로써 이 문제를 직접적으로 해결합니다. 또한 안전한 소프트웨어 배포에 대한 10항의 초점은 FIDO 디바이스 온보드(FDO)와 일치하여 인증된 디바이스만 생태계에 참여하도록 보장하고 공급망 공격과 무단 소프트웨어 주입을 완화합니다. FIDO의 기능을 특정 조항에 직접 매핑하는 것은 규정 준수를 달성하는 데 있어 FIDO의 가치를 보여줍니다.

이러한 기본 표준 외에도 FIDO의 접근 방식은 새로운 규정에 폭넓게 적용할 수 있어 OEM에 글로벌 규정 준수 요구 사항을 충족하고 커넥티드 카 생태계 전반에 걸쳐 사이버 보안 탄력성을 강화할 수 있는 경로를 제공합니다. 몇 가지 예로는 중국의 GB 44495-2024 및 인도의 AIS 189가 있는데, 이는 지역 자동차 사이버 보안 표준을 요구하고 소프트웨어 정의 차량(SDV) 시대의 보안 인증과 같은 기능의 필요성을 강화합니다. UN R155와 유사한 중국의 GB 규정은 원격 업데이트의 신뢰성과 무결성을 강조하며, FIDO의 패스키 기반 인증은 액세스 확인에 대한 규정을 준수하는 접근 방식을 제공합니다. 현재 초안 상태인 인도의 규정은 UN R155와 일치하여 차량-클라우드 통신 및 ID 관리 보안의 중요성을 강조합니다.

7. FIDO 표준이 적용될 수 있는 새로운 사용 사례 개요

FIDO 표준은 다양한 시나리오에 적용할 수 있습니다. 이는 고객 대면, 차량 내 내장 또는 제조업체 IT 인프라의 일부일 수 있습니다.

이러한 시나리오 중 일부에 대한 개략적인 개요에는 다음이 포함되지만 이에 국한되지는 않습니다.

• 차량 내 상거래: 여기에는 편리한 주유, EV 충전, 주차 예약, 세차 또는 자동차 제조업체가 관리하는 차량 내 마켓플레이스를 가능하게 하기 위해 차량에 저장 및 관리되는 자격 증명을 사용한 결제가 포함됩니다. 연결된 자동차 사용자를 인증하기 위한 패스키 구현 및 생체 인식 구성 요소 인증은 이러한 사용 사례와 가장 관련이 있습니다.
• 개인화된 서비스에 대한 인증: 이러한 애플리케이션에는 맞춤형 자동차 설정(예: 머리 받침 및 좌석 조정)과 정보 및 엔터테인먼트 콘텐츠에 대한 쉬운 액세스가 포함됩니다.
• 차량 내 솔루션: 이 부문에는 차량-클라우드 연결, 차량 내 ECU 및 구역 컨트롤러 온보딩과 같은 애플리케이션이 포함됩니다. FIDO 디바이스 온보드(FDO)의 구현은 이러한 애플리케이션에 가장 적합합니다.
• 인력 인증: 이러한 애플리케이션에는 개발 사무실, 제조 현장 또는 대리점에서 IT 시스템에 대한 인력 액세스를 제어하는 것이 포함됩니다. 패스키 및 FIDO USB 인증 키의 구현은 이러한 애플리케이션에 가장 적합합니다.
• 제조: 현대 제조 시설은 소프트웨어 정의 제어, AI 및 로봇 시스템으로 이동하고 있습니다. 이러한 솔루션을 안전하게 배포하는 데는 시간과 비용이 많이 드는 경우가 많습니다. FIDO 디바이스 온보드(FDO)를 구현하면 배포를 가속화하고 보안을 강화할 수 있습니다.

8. FIDO 얼라이언스 기술 개요

이더넷이 IT 네트워킹 솔루션으로 시작된 것과 마찬가지로 FIDO 표준은 자동차 애플리케이션을 위해 특별히 만들어지지 않았습니다. 그러나 강력한 사이버 보안이 단순히 바람직한 기능이 아닌 중요하고 기본적인 요소인 현대 차량에서는 매우 관련성이 높습니다. 패스키와 같은 FIDO 표준은 오늘날 자동차 세계에서 그대로 사용되고 있습니다.

자동차 애플리케이션을 위한 FIDO 얼라이언스 기술 포트폴리오는 크게 세 가지 주요 영역으로 분류할 수 있습니다.

패스키: FIDO 얼라이언스는 패스키를 사용한 피싱 방지 로그인을 위한 개방형 표준을 통해 인증을 혁신하고 있습니다. 패스키는 비밀번호 및 SMS OTP보다 더 안전하고, 소비자와 직원이 더 쉽게 사용할 수 있으며, 서비스 제공업체가 배포 및 관리하기가 더 간단합니다. 자동차 제조업체는 다양한 사용 사례에 패스키를 활용합니다.

장치 온보딩: FIDO 얼라이언스는 산업 및 기업과 같은 부문에서 연결된 장치의 안전과 효율성을 보장하기 위해 보안 장치 온보딩(FDO)에 대한 표준을 수립합니다. 자동차 부문에서 제조업체는 전자 제어 장치(ECU)와 구역 컨트롤러 간의 연결 또는 차량 자체와 무선 소프트웨어 업데이트를 용이하게 하는 클라우드 서비스 간의 연결에 이 표준을 적용할 수 있습니다. 이 표준은 Microsoft, Dell, ExxonMobil, Red Hat 등에서 채택되었습니다.

생체 인식 인증: FIDO 얼라이언스는 독립적인 테스트 연구소를 사용하여 생체 인식 센서(예: 홍채 또는 지문 센서)의 성능을 측정하는 특정 애플리케이션에 맞는 인증 프로그램을 제공합니다. 생체 인식 센서는 차량의 점점 더 중요한 구성 요소가 되고 있습니다. 일반적인 사용 사례는 운전석 위치를 자동으로 구성하거나 결제 시스템의 일부로 구성하는 것일 수 있습니다. 이 두 가지 예에서 “우수한 기술 성능”의 정의는 크게 다를 수 있습니다. 삼성, ELAN 마이크로일렉트로닉스, 탈레스, 퀄컴, 미텍, 아이프로브 등은 FIDO 얼라이언스의 생체 인식 부품 인증을 받았습니다.

9. FIDO 얼라이언스 기술 심층 분석

자동차 제조업체와 FIDO 얼라이언스가 협력할 수 있는 방법을 더 잘 이해하기 위해 이 섹션에서는 현재 FIDO 기술과 이러한 기술이 자동차 애플리케이션과 통합될 수 있는 방법에 대해 설명합니다.

9.1 패스키 및 사용자 인증

패스키는 FIDO 표준을 기반으로 하는 FIDO 인증 자격 증명으로, 사용자가 기기 잠금을 해제하는 데 사용하는 것과 동일한 단계(생체 인식, PIN 또는 패턴)로 앱과 웹사이트에 로그인할 수 있도록 합니다. 패스키를 사용하면 사용자는 더 이상 사용자 이름과 비밀번호 또는 추가 요소를 입력할 필요가 없습니다.

패스키는 FIDO 인증 표준의 서명 구현으로, 다양한 서비스에 대한 안전하면서도 간소화된 로그인을 제공합니다. 패스키는 모든 주요 장치 운영 체제 및 브라우저에서 지원되며 Apple, Google, Microsoft, Samsung, Amazon, Walmart, PayPal 및 Visa를 포함한 많은 업계 리더에서 활용되었습니다.

다음 다이어그램에서는 운전자가 클라우드 서비스에 로그인할 때와 같은 차량 내 애플리케이션에 패스키를 사용하는 방법을 보여 줍니다.

그림 1: 자동차의 샘플 패스키 사용

패스키는 공개 키 암호화(PKC)라는 기술에 의존하며, 이 기술에서는 가상 키 쌍(하나는 개인이고 다른 하나는 공개)이 생성됩니다. 각 개인 키(사용자 장치에 저장됨)에는 개인 키로 생성된 서명을 확인하는 데 사용되는 일치하는 공개 키(서버에 저장됨)가 있습니다.

다이어그램에서 사용자(이 경우 드라이버)는 먼저 결제 서비스와 같은 클라우드 서비스에 등록합니다. 등록 과정에서 FIDO 인증자가 개인 및 공개 암호화 키를 생성합니다. 개인 키는 차량의 인포테인먼트 시스템에 안전하게 저장되며 해당 운전자와 연결됩니다. 공개 키는 서비스 공급자의 클라우드에 저장됩니다.

운전자가 서비스에 로그인하려고 하면 차량에서 클라우드 서비스로 요청이 전송됩니다. 그런 다음 서비스는 차량에 인증 요청을 보냅니다. 이 챌린지는 일치하는 개인 키를 보유한 사용자만 성공적으로 승인할 수 있습니다. 요청이 진짜인지 확인하기 위해 운전자는 로그인할 것인지 확인하라는 메시지가 표시됩니다. 이는 일반적으로 지문이나 얼굴과 같은 생체 인식 센서를 통해 달성됩니다. 이 확인이 완료되면 사용자는 서비스에 액세스할 수 있습니다. 이 프로세스에는 여러 FIDO 하드웨어 및 소프트웨어 구성 요소가 사용됩니다.

9.2 패스키 구성 요소

이 예에서는 세 가지 FIDO 인증 구성 요소가 사용됩니다.

FIDO 인증자

FIDO 인증자는 소유권을 확인 및/또는 사용자 신원을 확인하기 위해 FIDO 인증을 수행할 수 있는 소프트웨어 구성 요소 또는 하드웨어입니다. 이 예에서 FIDO 인증자는 자동차 인포테인먼트 시스템에 상주할 가능성이 높습니다.

FIDO 서버

서버는 강력한 인증을 수행하기 위해 FIDO 인증 클라이언트와 함께 활용할 수 있는 프로그래밍 인터페이스를 애플리케이션에 제공합니다. 서버는 클라우드 애플리케이션 내부에 있습니다.

생체 인식 구성 요소

생체 인식 구성 요소는 개인을 식별할 수 있으며 종종 FIDO 인증자를 보완하는 데 사용됩니다. 이러한 센서는 지문, 홍채 및 얼굴을 포함한 다양한 형태를 취할 수 있습니다. FIDO 얼라이언스는 엔드투엔드 성능, 인구통계학적 그룹의 차등 평가, 프레젠테이션 공격 탐지(PAD)를 포함한 생체 인식 하위 시스템의 효율성을 인증합니다.

이 예는 차량 내 사용 사례이지만 공장, 개발 센터 또는 대리점 내부에 동일한 패스키 기술을 적용하여 시스템이 피싱 공격 또는 기타 일반적인 암호 공격 벡터에 대한 복원력을 확보할 수 있습니다.

9.3 차량 내 생체 인식

차량에 생체 인식 부품을 설치하는 것은 시간이 지남에 따라 급격히 증가할 것으로 예상됩니다. 이러한 구성 요소의 성능 요구 사항은 센서 유형 및 대상 응용 분야에 따라 다릅니다. 현재 FIDO 얼라이언스는 지문 및 홍채 센서와 같은 생체 인식 구성 요소에 대한 포괄적인 독립 인증 프로그램을 제공합니다. 견적 요청서(RFQ)에 제품이 FIDO 인증을 받아야 한다고 명시함으로써 자동차 제조업체는 센서 선택을 간소화할 수 있습니다. FIDO 인증에 대한 자세한 내용은 https://fidoalliance.org/certification/ 를 참조하세요.

9.4 FIDO 장치 온보드(FDO)

컴퓨터 장치(예: ECU)가 관리 플랫폼(영역 컨트롤러)에 처음 연결되면 온보딩하고 프로비저닝해야 합니다. 병렬 예는 차량과 클라우드 간의 연결일 수 있습니다. FIDO 디바이스 온보드(FDO)는 이러한 온보딩 경험의 자동화 및 높은 보안 요구 사항을 충족하기 위해 FIDO 얼라이언스 회원이 개발했습니다.

FDO를 사용하면 장치가 먼저 (유선 또는 무선) 네트워크에 연결된 다음 전원이 켜집니다. 그런 다음 디바이스가 관리 플랫폼에 자동으로 안전하게 온보딩됩니다. FDO는 제로 트러스트 아키텍처를 기반으로 하므로 디바이스와 관리 플랫폼 모두 서로에게 암호화 방식으로 인증해야 하므로 높은 수준의 보안을 제공합니다. FDO는 또한 공급망 공격에 대한 복원력을 제공합니다.

Dell, Microsoft, Red Hat, Intel 및 ASRock을 포함한 많은 주요 기술 제공업체가 FDO 솔루션의 구현을 시연했습니다.

10. FIDO 기술 사용 사례 심층 분석

FIDO 얼라이언스는 자동차 산업을 지원하기 위해 FIDO 기술을 적용할 수 있는 몇 가지 사용 사례를 확인했습니다. 이 섹션에서는 추가 대화를 촉진하기 위해 가능한 사용 사례에 대해 설명합니다.

10.1 소비자 사용 사례

역사적으로 많은 사이버 보안 애플리케이션은 “배후”에 있었습니다. 현대 차량에서는 운전자와 승객의 차량 내 경험에 직접적인 영향을 미치고 제조업체에 새로운 수익 기회를 열어주는 새로운 애플리케이션이 점점 더 많아지고 있습니다. 그러한 영역 중 하나는 차량 내 상거래의 출현입니다.

차량 내 상거래를 주도하는 몇 가지 요인이 있습니다.

• 기술 발전
  • 소프트웨어 정의 차량(SDV)을 사용하면 하드웨어 수정 없이 지속적인 업데이트와 새로운 기능을 사용할 수 있습니다.
  • 자율 주행은 생산성 또는 레저 공간으로서 차량에 대한 새로운 사용 사례를 도입합니다.
• 변화하는 소비자 기대
  • 소비자는 스마트폰 및 기타 디지털 장치가 제공하는 것과 유사한 차량 경험을 요구합니다.
• 수익 기회
  • 차량은 디지털 서비스를 위한 플랫폼 역할을 함으로써 자동차 제조업체와 서비스 제공업체에 새로운 수익원을 열어줍니다.

10.2 신원 확인, 인증 및 권한 부여

현대 차량과 관련된 연결성 및 서비스가 증가함에 따라 신원 확인, 인증 및 권한 부여에 대한 새로운 요구 사항이 제기됩니다.

• 신원 확인: 개인의 신원을 확인하는 과정입니다. 여기에는 개인이 제공한 정보를 데이터베이스의 기록이나 운전 면허증과 같은 개인의 물리적 문서와 비교하는 것이 포함될 수 있습니다.
• 인증: 시스템이 시스템, 서비스 및 리소스에 로그인하려고 할 때 자신이 말한 사람인지 확인합니다.
• 권한 부여: 데이터 액세스 또는 작업 수행 측면에서 사용자 액세스를 결정하는 인증 후 단계입니다.

스마트폰 및 웨어러블과 같은 다른 컴퓨팅 장치와 달리 차량에는 가족, 친구, 동료 또는 임차인을 포함한 여러 사용자가 있는 경우가 많습니다. 각 사용자는 서비스에 액세스하거나 고유한 ID 및 자격 증명과 연결된 트랜잭션을 수행해야 할 수 있습니다. 따라서 차량 컴퓨팅 리소스는 사이버 보안이 되어야 하며 타사 서비스 제공업체를 포함한 다양한 사용자 기반에 대한 보안 액세스 및 인증을 관리할 수 있어야 합니다.

10.3 차량 내 상거래 및 인증

차량의 상거래 서비스는 결제와 밀접하게 연결되어 있으므로 강력하고 사용자 친화적인 인증이 필수적입니다. 운전자는 거래가 안전하다는 것을 신뢰해야 하고, 제조업체는 무단 결제에 대한 책임을 최소화하는 것을 목표로 하며, 금융 기관은 강력하고 표준을 준수하는 인증 메커니즘을 요구합니다. 또한 유럽의 결제 서비스 지침 2 (PSD2)와 같은 규제 프레임워크는 카드 소지자가 시작한 거래에 대해 강력한 고객 인증(SCA)을 의무화합니다.

SCA는 세 가지 요소 중 두 가지 이상의 조합이 필요합니다.

• 소유 (예: 사용자가 가지고 있는 것, 예: 열쇠, 전화 또는 차량)
• 고유성 (예: 지문 또는 얼굴 인식과 같은 생체 인식과 같은 사용자)
• 지식 (사용자가 알고 있는 것, 예: PIN 또는 암호)

패스키 인증자가 기본적으로 차량에 통합되지 않은 경우 대체 다단계 구성을 사용하여 인증을 구현해야 합니다. 이는 PIN(지식)을 소유 요소로 차량과 결합하는 것과 같은 소프트웨어 기반 접근 방식이나 지문 센서 또는 얼굴 인식을 통한 생체 인증(고유)과 같은 하드웨어 기반 방법을 통해 달성할 수 있습니다.

차량 내 상거래는 크게 세 가지 주요 영역으로 분류할 수 있습니다.

주문형 기능

• 주문형 기능을 통해 이제 차량에서 사용자는 필요에 따라 특정 기능을 활성화할 수 있습니다. 여기에는 고급 운전자 지원 시스템, 열선 시트와 같은 편의 기능, 성능 업그레이드가 포함됩니다.
• 주문형 기능은 유연한 구독 모델이나 종량제 시스템을 통해 제공될 수 있습니다. 이러한 기능은 고객 만족도를 높이고 제조업체에 추가 수익원을 창출합니다.

차량 관련 서비스

• 차량 관련 서비스는 주유, 전기차 충전, 주차 예약 및 결제, 세차, 통행료 납부 등 원활하게 통합된 서비스입니다.
• 사용자 편의성을 극대화하기 위해 차량은 스마트폰에 의존하지 않고 결제 허브 역할을 합니다.

편의 기능

• 쇼핑, 엔터테인먼트, 교육, 원격 근무 기능 등 편의 기능을 구현함으로써 차량은 사용자 디지털 생태계의 확장이 됩니다.
• 예를 들면 이동 중에 커피나 식료품을 주문하거나, 영화를 스트리밍하거나, 출퇴근 중에 가상 회의에 참석하는 것이 있습니다.
• 이러한 범주는 차량이 더 이상 단순한 교통 수단이 아니라 다양한 서비스 제공업체가 운전자 및 승객과 소통할 수 있도록 하는 플랫폼임을 보여줍니다.

10.4 차량 출입 통제를 위한 운전자 신원 확인

차량 접근에는 높은 수준의 인증이 필요하며 생체 인식 센서에 매우 적합합니다.

• 열쇠 없는 출입 및 점화: 지문 및 얼굴 인식과 같은 생체 인식 시스템은 기존 키를 대체하여 차량 접근 및 점화를 위한 안전한 생체 인식 기반 인증을 제공할 수 있습니다.
• 도난 방지 조치: 차량은 생체 인증을 활용하여 차량 탈취를 포함한 무단 사용이나 도난을 방지할 수 있습니다.
• 차량 및 OEM 서비스: 차량은 차량 서비스에 액세스할 수 있는 방법을 결정할 때 운전자의 권리와 특권을 평가하는 첫 번째 단계로 생체 인식 인증을 사용할 수 있습니다.

10.5 개인화, 차량 관리 및 자율주행차

차량은 공유되는 경우가 많으며 특정 운전자에게 자동으로 적응하는 기능은 중요한 기능입니다. 식별 및 인증에 대한 기준과 임계값은 특정 애플리케이션에 따라 크게 다릅니다. 예를 들어, 자율주행차에 대한 운전석 조정과 승객 승인을 조정합니다.

10.5.1 개인화

• 적응형 차량 내 설정: 생체 인식은 저장된 프로필에 따라 좌석 위치, 실내 온도 조절 장치, 인포테인먼트 기본 설정 및 내비게이션 경로를 조정하기 위해 운전자 또는 승객을 식별할 수 있습니다.
• 적응형 사용량 기반 서비스: 운전자를 원활하게 인증함으로써 자동차 제조업체는 개인 및 상업 시나리오에 대한 사용 기반 보험 또는 임대 및 금융 옵션을 제공할 수 있습니다.
• 차량 관리
• 공유 차량 및 차량: 생체 인식 지원 프로세스는 자동차 공유 또는 차량 시스템에서 사용자 간의 원활한 전환을 보장하여 확인된 각 운전자에 대한 개인 설정을 로드합니다.
• 규정 준수 추적: 디지털 지갑은 규정 준수 문서(예: 면허증 및 차량 검사 보고서)를 보관하여 승인된 사용자에게 규정 준수 속성을 주장하여 서류 작업을 줄이고 감사 준비 상태를 강화할 수 있습니다.

10.5.2 자율주행차

승객 인증 및 신원 확인: 자율주행차에서 생체 인식 시스템은 승객을 인증하여 승인된 사용과 개인화된 경험을 보장합니다.

키 소유가 충분한 인증이 아닌 이유

물리적 키가 사용자 인증의 충분한 형태가 아닌 데에는 몇 가지 이유가 있습니다.

• 물리적 키는 차량에 대한 접근을 확인하지만 이를 사용하는 개인의 신원은 확인하지 않습니다. 차량 공유, 차량 관리 또는 다중 사용자 차량과 같은 시나리오에서는 키 소유에만 의존하면 승인된 사용자와 승인되지 않은 사용자를 구별할 수 없습니다.
• 앞서 논의한 바와 같이 결제 사용 사례의 경우 일부 시장에서는 SCA 규정을 준수해야 합니다. 키는 소유 요소만 충족하므로 보안 결제에 대한 SCA 요구 사항을 충족하지 않습니다.
• 차량 키를 분실, 도난 또는 복제하여 승인되지 않은 개인이 접근할 수 있습니다. 추가 인증 계층이 없으면 차량에서 이루어진 거래가 사기일 수 있습니다.
• 다자간 및 플랫폼 복잡성: 차량 내 상거래에는 OEM(Original Equipment Manufacturer), 서비스 제공업체 및 사용자와 같은 여러 이해관계자가 참여합니다. 인증은 사용자가 모든 플랫폼과 서비스에서 거래할 수 있는 권한이 있는지 확인해야 하며, 단순한 소유를 넘어 신원 확인이 필요합니다.

10.6 전자 시스템 및 제조 사용 사례

10.6.1 차량 내 ECU, 구역 컨트롤러 및 컴퓨팅 온보딩

차량 내 컴퓨팅 수준이 높아짐에 따라 효율적이고 빠른 통신의 필요성이 점점 더 중요해지고 있습니다. 이러한 요구에 부응하여 자동차는 점점 더 IT 중심 아키텍처로 이동하고 있으며, 이더넷은 차량 내부의 구역 컨트롤러와 ECU를 연결하는 데 선택되는 네트워킹 기술이 되고 있습니다.

고속 및 보안 통신 외에도 장치(ECU)와 관리 플랫폼(Zone 컨트롤러)이 서로 암호화되어 인증되도록 해야 합니다. 처음에는 IoT 및 IT 시스템용으로 개발되었지만 FIDO 얼라이언스 팀은 FIDO 디바이스 온보딩(FDO)이 온보딩 프로세스를 자동화하는 빠르고 안전한 방법이 될 수 있다고 믿습니다. FDO는 개방형 표준이므로 자동차 제조업체는 독점 솔루션의 개발 및 유지 관리 비용을 지불하는 대신 규모의 경제 절감 효과를 누릴 수 있습니다.

속도와 보안 외에도 FDO는 공급망 공격 및 회색 시장 위조품에 대한 복원력도 제공합니다.

10.6.2 자동차에서 클라우드로의 온보딩

자동차 기능의 복잡성이 증가하고 자율 주행 기술이 증가함에 따라 현대 자동차는 본질적으로 모든 기능이 작동하기 위해 방대한 양의 소프트웨어가 필요한 바퀴 달린 컴퓨터입니다.

대부분의 소식통은 일반적인 현대 자동차가 약 1억 줄의 코드로 생성된 소프트웨어로 관리된다는 데 동의합니다. 이러한 복잡성의 본질은 차량 제품 출시 시 차량 소프트웨어가 동결될 수 있는 시대가 더 이상 현실적이지 않다는 것을 확인시켜 줍니다.

소프트웨어 업데이트는 이제 현대 자동차의 필수 기능이며 차량을 제조업체의 클라우드에 연결하는 안전하고 효율적인 방법이 필수적입니다.

FDO는 차량이 관리 플랫폼에 온보딩할 수 있는 안전하고 빠른 방법을 제공하여 OTA(Over the Air) 소프트웨어 업데이트를 가능하게 합니다.

그림 2: 차량 내 시스템에 적합한 FIDO

또한 FDO 표준에 대한 새로운 업데이트를 통해 소프트웨어를 베어 ECU 또는 구역 컨트롤러에 안전하게 배포할 수 있어 대리점 수리 및 업그레이드가 크게 단순화될 것으로 예상됩니다.

10.7 인력 인증(패스키/FIDO 키)

수년 동안 IT 업계는 승인된 직원만 시스템에 액세스할 수 있도록 FIDO 인증기를 사용해 왔습니다. 이 분야의 공격과 관련된 위험은 최근 일부 자동차 딜러가 직면한 문제로 인해 강조되었습니다.

그림 3: FIDO 적합성 인력 인증

2024년 6월에 자동차 대리점을 위한 소프트웨어 제공업체에 대한 사이버 공격이 발생하여 북미 지역 수천 개의 대리점 운영이 중단되었습니다. 이 공격으로 인해 자동차 구매자의 지연과 대리점의 총 손실 약 10억 달러 등 큰 혼란이 발생했습니다.

10.8 제조 사용 사례

공장에서는 훨씬 더 유연하고 지능적인 소프트웨어 정의 제어 및 AI 기반 비전 시스템을 사용하는 방향으로 이동함에 따라 모션 제어 및 PLC와 같은 고전적인 고정 기능 제조 기능을 덜 사용하고 있습니다. 이러한 전환으로 인해 많은 수의 범용 컴퓨터가 공장 현장에 도입됩니다.

설치 시 각 서버 또는 산업용 PC를 해당 관리 플랫폼(온프레미스 또는 클라우드)에 온보딩해야 합니다. 이 온보딩 프로세스에서는 일반적으로 숙련된 기술자가 장치에서 자격 증명 또는 암호를 수동으로 구성해야 하며, 이 프로세스는 느리고 안전하지 않으며 비용이 많이 듭니다.

FIDO 디바이스 온보드(FDO)를 사용하면 기술자가 산업용 PC를 연결하고 관리 서버 플랫폼에 자동으로 안전하게 온보딩할 수 있습니다.

다음 다이어그램은 FDO를 사용하여 산업용 PC를 로컬 서버에 온보딩하는 방법을 보여 주며, 로컬 서버는 제조 클라우드에 온보딩됩니다.

그림 4: 자동차 제조에 적합한 FIDO

11. 표준을 사용하는 것이 도움이 되는 이유

FIDO 얼라이언스와 같은 사이버 보안 표준은 단일 기업이 달성하기 어려운 방식으로 가치를 제공합니다. 이러한 합의 기반 표준은 성숙도를 나타내며 신뢰할 수 있는 인증 및 권한 부여에 중요한 업계에 일관성을 제공합니다. FIDO 사이버 보안 표준은 다양한 전문 지식을 기반으로 하며, 변화하는 사이버 보안 환경에 대한 명확성을 제공하며, 인증 기관과 규제 기관이 새로운 법률을 개발할 때 필수적인 지침을 제공합니다.

자동차 산업은 거의 처음부터 표준을 활용해 왔지만 여전히 기업이 자체 독점 솔루션을 개발하려고 시도한 영역이 있습니다. 이러한 솔루션은 제조업체에 가치를 더하는 경우가 거의 없으며 엔지니어링 인재를 개발하고 유지 관리하는 데 시간이 필요합니다.

자동차 컴퓨팅 플랫폼은 시스템의 시스템이기 때문에 자동차 산업은 관련 산업에서 배운 교훈을 활용할 수 있습니다. 인증 프로그램에서 지원하는 개방형 표준은 제품 및 서비스 개발을 간소화하는 데 도움이 됩니다.

FIDO의 표준은 본질적으로 사이버 보안에 중요하지만 경쟁 차별화를 위한 자연스러운 영역이 아닌 인증 요소를 상품화하고 있습니다. 표준을 활용함으로써 공급업체와 제조업체는 이제 더 높은 가치의 서비스에 리소스와 개발 노력을 집중할 수 있습니다.

11.1 FIDO 얼라이언스와의 파트너십 이점

다양한 전문성: FIDO 얼라이언스는 클라우드 플레이어, 신용카드 회사, 제조업체 등 다양한 기업의 숙련된 전문가들을 한자리에 모았습니다.

생태계 응집력: 표준은 생태계 내에서 품질, 보안 및 상호 운용성을 보장하며, 이는 결제와 같은 애플리케이션에 매우 중요합니다.

새로운 위협에 적응: 위협 환경은 항상 진화하고 있습니다. 예를 들어, 양자 컴퓨팅은 일반적으로 사용되는 암호화 기술에 심각한 위협이 됩니다. 양자 컴퓨팅은 비교적 초기 성숙 단계에 있지만, FIDO 얼라이언스와 같은 표준 그룹은 이미 양자 탄력성 솔루션을 만드는 방법을 정의하고 있습니다.

12. 자동차 산업을 위한 FIDO 인증 프로그램

FIDO 얼라이언스의 세계적 수준의 인증 프로그램은 제품이 FIDO 사양을 준수하고 효과적으로 상호 운용되는지 검증하며 보안 특성과 생체 인식 성능을 평가합니다. 전 세계 수백 개 공급업체의 1,200개 이상의 FIDO 인증 제품을 통해 이 프로그램은 공급업체와 구매자를 위한 FIDO의 개방형 표준의 가치를 실현합니다. 제조업체는 RFQ에 FIDO 인증을 지정함으로써 공급업체가 성능이 뛰어나고 안전하며 상호 운용 가능한 제품을 제공할 것임을 확신할 수 있습니다.

자동차 OEM은 이미 인증된 구성 요소(예: 인증기 또는 생체 인식 구성 요소)를 찾아 활용할 수 있으며, FIDO 얼라이언스의 인증 팀은 보다 정확한 생체 인식 테스트를 위해 차량 내 환경을 복제하는 자동차 프로필도 실험실 파트너와 함께 개발하고 있습니다. 얼라이언스는 다음과 같은 공동체를 위해 자동차 부문의 피드백을 구합니다.

• 현재 인증 사양의 격차 해결
• 필요에 따라 사양 업데이트
• 부문별 정책 발행
• 새로운 테스트 절차 구현

FIDO 인증에 대한 자세한 내용은 https://fidoalliance.org/certification/ 를 참조하세요.

13. 결론 및 다음 단계

자동차 산업과 사이버 보안은 빠르게 발전하고 있습니다. FIDO 얼라이언스의 입증되고 확립된 표준 및 인증 프로그램은 광범위한 자동차 산업 애플리케이션에 도움이 될 수 있습니다. 애플리케이션에는 차량 내 서비스 및 결제 인증, 구역 컨트롤러 온보딩, 차량-클라우드 연결, OTA 업데이트, 더 나은 운전자 경험을 위한 생체 인식 활용 등이 포함됩니다.

FIDO 얼라이언스는 자동차 제조업체와 공급업체가 개발 프로세스를 간소화하고, 보안 수준을 높이고, 고객 경험을 개선하고, 비용을 절감하고, 새로운 수익 기회를 창출할 수 있는 경로를 제공합니다.

이 백서에서 다루는 주제에 대한 피드백을 환영하며, FIDO 얼라이언스는 관심 있는 당사자들이 얼라이언스 및 회원들과 소통할 것을 권장합니다. FIDO 얼라이언스 회원은 FIDO 표준에 대해 자세히 알아보고 이러한 표준이 어떻게 발전하는지에 영향을 미칠 수 있는 기회를 가질 수 있습니다. 또한 회원들은 더 넓은 생태계 내에서 선도 기업의 광범위한 사고 리더와 교류할 수 있는 이점을 얻습니다.

참여하려면 https://fidoalliance.org/members/become-a-member/ 를 방문하거나 https://fidoalliance.org/contact/ 의 연락처 양식을 사용하십시오.

14. 부록 A – 자동차 사이버 보안에 적용되는 글로벌 법률

각국 정부와 국제기구는 설계부터 작동, 심지어 수명 종료까지 자동차 수명 주기 전반에 걸쳐 엄격한 사이버 보안 조치를 요구하는 규정을 제정했습니다. 이러한 프레임워크는 새로운 위협으로부터 차량을 보호하고 자동차 생태계 전반에 걸쳐 안전과 신뢰의 기준을 설정하는 것을 목표로 합니다.

유엔 규정 155 및 156: 이는 가장 눈에 띄고 명확하게 정의된 자동차 사이버 보안 규정입니다. 2021년 WP.29 프레임워크에 따라 채택된 UN R155 및 R156 은 전 세계적으로 인정받고 있으며 차량에 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS)을 통합하도록 의무화합니다. 이러한 규정은 대부분의 EU 국가, 일본, 한국, 호주를 포함한 50개 이상의 국가에서 형식 승인을 위한 전제 조건입니다(UNECE, 2021).

ISO/SAE 21434: 이 표준은 글로벌 자동차 사이버 보안 엔지니어링의 기반을 제공하며 전체 차량 수명 주기 동안 사이버 위험을 관리하기 위한 프로세스를 간략하게 설명합니다. 이는 기존 규정을 보완하고 제조업체가 UN R155 (ISO, 2021)와 같은 필수 규정을 준수하도록 지원합니다.

중국의 GB 44495-2024 및 GB 44496-2024: 2024년 여름에 도입된 이 규정은 UN R155 및 R156 을 반영하지만 구체적으로 더 자세히 설명되어 있습니다. GB 44495 는 커넥티드 차량에 대한 사이버 보안 요구 사항을 설명하고 GB 44496 은 보안 소프트웨어 업데이트를 관리합니다. 지능형 커넥티드 차량에 대한 중국의 초점은 자율 주행 및 커넥티드 기술을 선도하려는 야망을 강조합니다(Shadlich, 2024).

인도의 AIS 189 및 AIS 190: 인도는 커넥티드 차량의 사이버 보안을 규제하기 위해 UN R189 및 R190에 부합하는 표준인 AIS 155 및 AIS 156을 도입했습니다. 이러한 프레임워크는 UN R155/R156(Vernekar, 2024)과 유사하게 위험 관리, 모니터링, 보안 통신 프로토콜 및 보안 소프트웨어 업데이트를 강조합니다.

미국: 자동차 사이버 보안에 대한 의무적인 연방 규정은 없지만 미국 고속도로 교통 안전국(NHTSA)은 사이버 보안 모범 사례를 발표했습니다. 이 지침은 안전한 차량 개발 프로세스, 사고 대응 계획 및 지속적인 위험 모니터링을 강조합니다. 이는 ISO/SAE 21434 에 부합하며 커넥티드 차량의 취약성을 완화하기 위한 사전 예방적 접근 방식을 제공합니다(NHTSA, 2022).

문서 기록

15. 기여자

코너 화이트, Daon, Inc
리처드 커스레이크, FIDO 얼라이언스
앤드류 시키아르, FIDO 얼라이언스
니메시 슈리바스타바, 퀄컴 Inc.
드류 반 듀렌, 퀄컴 Inc.
Jens Kohnen, Starfish GmbH &; Co. KG
Tin T. Nguyen, VinCSS JSC
헤나 카푸르, 비자

16. 참고문헌

할리, M. (2024년 3월 28일). EU 사이버 보안법은 포르쉐의 718 박스터와 케이맨을 조기에 죽입니다. https://www.forbes.com/sites/michaelharley/2024/03/28/eu-cybersecurity-laws-kill-porsches-718-boxster-and-cayman-early/ 에서 검색함

ISO. (2021). – ISO/SAE 21434:2021 도로 차량 사이버 보안 엔지니어링. 국제표준화기구. https://www.iso.org/standard/70918.html 에서 검색

Miller, C., &; Valasek, C. (2015년 7월 21일). 해커들이 고속도로에서 지프를 원격으로 죽인다. 유선. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway 에서 검색함

미국 고속도로 교통 안전국(NHTSA). (2022년 9월 7일). 신차에 대한 사이버 보안 모범 사례. NHTSA. https://www.nhtsa.gov/press-releases/nhtsa-updates-cybersecurity-best-practices-new-vehicles 에서 검색

샤들리히, E. (2024년 9월 2일). 중국의 새로운 차량 사이버 보안 표준: GB 44495-2024. https://dissec.to/general/chinas-new-vehicle-cybersecurity-standard-gb-44495-2024/ 에서 검색

유엔 경제학. (2021). UN 규정 No. 155 – 사이버 보안 및 사이버 보안 관리 시스템. 유엔 경제학. https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security 에서 검색함

디트로이트 머시 대학교. (nd). 차량 사이버 보안 엔지니어링 프로그램. https://eng-sci.udmercy.edu/academics/engineering/vehicle-cyber-eng.php 에서 검색함

Vernekar, A. (2024년 10월 10일). 인도 자동차의 미래 확보: AIS-189 및 차량 사이버 보안 이해. https://vayavyalabs.com/blogs/securing-the-future-of-indian-automobiles-understanding-ais-189-and-cybersecurity-for-vehicles/ 에서 검색

월시 칼리지. (nd). 자동차 사이버 보안 과학 학사. https://walshcollege.edu/walsh-undergraduate-degree-programs/bachelor-of-science-in-information-technology/bachelor-of-science-in-automotive-cybersecurity/ 에서 검색

Cybernews의 연구원들이 발견한 이번 침해는 여러 플랫폼에서 로그인 데이터 및 기타 민감한 자격 증명을 수집한 인포스틸러를 사용하여 수행된 것으로 추정됩니다. Cybernews는 성명에서 “이것은 단순한 유출이 아니라 대량 착취를 위한 청사진”이라고 말했습니다. “160억 개 이상의 로그인 기록이 노출됨에 따라 사이버 범죄자들은 이제 계정 탈취, 신원 도용 및 고도로 표적화된 피싱에 사용될 수 있는 개인 자격 증명에 전례 없이 액세스할 수 있습니다.”

새로운 패스키 기능은 앞으로 몇 주 동안 전 세계 사용자에게 제공될 예정입니다. 이 기능을 사용하려면 사용자는 최신 iOS 및 Android 스마트폰에서 흔히 볼 수 있는 FIDO2/WebAuthn 표준을 지원하는 장치가 있어야 합니다. FIDO 얼라이언스와 월드 와이드 웹 컨소시엄(W3C) 간의 협력을 통해 개발된 이러한 표준은 기술 산업 전반에 걸쳐 널리 채택된 비밀번호 없는 인증을 위한 안전한 프레임워크를 제공합니다.

Microsoft의 움직임은 기존의 암호 기반 로그인에서 훨씬 더 큰 변화의 일부입니다. 회사는 이러한 변경 사항이 2단계 인증(2FA) 앱 내에서 자동 완성을 간소화하여 경험을 더 간단하고 안전하게 만들기 위한 것이라고 말했습니다.

지난 몇 년 동안 Microsoft는 패스키, Windows Hello 및 FIDO2 기반 인증과 같은 기술을 사용하여 암호 없는 미래를 추진해 왔습니다. 이러한 방법은 여전히 주요 공격 벡터인 피싱 및 비밀번호 재사용에 대한 더 나은 보호 기능을 제공합니다. 처음에는 번거롭게 느껴질 수 있지만 이러한 변경은 실제로 장기적으로 위험을 줄이는 것을 목표로 합니다.

더 잘 알려진 암호 관리자 중 하나는 이제 다른 암호를 만들지 않고도 사람들에게 사용해 보도록 초대하고 있습니다. 대신 Dashlane은 이제 사람들에게 “FIDO2” 인증 표준을 준수하는 USB 보안 키로만 보호되는 새 계정을 개설하도록 초대하고 있습니다. FIDO는 Fast Identity Online의 약자입니다.

“시도”를 강조하십시오. 이 “얼리 액세스” 프로그램에 대한 회사의 지원 페이지 에는 Dashlane의 모바일 앱이 아닌 Google Chrome 및 Microsoft Edge만 지원한다고 명시되어 있습니다. 현재로서는 더 많은 사람들이 사용하는 FIDO2 보안 형태인 패스키로만 보호되는 계정을 만들 수 없습니다.

이 페이지는 또한 이것이 초기 연습이라는 경고를 강조합니다: “중요: 얼리 액세스 프로그램의 일부로 생성된 계정은 테스트 목적으로만 사용됩니다. 기본 Dashlane 계정을 사용하여 데이터를 저장하고 관리하는 것이 좋습니다.”

수요일, Facebook은 이제 모바일 장치에서 암호 키에 대한 지원을 출시한다고 발표했습니다. 즉, 하나를 사용하여 iPhone 또는 Android 기기에서 Facebook에 로그인할 수 있습니다. 그러나 암호는 실제 Facebook 계정에만 국한되지 않습니다.

Apple이 이번 주 Worldwide Developers Conference에서 시연한 가져오기/내보내기 기능은 iOS, macOS, iPadOS 및 visionOS의 다음 주요 릴리스에서 사용할 수 있습니다. 지금까지 존재했던 패스키의 가장 큰 단점 중 하나를 해결하는 것을 목표로 합니다. 하나의 운영 체제 또는 자격 증명 관리자에서 생성된 암호 키는 대부분 이러한 환경에 바인딩됩니다. 예를 들어 Mac에서 생성된 암호는 동일한 iCloud 계정에 연결된 다른 Apple 기기와 충분히 쉽게 동기화할 수 있습니다. Windows 장치 또는 동일한 Apple 장치에 설치된 전용 자격 증명 관리자로 전송하는 것은 불가능했습니다.

FIDO 얼라이언스는 2025년 6월 6일 벵갈루루에 있는 구글 아난타 캠퍼스에서 연례 인도 워킹 그룹(FIWG) 회원 밋업 및 워크숍을 개최했습니다. 선도적인 기술 회사, 금융 서비스 제공업체, 통신 사업자, 정부 기관, 소매업체 및 플랫폼 제공업체를 대표하는 100명 이상의 참석자가 참석한 이 행사는 인도에서 피싱 방지, 비밀번호 없는 인증 노력을 발전시키기 위한 중요한 포럼 역할을 했습니다.

이 프로그램은 FIWG 의장 니하리카 아로라(구글)와 부의장 타페시 바트나가르(G+D)의 환영사로 시작되었으며, 이어서 FIDO 얼라이언스 회장 샘 스리니바스의 기조 연설이 이어졌습니다. 샘의 세션은 패스키 채택, 인증 및 플랫폼 상호 운용성의 최근 진행 상황을 다루는 글로벌 FIDO 로드맵에 대한 미래 지향적인 개요를 제공했으며, 많은 참석자들이 이날 가장 가치 있는 세션 중 하나로 강조했습니다.

오전 내내 FIWG 회원 조직은 실제 배포에서 도출된 구현 사례 연구를 공유했습니다. Zoho Corporation의 Christopher Clement Soris는 패스키를 엔터프라이즈 워크플로에 통합하는 과정에서 얻은 교훈을 발표하면서 개발자 지원과 사용자 신뢰를 강조했습니다. Times Internet의 Vishu Gupta, Piyush Ranjan 및 Deepak Singal은 UX 과제와 계정 복구 설계에 중점을 두고 소비자 미디어 플랫폼 전반에 패스키를 배포하는 여정에 대한 인사이트를 공유했습니다. Mastercard의 Shantanu Shirke는 FIDO 지원 인증 솔루션의 라이브 데모를 통해 글로벌 금융 프레임워크(GFF)를 선보였고, VinCSS의 Simon Trac Do는 IoT 디바이스의 안전하고 확장 가능한 온보딩을 위한 FIDO 디바이스 온보드(FDO) 프로토콜의 애플리케이션을 소개했습니다.

Niharika Arora, Eiji Kitamura, Neelansh Sahai를 포함한 Google Android 및 Chrome 팀은 패스키에 대한 플랫폼 지원에 대한 업데이트를 제공하여 Android API, Chrome UX 흐름 및 신뢰 당사자를 위한 모범 사례에 대한 최근 개선 사항을 강조했습니다. 이러한 업데이트는 구현자에게 네이티브 OS 기능을 활용하여 원활하고 안전한 로그인을 가능하게 하는 방법에 대한 구체적인 지침을 제공했습니다.

이 행사는 Niharika Arora가 사회를 맡고 Amit Mathur(Ensurity), Rooparsh Kalia(Mercari), Rahul Dani(Yubico), Tom Sheffield(Target) 및 Sam Srinivas(Google)가 출연한 “최신 인증과 레거시 시스템의 만남”이라는 제목의 패널 토론으로 마무리되었습니다. 이 토론에서는 이전 버전과의 호환성, 계정 복구, 위험 절충 등 레거시 인프라가 있는 환경에서 FIDO 기반 인증을 배포하는 데 따른 실질적인 문제를 다루었습니다. 패널리스트들은 솔직한 성찰을 공유하고 단계적 통합 전략과 산업 간 협력의 중요성을 강조했습니다.

2024년 워크숍과 비교했을 때 올해 워크숍은 인식 구축부터 구현 성숙도까지 명확한 진화를 반영했습니다. 작년에는 패스키와 FIDO 표준의 약속을 도입하는 데 주로 초점을 맞췄지만, 2025년 프로그램에서는 운영 통찰력, 기술 실행 및 협업 솔루션이 강조되었습니다.

[하이라이트 영상 보기]

행사 후 설문조사를 통해 참가자들은 상세한 사례 연구의 가치, 플랫폼 팀에 대한 직접 접근, 유사한 문제를 해결하는 동료들과 연결할 수 있는 기회의 가치에 주목하면서 행사의 실용적인 초점에 대해 강한 감사를 표했습니다. 많은 사람들이 대면 형식이 공유된 이해를 촉진하고 추진력을 구축하는 데 특히 효과적이라고 설명했습니다.

인도 전역에서 패스키 채택이 계속 가속화됨에 따라 인도 실무 그룹은 구현 노력을 조정하고 지식을 교환하며 장기적인 배포 성공을 가능하게 하는 데 중요한 플랫폼으로 남아 있습니다. 기여해 주신 모든 연사, 패널리스트, 참석자, 벵갈루루에서 저희를 초대해 주신 Google에 진심으로 감사드립니다. 우리는 2025년과 그 이후에도 이 중요한 작업을 함께 계속할 수 있기를 기대합니다.
*작년 요약 읽기: 2024 FIDO 얼라이언스 인도 워킹 그룹 모임 및 워크숍

새로운 구현을 통해 플랫폼 간에 패스키를 원활하고 안전하게 전송할 수 있어 장치와 애플리케이션 간에 자격 증명을 전송할 때 발생했던 이전 제한 사항이 해결됩니다. 이 시스템은 FIDO Alliance에서 개발한 표준화된 데이터 스키마를 사용하여 iOS, iPadOS, macOS 및 visionOS 26에서 다양한 자격 증명 관리자 앱 간의 호환성을 보장합니다. 비밀번호 기반 공격이 계속 증가하여 업계가 보다 안전한 인증 방법을 추진함에 따라 표준화는 특히 중요합니다.

이러한 USB 또는 NFC 키는 동기화된 장치 암호 키 또는 생체 인식 로그인과 같은 일반적인 암호 없는 방법 이상의 기능을 제공합니다. 여기서는 클라우드에 저장된 자격 증명이나 브라우저 메모리에 의존하지 않습니다. 대신 모든 것은 키를 잡고 PIN이나 지문과 같이 나만 아는 것으로 확인하는 데 달려 있습니다.

하드웨어 보안 키로의 전환은 산업 전반에 걸쳐 추진력을 얻고 있습니다. 예를 들어 Dashlane은 사용자가 자격 증명 볼트를 잠금 해제하기 위해 FIDO2 키를 암호 없는 기본 로그인으로 만들 수 있는 업데이트를 방금 출시했습니다.

이 기사에서는 현재 비밀번호 없는 인증 의 위치, 물리적 키의 차이점, 플랫폼이 복구, 유용성 및 장기 보안과 같은 어려운 부분을 어떻게 처리하는지 살펴봅니다.

“비밀번호 피로는 현실입니다. 사용자는 복잡한 문자열을 기억하지 않고도 더 빠르고 원활한 인증 방법을 요구합니다”라고 HID의 IAM 소비자 인증 솔루션 수석 솔루션 아키텍트인 Edwardcher Monreal은 말했습니다.

패스키는 곧 Facebook용 iOS 및 Android 모바일 기기에서 사용할 수 있게 될 예정이며, 앞으로 몇 달 안에 메신저에 패스키를 출시할 예정입니다. Facebook에 대해 설정한 것과 동일한 암호는 이 기능이 시작되면 메신저에서도 작동합니다.

캘리포니아주 칼즈배드, 2025년 6월 18 일 – FIDO 얼라이언스는 패스키를 사용한 피싱 방지 로그인에 중점을 둔 디지털 신원 및 인증에 전념하는 유일한 업계 컨퍼런스인 Authenticate 2025의 의제를 발표했습니다. 이 행사는 2025년 10월 13일부터 15일까지 캘리포니아주 칼즈배드에 있는 옴니 라 코스타 리조트 앤 스파에서 열리며, 가상 참여 옵션이 제공됩니다.

Authenticate 2025 컨퍼런스 프로그램의 초점은 패스키를 사용한 피싱 방지 인증과 유용성을 염두에 두고 엔드 투 엔드 계정 보안을 달성하는 데 필요한 인접 고려 사항을 달성하는 것입니다.

https://authenticatecon.com/event/authenticate-2025/ 를 방문 하여 전체 세션 가이드를 확인하고 6월 20일 슈퍼 얼리버드 마감일 전에 등록하세요.

Authenticate는 CISO, 보안 전략가, 엔터프라이즈 아키텍트, 제품 리더, UX 전문가 및 전략에서 구현에 이르는 ID 수명 주기에 관련된 모든 사람을 위해 구축되었습니다. 참석자들은 피싱 방지 인증을 대규모로 배포하고, 안전한 사용자 경험을 설계하고, 보완 기술을 이해하고, 정책 및 규정 준수 요구 사항을 탐색하는 방법에 대한 실용적인 지식을 얻게 됩니다.

올해 행사에서는 비밀번호 없는 운동의 최전선에 있는 최고 경영진과 업계 리더가 이끄는 기조 연설과 세션을 선보일 예정입니다. 2025년 의제는 보다 심층적인 프레젠테이션을 위한 더 긴 트랙 세션, 실행 가능한 동기화 및 장치 바인딩 패스키 구현 모범 사례를 위한 마스터클래스에 대한 초점 증가, 최신 ID 및 인증 솔루션의 라이브 데모를 선보이는 새로운 솔루션 극장 트랙을 포함하도록 개편되었습니다. 올해의 의제에는 협업과 아이디어 공유를 촉진하기 위해 인터내셔닝과 대화형 엑스포 홀 탐색을 위한 더 많은 기회도 포함되어 있습니다.

4개의 선별된 콘텐츠 트랙에 걸쳐 4개의 역동적인 스테이지를 갖춘 Authenticate 2025는 다음과 같은 세션을 제공합니다.

• 계정 온보딩
• 원격 신원 확인 및 증명
• 권한 부여
• 생체 인식
• 세션 보안
• 디바이스 온보딩 및 인증
• 사이버 보안/사기 위협 및 탐지
• 디지털 신원/디지털 지갑
• 디지털 신원 및 인증의 미래

후원 기회 제공
Authenticate 2025는 기업이 참여도가 높은 의사 결정 청중에게 솔루션을 선보일 수 있는 독특한 후원 기회를 제공합니다. 제한된 가용성이 남아 있으므로 예비 후원자는 https://authenticatecon.com/sponsors/ 에서 자세한 내용을 알아보고 신청하거나 authenticate@fidoalliance.org 에 문의할 수 있습니다.

인증 정보

Authenticate는 패스키를 사용한 피싱 방지 로그인에 중점을 두고 디지털 ID 및 인증 발전에 전념하는 최고의 컨퍼런스입니다. FIDO 얼라이언스가 주최하는 이 행사에는 CISO, 보안 전략가, 제품 관리자 및 ID 설계자가 한자리에 모여 최신 인증에 대한 모범 사례, 기술적 통찰력 및 실제 사례 연구를 살펴봅니다. 2025년 컨퍼런스는 10월 13일부터 15일까지 캘리포니아주 칼즈배드의 옴니 라 코스타 리조트 & 스파에서 열리며, 10월 16일까지 진행되는 FIDO 얼라이언스 회원 본회의와 함께 개최됩니다.

인증은 패스키와 같은 혁신을 통해 더 간단하고 강력한 인증의 활용을 가속화하기 위해 표준, 인증 및 시장 채택 프로그램을 제공하는 산업 간 컨소시엄인 FIDO 얼라이언스에서 주최합니다. Authenticate 2025의 서명 스폰서는 Google, Microsoft, Visa 및 Yubico입니다.

자세한 내용을 알아보고 등록하려면 https://authenticatecon.com/event/authenticate-2025/ 를 방문하고 X에서 @AuthenticateCon 팔로우하세요. 지금 등록하고 2025년 6월 20일까지 슈퍼 얼리버드 할인을 받으세요.

연락처 인증
authenticate@fidoalliance.org

홍보 연락처
press@fidoalliance.org

Apple은 이번 주에 암호 피싱 및 암호를 표적으로 삼는 기타 공격에 취약하지 않은 웹 사이트 및 앱 인증에 대한 업계 전반의 표준인 패스키의 가장 큰 단점 중 하나를 해결하는 기능을 엿볼 수 있었습니다.

FIDO 얼라이언스와 호스트 스폰서인 탈레스는 최근 인증, 신원 및 앞으로 나아갈 길에 대한 하루 세미나를 개최했습니다.

세미나 세션에서는 채택 상태 및 사례 연구를 포함하여 FIDO 및 패스키에 중점을 두고 인력 및 소비자 로그인에 대한 인증의 현재 상태를 살펴보았습니다. 이 세미나에서는 최신 공격 및 위협, 신원 확인 기술 발전, 포스트 양자 암호화 등 IAM 전문가를 위한 기타 관련 주제에 대한 토론도 진행되었습니다. 참석자들은 공개 Q&A, 네트워킹 및 데모를 통해 인증 및 ID 전문가와 직접 소통할 수 있는 기회를 가졌습니다.

아래 프레젠테이션을 확인하세요.

전문가 통찰력 소개:

Expert Insights는 사이버 보안 솔루션을 엄격하게 분석하고 과대 광고를 차단하여 명확하고 실행 가능한 최종 후보 목록을 제공함으로써 시간과 번거로움을 줄여줍니다. 우리는 사이버 보안을 전문으로 합니다. 따라서 우리의 초점은 더 날카로워지고, 지식은 더 깊어지며, 통찰력은 더 좋아집니다. 또한 우리의 조언은 완전히 공정합니다.

정보로 가득 찬 세상에서 우리는 전문가가 조직을 보호하는 데 필요한 통찰력을 제공하기 위해 존재합니다. 그렇기 때문에 100만 개 이상의 기업이 사이버 보안 연구에 정보를 제공하기 위해 우리를 사용하고 있습니다.

팟캐스트를 들어보세요.

결제 기술 회사의 새로운 보안 조치는 유럽의 사업주 4명 중 1명이 사기꾼의 표적에 직면해 있는 것으로 나타났기 때문에 중요한 시기에 도착했습니다. 이러한 기업의 4분의 1은 잠재적인 사이버 공격으로부터 복구할 수 있는 능력에 대해 우려를 표명합니다. 이번 확장은 비밀번호 없는 인증에 대한 광범위한 업계 추세에 따른 것이며, FIDO 얼라이언스는 엔터프라이즈 패스키 채택이 크게 증가했다고 보고했습니다.

OneSpan은 Nok Nok과의 협력을 통해 회사가 온프레미스 또는 클라우드에서 사용할 수 있는 포괄적인 인증 포트폴리오를 전 세계 고객에게 제공할 수 있다고 말했습니다. 이 결합된 제품에는 이제 OTP, FIDO, 소프트웨어 및 하드웨어 솔루션(예: Digipass, FIDO2 프로토콜 및 트랜잭션 서명을 위한 Cronto 솔루션)에 대한 지원이 포함됩니다.

OneSpan의 CEO인 Victor Limongelli는 이번 인수를 “고객에게 인증에 대한 최대한의 선택권을 제공하기 위한 대담한 조치”라고 설명했습니다. 그는 회사가 FIDO 표준을 포함하도록 전체 인증 플랫폼을 발전시키고 있으며 비밀번호 없는 인증이 미래의 중요한 부분이라고 믿고 있다고 덧붙였습니다. Nok Nok의 기술과 FIDO 전문 지식을 바탕으로 OneSpan은 포괄적이고 다양한 고객 인증 솔루션을 제공하는 것을 목표로 합니다.

Nok Nok의 사장 겸 CEO인 Phillip Dunkelberger는 OneSpan에 합류함으로써 FIDO와 같은 개방형 표준에 뿌리를 둔 비전을 OneSpan의 글로벌 범위를 통해 더 많은 청중에게 제공할 수 있다고 언급했습니다. FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르는 녹녹이 FIDO 생태계의 “선구자”였다고 말했습니다.

더 잘 알려진 암호 관리자 중 하나는 이제 다른 암호를 만들지 않고도 사람들에게 사용해 보도록 초대하고 있습니다. 대신 Dashlane은 이제 사람들에게 “FIDO2” 인증 표준을 준수하는 USB 보안 키로만 보호되는 새 계정을 개설하도록 초대하고 있습니다. FIDO는 Fast Identity Online의 약자입니다.

“시도”를 강조하십시오. 이 “얼리 액세스” 프로그램에 대한 회사의 지원 페이지 에는 Dashlane의 모바일 앱이 아닌 Google Chrome 및 Microsoft Edge만 지원한다고 명시되어 있습니다. 현재로서는 더 많은 사람들이 사용하는 FIDO2 보안 형태인 패스키로만 보호되는 계정을 만들 수 없습니다.

이는 영국, 미국, 인도, 일본, 싱가포르, 호주 및 캐나다와 같은 시장에서 회사의 기존 범위를 기반으로 합니다. 또한 Yubico는 전 세계 117개의 새로운 위치로 YubiEnterprise Delivery 의 가용성을 확장했습니다.

이로써 이제 총 199개 위치(175개 국가 및 24개 지역)가 되었으며 빠른 턴키 방식으로 사무실과 원격 사용자 모두에게 YubiKeys의 기존 배송 범위를 두 배 이상 늘렸습니다. “오늘날 기업은 AI 기반 피싱 공격과 같은 진화하는 사이버 위협에 직면해 있습니다”라고 Yubico의 제품 담당 수석 부사장인 Jeff Wallace는 말했습니다.

이번 파트너십은 “결제 통합 기능을 강화하고 전 세계 금융 기관에 최첨단 솔루션을 제공하는 것”을 목표로 한다고 두 회사는 수요일(5월 21일) 보도 자료에서 밝혔습니다.

이번 협력은 “결제 시스템 내 혁신의 현대화, 혁신 및 가속화”를 위한 Stanchion의 도구와 가맹점 매입자 도메인, 카드 발급사 도메인 및 상호 운용성 도메인의 세 가지 도메인 모두에서 거래 인증을 제공하는 Entersekt의 3D 보안 결제 인증 솔루션을 결합합니다.

암호 키의 증가는 디지털 신원 보호를 강화하는 데 큰 도움이 되므로 인식하는 것도 마찬가지로 중요합니다.

셰인 위든, IBM
안호, IBM

추상적인

세션 하이재킹은 온라인 사기 및 계정 탈취를 위한 초기 공격 벡터가 증가하고 있습니다. FIDO 인증은 크리덴셜 스터핑 및 피싱과 같은 다른 간단한 형태의 침해의 효율성을 감소시키기 때문에 사이버 범죄자는 전달자 토큰의 도난 및 재사용으로 전환합니다. 전달자 토큰은 웹 사이트에 연결하는 브라우저에서 사용하는 세션 쿠키와 기본 모바일 애플리케이션과 같은 다른 씩 클라이언트 애플리케이션 유형에서 사용하는 OAuth 액세스 토큰을 포함하는 자격 증명의 한 형태입니다. 이러한 자격 증명이 수명이 길고 다른 시스템에서 악의적인 행위자가 사용할 수 있도록 생성된 시스템에서 “들어 올려 이동”할 수 있는 경우 거래 가능한 가치는 중요합니다. 브라우저용 DBSC(Device Bound Session Credentials) 및 OAuth 애플리케이션용 DPoP(Demonative Proof of Possession)와 같은 새로운 기술은 세션 하이재킹의 위협을 줄이기 위해 노력합니다. 이 문서에서는 이러한 기술이 세션 하이재킹 문제를 해결하는 방법과 온라인 생태계에서 강력한 피싱 방지 인증을 보완하는 방법에 대해 설명합니다.

관객

이 백서는 온라인 사기로부터 온라인 ID 및 액세스 관리의 보안 및 수명 주기를 보호하는 책임이 있는 최고 정보 보안 책임자(CISO) 및 기술 직원을 위한 것입니다.

1. 소개

인증 및 권한 부여는 ID 수명 주기, 특히 온라인 자격 증명 에코시스템의 경우 필수적인 부분입니다. 비용이 많이 드는 보안 사고 및 침해로 인한 온라인 신원 사기의 위협이 증가함에 따라 기업은 피싱, 크리덴셜 스터핑, 세션 하이재킹과 같은 다양한 공격 벡터를 통해 계정 탈취로부터 직원을 보호하고 보호할 수 있는 방법을 찾고 있습니다. 인증의 경우 패스키를 사용한 FIDO 인증은 사용자에게 “더 안전하고 안전하며 빠른 온라인 경험”을 제공하며, 패스키 채택이 증가함에 따라 MITM(man-in-the-middle) 피싱 공격을 통해 수행되는 크리덴셜 피싱, 크리덴셜 스터핑 및 세션 하이재킹과 같은 공격 벡터의 성공률이 감소했습니다. 그러나 인증식 이후에는 어떻게 됩니까?

인증 후 브라우저 및 애플리케이션 클라이언트에는 일반적으로 다른 자격 증명이 발급됩니다. 엔터프라이즈 애플리케이션은 일반적으로 웹 브라우저 기반이고 상태 관리를 위해 세션 쿠키를 사용하는 애플리케이션과 OAuth 액세스 토큰을 사용하는 씩 클라이언트 애플리케이션(일부 브라우저 기반 단일 페이지 애플리케이션 및 대부분의 기본 모바일 애플리케이션 포함)의 두 가지 기본 범주로 나뉩니다. 두 가지 유형의 자격 증명(세션 쿠키 및 액세스 토큰)은 기본 사용에서 “전달자” 토큰으로 간주됩니다. 토큰(세션 쿠키 또는 액세스 토큰)이 있는 경우 해당 토큰을 인증하고 소유한 사용자로서 해당 토큰의 수명 동안 계속 거래할 수 있습니다. 이 백서에서는 베어러 토큰에 대한 “리프트 앤 시프트” 공격 벡터를 해결하는 인접 기술과 이러한 기술이 FIDO 기반 인증 메커니즘을 보완하는 방법을 살펴봅니다. 특히, 이 백서에서는 브라우저 세션 쿠키를 보호하기 위해 제안된 웹 표준 DBSC(Device Bound Session Credentials) 에 중점을 두고 OAuth 2.0 OAuth 보조금 보호를 위한 DPoP(소유 증명) 입증 .

2. 용어

세션 하이재킹: 일반적으로 세션 쿠키에 대해 관리되는 웹 세션 제어 메커니즘의 악용입니다.

자격 증명 스터핑: 도난당한 사용자 이름과 비밀번호 쌍(자격 증명)을 웹사이트 로그인 양식에 자동으로 삽입하여 사용자 계정에 부정하게 액세스합니다.

<sub>1. 패스키 – https://fidoalliance.org/passkeys/
2. 디바이스 바인딩 세션 자격 증명 – https://github.com/w3c/webappsec-dbsc
3. OAuth 2.0 소유 증명(DPoP) 입증 – RFC9449: https://datatracker.ietf.org/doc/html/rfc9449
4. 세션 하이재킹 공격 https://owasp.org/www-community/attacks/Session_hijacking_attack
5. 크리덴셜 스터핑 https://owasp.org/www-community/attacks/Credential_stuffing</sub>

액세스 토큰: 클라이언트 측 애플리케이션에서 사용자를 대신하여 API 호출을 호출하는 데 사용하는 자격 증명입니다.

세션 쿠키: 브라우저와 웹 사이트 간의 세션 상태를 유지하기 위해 브라우저에서 관리하는 자격 증명입니다.

전달자 토큰: 토큰(이 백서의 맥락에서 액세스 토큰 또는 세션 쿠키를 참조할 수 있음)은 토큰을 보유한 사람이 이를 사용하여 리소스에 액세스할 수 있기 때문에 그렇게 불립니다. 베어러 토큰은 다른 컴퓨팅 장치에서 사용하기 위해 자체적으로 “들어 올리고 이동”할 수 있습니다.

보낸 사람 제한 토큰: 인증 프로세스 중에 토큰을 설정한 클라이언트 이외의 다른 사용자가 서버 쪽 리소스에 대한 후속 요청에서 해당 토큰을 사용할 수 있는 위험을 최소화하도록 설계된 메커니즘으로 보호되는 토큰입니다.

DBSC(Device Bound Session Credential): 발신자 제한 쿠키를 설정하고 유지 관리하기 위한 프로토콜 및 브라우저 동작을 정의하는 W3C 웹 표준에 대한 제안입니다. 이 메커니즘은 비대칭 암호화 키의 소유 증명을 사용하여 세션 쿠키 하이재킹을 완화하는 데 도움이 됩니다. OAuth 2.0 DPoP(Proof of Procession) 시연: 클라이언트가 토큰을 사용할 때 비대칭 암호화 키의 소유를 입증해야 하는 발신자 제한 액세스 토큰을 구현하는 메커니즘입니다.

OAuth 2.0 DPoP(Proof of Procession) 시연: 클라이언트가 토큰을 사용할 때 비대칭 암호화 키의 소유를 입증해야 하는 발신자 제한 액세스 토큰을 구현하는 메커니즘입니다.

3. 안전한 생태계를 위한 인접/보완 기술

FIDO 인증 기술은 로그인 프로세스 중에 발생하는 피싱 및 크리덴셜 스터핑 공격을 효과적으로 제거할 수 있지만, 전달자 토큰 도용과 관련된 위협을 완화하기 위한 솔루션을 추가하는 것도 마찬가지로 중요합니다. 로그인 프로세스 중에 공격이 저지된 악의적인 행위자는 체인에서 다음으로 가장 취약한 링크를 추적하여 인증 후 전달자 토큰을 훔치려고 시도합니다. 이 섹션에서는 전달자 토큰을 보호하기 위한 두 가지 기술, 즉 브라우저 기반 세션 쿠키를 보호하는 DBSC(Device Bound Session Credentials)와 OAuth 권한 부여를 보호하는 DPoP(Proof of Possession)를 보여줍니다. 무기명 토큰을 보호하기 위한 대체 접근 방식도 논의됩니다.

단일 기술로는 모든 위협으로부터 보호할 수 없기 때문에 적절한 보호를 위해서는 여러 기술의 조합이 필요합니다.

표 1: 보안 강화를 위한 기술 조합

기술	인증 위협		인증 후 위협
	원격 피싱	크리덴셜 스터핑	토큰 도용
Passkeys
DBSC/DPoP
패스키 + DBSC/DPoP

3.1 브라우저 세션 쿠키 보안

DBSC(Device Bound Session Credentials)에 대해 논의하기 전에 브라우저 세션 쿠키와 관련하여 해결되는 문제를 이해해야 합니다. 쿠키 도용을 통한 세션 하이재킹을 통해 훔친 쿠키를 소유한 공격자는 강력한 인증 또는 다단계 인증(MFA)을 포함한 최종 사용자 인증을 우회할 수 있습니다. 이는 브라우저가 수명이 긴 세션 쿠키(전달자 토큰의 일종)를 생성할 때 특히 문제가 되는데, 이러한 쿠키는 사용자의 기본 인증 자격 증명에 대한 대안으로 거래된 다음 공격자의 시스템에서 사용될 수 있기 때문입니다. 이로 인해 민감한 데이터에 대한 무단 액세스, 재정적 손실 및 조직의 평판 손상이 발생할 수 있습니다.

공격자는 사용자의 기존 MFA 로그인 프로세스에 대한 중간자 피싱(FIDO와 같은 피싱 방지 인증을 사용하지 않는 경우), 클라이언트 측 멀웨어, 때로는 서버 측 인프라 또는 소프트웨어의 취약점을 통해 쿠키 도용을 수행합니다. 쿠키 도용이 어떻게 저질러지는지에 관계없이 이러한 공격이 성공하면 위험할 뿐만 아니라 격리 및 탐지하기도 어렵습니다. DBSC(Device Bound Session Credentials)와 같은 보완 기술은 도난당한 쿠키를 인증 중에 발급된 시스템 이외의 시스템에서 사용할 수 없게 만들어 브라우저 쿠키 도난과 관련된 위험을 최소화합니다.

3.2 장치 바인딩 세션 자격 증명 – DBSC

DBSC 는 현재 W3C의 웹 애플리케이션 보안 워킹 그룹 내에서 개발 중인 제안된 웹 표준을 말합니다[2]. DBSC의 목표는 도난당한 웹 세션 쿠키 시장을 퇴치하고 방해하는 것입니다. 이는 HTTP 메시징 프로토콜을 정의하고 애플리케이션 세션 쿠키의 사용을 사용자의 컴퓨팅 장치에 바인딩하는 데 필요한 브라우저 및 서버 동작을 정의하여 달성됩니다. DBSC는 비대칭 키 쌍을 사용하며 브라우저 구현에서 개인 키는 공격자가 추출할 수 없어야 합니다(예: TPM(신뢰할 수 있는 플랫폼 모듈), 보안 요소 또는 유사한 하드웨어 기반 암호화 모듈 내에 저장됨).

높은 수준에서 API는 사용자의 브라우저 및 보안 키 스토리지 기능과 함께 다음을 허용합니다.

• 서버는 새 DBSC 세션을 설정하기 위한 요청을 브라우저에 전달합니다. 여기에는 서버 제공 과제가 포함됩니다.
• 브라우저는 비대칭 키 쌍을 생성한 다음 서명된 챌린지와 함께 공개 키를 서버로 보냅니다. 이 프로세스를 DBSC 등록이라고 합니다. DBSC의 브라우저 구현은 안전한 하드웨어 바인딩 스토리지 및 개인 키 사용을 용이하게 하는 운영 체제 API를 사용해야 합니다.
• 서버는 수명이 짧고 새로 고칠 수 있는 auth_cookie 발행하여 공개 키를 브라우저 세션에 바인딩하며, 이 후속 브라우저 요청에서 웹 서버로 전송해야 합니다.

auth_cookie가 정기적으로 만료되므로 브라우저가 기본 애플리케이션 웹 트래픽에 대해 비동기적으로 auth_cookie 새로 고치는 메커니즘이 필요합니다. 새로 고침 프로세스에서는 DBSC 등록 중에 생성된 동일한 개인 키를 사용하여 서버에서 발행한 새 챌린지에 서명해야 하므로 클라이언트 브라우저가 여전히 동일한 개인 키를 소유하고 있음을 (정기적으로) 다시 증명해야 합니다.

auth_cookie의 수명을 짧은 기간(예: 몇 분)으로 제한하면 수명이 긴 세션 쿠키 거래 시장이 중단됩니다. 공격자는 도난당한 세션 쿠키(auth_cookie 포함)를 짧은 기간 동안만 사용할 수 있으며 새로 고침 작업을 수행하는 데 필요한 개인 키를 클라이언트 컴퓨터에서 추출할 수 없으므로 새로 고침 작업을 수행할 수 없습니다.

DBSC는 응용 프로그램에 대한 최소한의 변경으로 기존 배포에 도입될 수 있습니다. DBSC는 기존 서버 측 기술(예: Apache 모듈, 서블릿 필터 또는 역방향 프록시 기능)에 웹 플러그인 모듈로 쉽게 통합될 수 있으므로 이는 중요합니다. 이를 통해 기업은 현재 모든 인프라를 완전히 점검하지 않고도 단계적으로 DBSC 배포를 출시할 수 있으며 기업은 특정 중요한 엔드포인트 또는 리소스의 우선 순위를 먼저 지정할 수 있습니다.

DBSC 서버 측 구현은 의미 체계를 허용하는 방식으로 작성할 수도 있습니다(예: “브라우저가 DBSC를 지원하는 경우 DBSC를 사용하고, 그렇지 않으면 일반 세션 특성으로 대체하십시오.” 이를 통해 사용자는 모든 사용자가 먼저 브라우저를 업그레이드하도록 요구할 필요 없이 DBSC를 지원하는 브라우저를 사용할 때 DBSC의 보안 이점을 얻을 수 있습니다.

DBSC 키 쌍에 증명을 추가하는 엔터프라이즈별 확장에 대한 제안을 포함하여 DBSC 프로토콜 및 표준에 대한 자세한 내용은 Device Bound Session Credentials 설명 자를 참조하십시오.

3.2.1 DBSC가 FIDO를 보완하는 기술인 이유는 무엇인가요?

DBSC 초안 표준은 로그인 프로세스를 DBSC API와 긴밀하게 통합할 수 있도록 허용합니다. FIDO는 인증을 더 안전하고 피싱에 강하게 만드는 메커니즘인 반면, DBSC는 인증 후 전달자 자격 증명(세션 쿠키)을 더 안전하게 만드는 메커니즘입니다. 계정 탈취 및 남용의 위험을 줄임으로써 서로를 보완하여 애플리케이션 세션의 전체 수명 주기를 더 안전하게 만듭니다.

3.2.2 대체 솔루션

DBSC는 클라이언트 장치에 대한 바인딩 세션 쿠키를 제안하는 첫 번째 표준이 아닙니다. 토큰 바인딩은 IETF RFC 8471, 8472 및 8473을 결합한 대안입니다. HTTP를 통한 토큰 바인딩은 TLS(전송 계층 보안) 확장을 통해 구현되며 암호화 인증서를 사용하여 토큰을 TLS 세션에 바인딩합니다. 토큰 바인딩은 브라우저 채택이 제한적이었고 애플리케이션 계층과 TLS 보안 스택에서 변경이 필요하기 때문에 구현이 복잡합니다. HTTP 표준을 통한 토큰 바인딩은 널리 채택되지 않았으며 현재 하나의 주요 브라우저만 지원합니다.

3.2.3 팁

DBSC 표준은 브라우저 세션에 바인딩된 개인 키의 저장 및 사용을 위해 로컬 장치 보안 및 운영 체제 API에 의존합니다. 이러한 개인 키는 다른 장치로 내보낼 수 없지만 키는 로컬 시스템에서 사용할 수 있으며 사용자 장치에 상주하는 맬웨어에 의해 실행될 수 있습니다. 마찬가지로 브라우저 내 멀웨어는 여전히 일반 세션 쿠키와 수명이 짧은 auth_cookies 모두에 대한 완전한 가시성을 가지고 있습니다. DBSC는 클라이언트 측 멀웨어 보호를 대체하지 않으며, DBSC에 대한 위협 모델은 지속적인 클라이언트 측 멀웨어로부터 보호를 제공하지 않습니다. 궁극적으로 사용자는 브라우저를 신뢰해야 합니다.

시간이 지남에 따라 브라우저가 DBSC를 지원하기 시작함에 따라 서버가 이 기술에 대한 지원을 포함하거나 포함하지 않는 브라우저를 혼합하여 작업할 수 있어야 합니다. 일부 기업에서는 기업에서 발급한 시스템에 DBSC를 지원하는 것으로 알려진 브라우저가 포함되도록 지시할 수 있지만 많은 기업은 그렇지 않습니다. 서버 측 구현에서는 브라우저가 등록 요청에 응답할 때 DBSC를 사용하고 브라우저가 응답하지 않을 때 바인딩되지 않은 세션 쿠키를 허용하여 이를 고려해야 합니다. 상용 솔루션을 구축하거나 선택할 때 이 시나리오를 고려하고 고도로 제어되거나 규제된 환경 또는 특정 애플리케이션에 대해 DBSC를 엄격하게 요구하는 액세스 제어 정책을 구현하는 기능을 포함해야 합니다.

이 글을 쓰는 시점에서 DBSC는 초기 발전에 있습니다. 브라우저 공급업체에서 널리 채택될지는 두고 봐야 합니다. W3C를 통해 이 표준을 인큐베이팅하고 개발하면 모든 주요 브라우저 구현에 암호 키 인증을 제공하기 위해 WebAuthn API가 채택된 방식과 유사하게 이전 제안보다 더 널리 채택될 수 있기를 바랍니다.

4. OAuth 보조금

이전 섹션에서는 웹 브라우저에서 세션 쿠키 도난을 방지하는 수단으로 DBSC를 소개했습니다. 모바일 애플리케이션 및 단일 페이지 웹 애플리케이션을 포함한 씩 애플리케이션 클라이언트는 일반적으로 세션 쿠키 대신 OAuth 권한 부여를 활용하는 상태 비저장 API 호출을 사용합니다. OAuth 권한 부여는 여러 가지 방법으로 설정할 수 있으며, 씩 클라이언트에 권장되는 패턴 은 처음에 시스템 브라우저를 사용하여 사용자를 인증하고 애플리케이션을 대신하여 작동하도록 액세스 권한을 부여하는 것입니다. 개념적으로 이는 가능한 경우 최종 사용자 인증에 FIDO 인증을 사용할 수 있는 기능 및 권장 사항을 포함하여 브라우저 기반 세션과 매우 유사합니다. 이 흐름의 브라우저 기반 인증 부분이 끝나면 프로그래밍 방식 API 호출에 사용하기 위해 토큰이 설정되는 씩 클라이언트 애플리케이션 또는 단일 페이지 웹 애플리케이션에 제어가 반환됩니다.

이 시점부터 발생하는 문제는 브라우저에 대해 설명된 것과 거의 동일합니다 – OAuth 토큰은 악의적인 행위자에게 노출된 경우 합법적인 응용 프로그램 대신 원격 시스템에서 응용 프로그램 API를 호출하는 데 사용할 수 있는 전달자 토큰입니다.

이 섹션에서는 DBSC와 마찬가지로 비대칭 키 쌍과 개인 키의 지속적인 소유 증명을 사용하는 OAuth 보호 API 호출에 사용되는 자격 증명의 “리프트 앤 시프트”를 보호하는 기술인 DPoP의 사용에 대해 설명합니다.

4.1 소유 증명(DPoP) 입증

OAuth 2.0 DPoP(Proof of Possession )는 디바이스 바인딩(또는 발신자 제한) OAuth 액세스 및 새로 고침 토큰을 구현하기 위한 기존 OAuth 2.0 표준의 확장입니다. OAuth 권한 부여와 연결된 토큰(즉, 새로 고침 토큰 및 액세스 토큰)이 공개 및 개인 키 쌍을 사용하여 요청된 클라이언트와 바인딩할 수 있도록 하는 애플리케이션 수준 메커니즘입니다. 이를 위해서는 클라이언트가 액세스 토큰 새로 고침 작업을 수행할 때 권한 부여 서버에 개인 키의 소유권을 증명하고 액세스 토큰을 사용하여 API를 호출할 때 리소스 서버에 개인 키의 소유권을 증명해야 합니다.

_{6. 네이티브 앱용 OAuth 2.0 https://datatracker.ietf.org/doc/html/rfc8252}

FAPI 2.0(Financial-grade API)과 같은 높은 보증 OpenID 사양은 발신자 제한 토큰의 사용을 의무화하고 DPoP는 상호 TLS(mTLS)를 사용할 수 없는 경우 이 요구 사항을 구현하는 데 권장되는 방법입니다.

높은 수준에서 DPoP는 다음을 요구합니다.

• 클라이언트는 DPoP 증명을 구성하는 데 사용할 권한 부여별 공개/개인 키 쌍을 생성합니다. 모범 사례 구현은 운영 체제 API를 사용하여 프라이빗 키를 추출할 수 없도록 해야 합니다.
• 초기 권한 부여 설정(예: OAuth 권한 부여 코드를 권한 부여의 첫 번째 액세스 토큰 및 새로 고침 토큰 교환)에서 DPoP 증명(무엇보다도 공개 키의 복사본을 포함하는 클라이언트의 개인 키로 서명된 JWT)을 사용하여 공개 키를 권한 부여에 바인딩합니다.
• 이러한 방식으로 얻은 액세스 토큰을 사용하여 리소스 서버에 대한 요청에는 DPoP 증명 헤더도 포함되어야 하며, 이는 권한 부여 설정 중에 사용된 개인 키의 소유를 지속적으로 증명해야 합니다. 이 작업은 모든 API 요청에 대해 수행됩니다. 리소스 서버는 액세스 토큰이 발신자 제한을 받는지 확인하고, 공개 키를 확인하고, 각 API 호출에서 DPoP 증명 헤더의 유효성을 검사해야 합니다.
• 공용 클라이언트의 경우 권한 부여 서버의 토큰 엔드포인트에 대한 후속 refresh_token 흐름에도 초기 권한 부여 설정 중에 사용된 것과 동일한 키로 서명된 DPoP 증명이 포함되어야 합니다. 새로 고침 토큰은 수명이 긴 경우가 많고 일종의 전달자 토큰이기도 하기 때문에 이는 특히 중요합니다(즉, 가지고 있는 경우 사용할 수 있음). 권한 부여 서버는 이러한 새로 고침 토큰 흐름에 대해 DPoP 증명 사용을 강제하고 초기 권한 부여 설정 중에 등록된 동일한 공개 키를 통해 서명 유효성 검사가 발생하도록 해야 합니다.

모든 보유자가 사용할 수 있는 일반 전달자 액세스 토큰과 달리 DPoP 기반 액세스 토큰은 해당 클라이언트만 개인 키로 DPoP 증명에 서명할 수 있으므로 처음에 OAuth 권한 부여를 설정한 클라이언트에 바인딩됩니다. 이 접근 방식은 유출된 액세스 토큰을 거래하는 악의적인 행위자와 관련된 위험을 최소화합니다.

자세한 내용은 DPoP RFC 9449 – OAuth 2.0 DPoP(Proof of Possession) 시연을 참조하십시오.

4.2 DPoP가 FIDO를 보완하는 기술인 이유는 무엇입니까?

FIDO는 OAuth 부여를 설정하는 동안 피싱 방지 최종 사용자 인증에 활용될 수 있습니다. 이 인증 후 클라이언트가 얻은 새로 고침 및 액세스 토큰은 브라우저 기반 앱의 세션 쿠키와 마찬가지로 “리프트 앤 시프트” 공격으로부터 보호되어야 합니다. DPoP는 이러한 OAuth 토큰을 무단 사후 인증으로부터 보호하기 위해 권장되는 솔루션입니다. 최종 사용자 인증을 위한 FIDO와 OAuth 토큰을 클라이언트 디바이스에 바인딩하기 위한 DPoP는 서로를 보완하여 씩 클라이언트 애플리케이션에 사용되는 ID에 대한 전반적인 보안 태세를 개선합니다.

4.2.1 DPoP 대체 솔루션?

RFC8705 – OAuth 2.0 상호 TLS 클라이언트 인증 및 인증서 바인딩 액세스 토큰은 액세스 토큰을 클라이언트 인증서에 바인딩하는 전송 계층 솔루션을 제공하는 메커니즘에 대해 설명합니다. 오픈 뱅킹 솔루션을 위해 FAPI 2.0 에서 사용하도록 승인되었지만 기본 모바일 애플리케이션과 같은 공용 클라이언트에는 특별히 적합하지 않습니다.

RFC9421 – HTTP 메시지 서명은 HTTP 메시지의 일부에 서명하기 위한 애플리케이션 수준 메커니즘을 정의합니다. 클라이언트와 검증자 간의 키 설정 및 공유는 DPoP와 유사한 방식으로 초기 권한 부여 설정 중에 첫 번째 사용자 방식에 대한 신뢰 로 수행될 수 있지만 이 사양에 의해 정의되지 않습니다. HTTP 메시지 서명의 사용을 OAuth 클라이언트 애플리케이션의 송신자 제한 전달자 토큰의 유스 케이스에 맵핑하는 알려진 공용 스펙은 없습니다. 이러한 공개 사양이 없으면 이 사용 사례에 대한 광범위한 채택은 거의 없습니다.

4.2.2 팁

보낸 사람 제한 토큰은 좋은 생각이며 일부 배포에서는 규정 요구 사항입니다. 예를 들어, OAuth의 FAPI 프로필 사용은 이제 많은 주권 오픈 뱅킹 이니셔티브에서 의무화되고 있습니다. DPoP는 이 요구 사항을 충족하는 비교적 간단한 방법이며 광범위한 애플리케이션 클라이언트 유형을 포괄할 수 있을 만큼 유연합니다. 즉, DPoP의 보안 고려 사항을 준수하기 위해 주의를 기울여야 합니다. RFC9449의 섹션 11에 세심한 주의를 기울이고 시나리오에 따라 네이티브 또는 브라우저 기반 단일 페이지 애플리케이션에 대한 다른 애플리케이션 보안 전략을 적용하십시오. DPoP는 악의적인 행위자의 거래 및 사용을 포함하여 토큰 유출과 관련된 위협을 해결하는 데에만 중점을 두고 있다는 점을 기억하십시오. 이는 OAuth 애플리케이션에 대한 심층 방어 전략의 일부로 간주되어야 합니다.

5. 결론

이 백서의 목적은 다양한 웹 보안 표준이 어떻게 조화를 이루는지, 그리고 이러한 표준이 사용자를 위한 FIDO 인증 사용과 어떤 관련이 있는지에 대한 생각을 고취하는 것입니다. 표준과 표준 기관이 너무 많아서 어떤 표준이 동일한 공간에서 경쟁하고 어떤 것이 서로를 보강하여 온라인 애플리케이션에서 신원 사기 보호를 위한 포괄적인 심층 방어 전략의 일부를 형성하는지 이해하기 어려운 경우가 많습니다.

이 백서는 도난당한 쿠키 및 액세스 토큰의 악의적인 거래 및 사용이라는 구체적이고 널리 퍼진 애플리케이션 보안 문제를 다루었습니다. 이 백서는 또한 DBSC 및 DPoP와 같은 기술이 토큰 도난과 관련된 위협을 완화하는 방법과 이러한 기술이 FIDO 인증을 어떻게 보완하는지 보여주었습니다. FIDO와 함께 DBSC 및 DPoP를 사용하면 애플리케이션에 대한 전반적인 신원 사기 방지 기능이 향상됩니다.

패스키는 사용자의 개인 장치에 연결된 고유한 디지털 자격 증명으로, 기존 비밀번호나 일회성 텍스트 코드 없이도 신원을 인증할 수 있는 방법을 제공합니다.

패스키는 장치를 떠나지 않으므로 웹 사이트에서 재사용할 수 없으므로 피싱 및 기타 일반적인 공격에 저항합니다.

정부는 대중을 위한 디지털 서비스 플랫폼인 Gov.UK 에 액세스하는 방법으로 비밀번호를 대체할 계획을 발표했습니다.

암호를 사용한 다음 사용자의 신뢰할 수 있는 장치로 전송되는 추가 문자 메시지 또는 코드(이중 인증)를 사용하는 것과는 달리, 패스키는 추가 코드를 입력할 필요 없이 로그인할 때 사용자의 신원을 증명하는 특정 장치에 연결된 고유한 디지털 키입니다.

기술별 혁신

AI는 쇼에서 가장 뜨거운 주제 중 하나였지만 이것이 유일한 토론 주제는 아니었습니다. 또한 진화하는 랜섬웨어 생태계와 조직이 “Q-Day”의 도래를 준비하기 위해 오늘 해야 할 일에 대해 많이 들었습니다.

그러나 아마도 두 번째로 큰 논의 주제는 ID 및 액세스 보안에 관한 것일 것입니다.

AI 기반 딥페이크 및 사기 시도가 증가함에 따라 조직이 비밀번호에서 패스키와 같은 보다 안전한 인증 방법으로 전환해야 할 필요성이 그 어느 때보다 커지고 있으며, 많은 전문가들은 이 분야가 내년에 많이 채택될 것이라고 낙관했습니다.

주요 통찰력:

• FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르 : “규제 산업에서 패스키 배포가 계속 증가하는 것을 보게 될 것입니다. 더 높은 보증 사용 사례를 해결하고 암호를 사용하지 않으면 점점 더 많은 기업이 Passkey를 대규모로 배포할 수 있는 더 큰 자신감을 갖게 될 것이며, 이는 암호를 완전히 백미러에 넣기 위한 우리의 여정을 더욱 가속화할 것이기 때문에 정말 중요합니다.”

이러한 움직임은 세계 비밀번호의 날과 일치하며 보다 안전하고 피싱에 강한 로그인 방법을 위해 비밀번호를 제거하려는 업계 이니셔티브인 Passkey Pledge에 대한 거대 기술 기업의 광범위한 약속과 일치합니다. 블로그 게시물에서 Microsoft 임원인 Joy Chik과 Vasu Jakkal은 암호 키를 사용하는 사용자보다 성공적으로 로그인할 가능성이 3배 더 높다고 강조했습니다. 기존 계정 소유자는 여전히 비밀번호를 사용할 수 있지만 Microsoft는 기본적으로 생체 인식 또는 PIN을 사용하도록 유도하고 있습니다. 거의 모든 Windows 사용자는 이미 Windows Hello에 의존하고 있으며, 이러한 변화는 플랫폼 전반에 걸쳐 FIDO 호환 패스키 시스템을 출시하고 있는 Apple 및 Google을 포함한 업계 파트너의 지원으로 뒷받침됩니다. 이 변화는 전반적으로 보안과 사용자 경험을 간소화할 것을 약속합니다.

영국 정부는 사이버 방어를 강화하기 위해 올해 디지털 서비스를 위한 SMS 기반 인증 시스템을 패스키로 대체할 예정입니다.

이 이니셔티 브는 영국 국립 사이버 보안 센터(National Cybersecurity Center)에서 보다 “안전하고 비용 효율적인 솔루션”으로 개방형 인증 표준인 FIDO(Fast IDentity Online)를 사용하여 출시할 예정입니다.

NCSC는 “NCSC는 패스키 채택이 국가 규모로 사이버 복원력을 혁신하는 데 필수적이라고 생각합니다”라고 말했습니다. 기관은 “향상된 보안 및 비용 절감 외에도 패스키는 사용자에게 더 빠른 로그인 경험을 제공하여 사용자 이름, 비밀번호 및 SMS 코드를 입력하는 것과 비교할 때 로그인당 약 1분을 절약할 수 있습니다”라고 말했습니다.

새로운 워킹 그룹은 결제 부문에서 비밀번호 없는 인증에 대한 모멘텀이 커지는 시기에 등장했습니다. 작년에 Visa는 온라인 결제를 위한 패스키를 구현하여 고객이 기존 비밀번호가 아닌 생체 인증을 사용하여 거래를 승인할 수 있도록 했습니다.

현재 250개 이상의 회원으로 구성된 얼라이언스는 디지털 인증의 다양한 부문에 걸쳐 꾸준히 영향력을 확대해 왔습니다.

Microsoft는 작년에 대부분의 소비자 앱에 암호 키 지원을 도입하여 사용자가 2FA 방법을 사용하거나 긴 비밀번호를 기억하지 않고도 계정에 로그인할 수 있도록 했습니다. 1년 후, 비밀번호를 기본값으로 제거하고 모든 신규 가입자가 패스키를 사용하도록 권장하고 있습니다.

PCMag는 5월 2일에 새 Microsoft 계정에 가입하려고 시도했지만 게시 당시 여전히 비밀번호를 요구했습니다. Microsoft는 변경 사항이 언제 적용될지에 대한 정확한 기간을 공유하지 않았지만 앞으로 며칠 내에 변경이 발생할 것으로 예상해야 합니다.

새 계정이 완전히 비밀번호가 없을 수 있는 것은 이번이 처음입니다. 이전에는 암호와 함께 하나가 있어야 했습니다.

블로그 게시물에서 Microsoft는 로그인을 위한 패스키 시도의 98%가 성공하는 반면 암호는 32%에 불과하다고 밝혔습니다. Microsoft는 또한 “로그인 및 가입을 위해 암호 없는 방법을 우선시하는” 모든 계정에 대해 “간소화된” 로그인 환경을 도입하고 있습니다. 이는 패스키 기능을 강조하기 위해 일부 UX 디자인 변경을 의미합니다.

Microsoft의 새로운 비밀번호 없는 이니셔티브는 비밀번호 없는 패스키 우선 경험을 위해 더 잘 흐르는 순서가 재지정된 단계가 포함된 최근 출시된 최적화된 로그인 창 디자인과 함께 제공됩니다.

현재 계정은 비밀번호를 폐기할 필요가 없지만 새 계정은 비밀번호를 생성하라는 메시지를 전혀 표시하지 않음으로써 비밀번호를 남겨두려고 합니다.

이 간소화된 UX의 일환으로 새 계정의 기본 동작을 변경하고 있습니다. 이제 새로운 Microsoft 계정은 “기본적으로 암호가 없습니다”가 됩니다. 신규 사용자는 계정에 로그인하기 위한 몇 가지 암호 없는 옵션을 사용할 수 있으며 암호를 등록할 필요가 없습니다. 기존 사용자는 계정 설정을 방문하여 비밀번호를 삭제할 수 있습니다.

오늘의 변경 사항으로 Microsoft는 대신 “세계 암호의 날”을 “세계 암호의 날”로 이름을 바꾸고 내년에도 암호 키 구현 작업을 계속할 것을 약속합니다. 작년 이맘때 회사는 소비자 계정에 패스키를 구현했습니다. Microsoft는 “매일 거의 백만 개의 패스키가 등록되어 있다”고 밝혔으며 패스키 사용자의 로그인 성공률은 98%인 반면 비밀번호 기반 계정의 경우 32%라고 합니다.

결과는 고무적이며, 소비자의 74%가 패스키를 알고 있으며 69%가 적어도 하나의 계정에서 패스키를 활성화한 것으로 나타났습니다.

패스키를 사용한 적이 있는 사람들 중 38%는 가능할 때마다 패스키를 활성화한다고 보고했습니다. 현재 소비자의 절반 이상이 패스키가 비밀번호보다 더 안전하고(53%), 더 편리하다(54%)라고 생각합니다.

이러한 패스키 채택의 증가는 비밀번호의 단점 때문일 가능성이 높습니다. 작년에는 35% 이상의 사람들이 비밀번호 취약점으로 인해 계정 중 하나 이상이 손상되었습니다. 또한 소비자의 47%는 특정 계정의 비밀번호를 잊어버린 경우 구매를 포기할 것입니다.

조직이 패스키로의 전환을 수용하도록 더욱 장려하기 위해 FIDO 얼라이언스는 패스키 수용에 전념하는 온라인 서비스 제공업체와 인증 제품 및 서비스 공급업체를 위한 자발적인 서약인 패스키 서약도 시작했습니다.

“세계 패스키의 날의 제정과 성장은 모든 형태와 규모의 조직이 수십 년 동안 데이터 유출, 계정 탈취 및 사용자 불만을 초래한 암호 및 기타 레거시 인증 방법에 의존하는 것에서 벗어나 연결된 사회의 기반을 위험에 빠뜨리는 데 필요한 조치를 취하고 있다는 사실을 반영합니다. 라고 FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르는 말합니다. 우리는 전 세계 100개 이상의 조직이 Passkey Pledge에 서명했다는 사실에 매우 기쁘며, 시장을 선도하는 Passkey Central 리소스 센터를 포함하여 무료로 사용할 수 있는 다양한 자산을 통해 패스키를 향한 시장의 행진을 지원하게 된 것을 기쁘게 생각합니다.”

전체 보고서는 FIDO 얼라이언스 사이트에서 확인할 수 있습니다.

이러한 중요한 변화는 기술 산업이 취약한 비밀번호 기반 시스템에서 결정적으로 벗어나면서 디지털 보안 의 전환점을 의미합니다.

FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르는 “월드 패스키의 날의 제정과 성장은 모든 형태와 규모의 조직이 비밀번호 및 기타 레거시 인증 방법에 의존하지 않기 위한 조치를 취하고 있다는 사실을 반영합니다”라고 말했습니다.

답은 계정 보안을 물리적 장치 보안에 연결하는 패스키로, 이는 공격자가 하드웨어에 액세스하고 잠금 해제 방법(생체 인식 또는 PIN)이 없는 한 암호를 우회하여 로그인할 수 없음을 의미합니다.

Microsoft는 다른 회사보다 패스키뿐만 아니라 비밀번호 삭제도 홍보하고 있습니다: “사용자가 패스키와 비밀번호를 모두 가지고 있고 둘 다 계정에 대한 액세스 권한을 부여하는 경우 해당 계정은 여전히 피싱의 위험에 처해 있습니다. 우리의 궁극적인 목표는 비밀번호를 완전히 제거하고 피싱 방지 자격 증명만 지원하는 계정을 갖는 것입니다.”

패스키 홍보를 담당하는 조직인 FIDO 얼라이언스(FIDO Alliance)는 이번에 인터넷 방송을 통해 “비밀번호에서 벗어나는 글로벌 움직임을 더욱 가속화하기 위한 패스키 서약을 시작”했습니다.

최신 연구에 따르면 “35% 이상의 사람들이 비밀번호 취약점으로 인해 계정 중 하나 이상이 도용되었으며, 소비자의 47%는 특정 계정의 비밀번호를 잊어버린 경우 구매를 포기할 것입니다. 이는 패스키에 익숙한 사람들의 54%가 비밀번호보다 더 편리하다고 생각하고 53%는 비밀번호가 더 강력한 보안을 제공한다고 생각하기 때문에 패스키 채택에 중요합니다.”

FIDO는 Microsoft의 비밀번호 삭제를 업계 선도로 환영했습니다. CEO인 Andrew Shikiar는 “Microsoft가 10억 개 이상의 사용자 계정에 대한 비밀번호를 사용하지 않고 있기 때문에 이는 흥미롭고 중요한 이정표입니다”라며 “이제 사용자 친화적이고 피싱 방지 패스키를 대신 활용할 수 있습니다. 오늘날 Microsoft의 리더십은 더 많은 서비스 제공업체가 동일한 작업을 수행하도록 장려하는 데 도움이 될 것이며, 이를 통해 암호가 백미러에 완전히 표시되는 날에 공동으로 더 가까워질 것입니다.”

FIDO 얼라이언스는 또한 최근 보다 안전한 미래를 만들고 비밀번호의 취약성과 번거로움을 극복하기 위해 기업들이 월드 패스키 서약에 참여하도록 초대했습니다.

탈레스의 사이버 보안 전문가인 사이먼 맥날리는 “비밀번호는 오랫동안 디지털 보안의 취약한 고리였으며 소비자와 기업을 비밀번호 재설정과 잠재적 침해의 실망스러운 악순환에 빠뜨렸습니다. 우리는 세계 패스키의 날에 대한 FIDO 얼라이언스의 약속과 비밀번호 없는 미래를 위한 노력을 환영합니다. 패스키는 원활하고 안전한 인증 경험을 제공하여 기존 비밀번호와 관련된 위험과 불만을 제거합니다.

패스키는 자동으로 생성되고 안전하게 저장되므로 복잡한 비밀번호를 생성하고 관리하는 부담이 사라집니다. 또한 민감한 데이터를 공유하지 않고 인증을 허용하여 개인 정보 보호를 강화하여 침해 위험을 줄입니다. 디지털 보안에 대한 신뢰가 더욱 중요해짐에 따라 기업은 사용자를 보호하고 브랜드 신뢰를 구축하기 위해 비밀번호 없는 솔루션의 우선순위를 정해야 합니다.”

비밀번호 없는 미래를 위한 패스키 서약

세계 비밀번호의 날(이하 세계 패스키의 날)을 기념하기 위해 FIDO 얼라이언스는 패스키 사용에 대한 설문조사 를 발표했는데, 소비자 의 74%가 패스키를 알고 있는 것으로 나타났으며, 이는 소비자가 패스키 로그인 경험이 가져올 수 있는 잠재적 가치를 알고 있음을 의미합니다. 이를 뒷받침하기 위해 설문 조사에 따르면 소비자의 69%가 적어도 하나의 계정에서 패스키를 활성화한 것으로 나타났습니다.

또한 패스키를 사용한 적이 있는 사람들의 경우 38%가 가능할 때마다 패스키를 활성화한다고 보고했는데, 이는 일부 소비자가 이미 패스키가 제공하는 추가된 사용자 경험과 보안 이점을 보고 있음을 시사합니다. 실제로 소비자의 절반 이상이 패스키가 비밀번호보다 더 안전하고(53%) 더 편리하다(54%)라고 생각합니다. Amazon, Apple, Google, Microsoft, Samsung 등을 포함한 많은 기업과 조직이 이미 Passkey Pledge에 서명했습니다!

중추적인 순간

FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르는 최근 설문조사와 패스키 서약에 대해 다음과 같이 말했습니다.

“올해 세계 패스키의 날은 전 세계 사용자 인증의 중추적인 순간에 찾아왔으며, 수십억 개의 사용자 계정에 비밀번호 대신 패스키로 로그인할 수 있는 옵션을 제공하는 서비스 제공업체(세계 상위 100개 웹사이트 중 거의 절반 포함)가 빠르게 증가하고 있습니다. 100개가 훨씬 넘는 조직 이 암호의 위험과 부담이 없는 미래를 향한 의지를 나타내는 Passkey Pledge를 채택했습니다.

소비자들은 패스키에 대해 점점 더 많이 인식하고 있을 뿐만 아니라 더 자주 사용하고 있습니다: 최근 설문조사 응답자의 69%가 적어도 하나의 계정에서 패스키를 활성화하고 있으며, 38%는 현재 가능할 때마다 활성화하고 있습니다.

패스키는 사용이 매우 직관적이어서 사용자가 패스키를 통합하면 거의 돌아가지 않습니다. 이는 비밀번호에 의존하는 로그인 프로세스에 불만을 느끼는 소비자(그 중 35%가 작년에 비밀번호 취약점으로 인해 계정 손상을 경험했다고 답함)와 전자상거래 소매업체 모두에게 좋습니다.

이러한 변화는 단지 혁신이나 수익에 관한 것이 아닙니다. 디지털 신뢰를 재구축하고 모두를 위한 보다 안전하고 효율적인 인터넷을 만드는 것입니다.”

세계 패스키의 날(구 세계 비밀번호의 날)을 기념하여 FIDO 얼라이언스는 전 세계 주요 조직의 실제 패스키 배포에 주목하고 있습니다. 다양한 산업 분야의 기업들이 패스키를 사용하여 더 빠르고 쉽고 안전한 로그인을 제공함으로써 얻은 성공의 주요 내용을 읽어보며 비밀번호에서 벗어나려는 전 세계적인 노력을 보여줍니다.

FIDO 얼라이언스는 또한 오늘 패스키 사용과 인증에 대한 소비자의 태도가 어떻게 진화했는지 이해하기 위해 소비자를 대상으로 한 독립적인 연구를 발표했습니다. 연구에 따르면 작년에 35% 이상의 사람들이 비밀번호 취약점으로 인해 계정 중 하나 이상이 손상된 것으로 나타났습니다. 또한 소비자의 47%는 특정 계정의 비밀번호를 잊어버린 경우 구매를 포기할 것입니다. 이는 패스키에 익숙한 사람들의 54%가 비밀번호보다 더 편리하다고 생각하고 53%는 비밀번호가 더 강력한 보안을 제공한다고 생각하기 때문에 패스키 채택에 중요합니다. 전체 보고서는 여기에서 확인할 수 있습니다.

ABANCA의 모바일 앱은 한 달에 1,200,000명 이상의 고객에게 서비스를 제공하며 은행의 가장 큰 지점 역할을 합니다. 현재 모바일 고객의 42% 이상이 은행의 ABANCA Key 제품을 통해 패스키를 사용하고 있습니다. 그 결과 11,000,000건 이상의 고위험 트랜잭션이 기술적, 서비스 사고 없이 보호되었으며, UX의 우선순위로 인해 고객 노력 점수(CES) 4.7점을 관리했습니다.

Aflac 은 미국에서 패스키를 채택한 최초의 주요 보험 회사입니다. Aflac은 Transmit Security와 제휴하여 패스키 인증 이니셔티브를 시작했습니다. 현재 프로젝트의 첫 번째 단계만 완료되었지만 500,000명 이상의 Aflac 고객이 패스키를 등록하여 비밀번호 복구 요청이 32% 감소했습니다. 이로 인해 신원 문제로 인해 콜센터에 걸려오는 전화가 매달 30,000건 줄어들었습니다. Aflac은 등록 시점에 가장 높은 등록률이 발생한다고 보고하여 계정 관련 작업 중에 고객에게 메시지를 표시하기 위한 FIDO Alliance의 설계 지침 권장 사항을 강화합니다. Aflac 고객의 패스키의 꾸준하고 유기적인 채택은 매일 계속 증가하고 있으며 비용 절감 및 고객 경험의 측정 가능한 개선에 직접적으로 기여하고 있습니다.

KDDI 는 현재 FIDO를 사용하는 au ID 고객이 1,360만 명 이상이며, 그 결과 고객 지원 센터로 걸려오는 전화가 급격히 감소했습니다(거의 35% 감소). KDDI는 가입자와 비가입자 모두에 대해 FIDO 채택을 신중하게 관리합니다.

LY Corporation 자산 Yahoo! JAPAN ID에는 현재 2,800만 명의 활성 패스키 사용자가 있습니다. 현재 스마트폰 사용자 인증의 약 50%가 패스키를 사용하고 있습니다. LY Corporation은 패스키가 SMS OTP보다 성공률이 더 높고 2.6배 빠르다고 말했습니다.

Mercari 는 900만 명의 사용자가 패스키로 등록하는 것을 확인했으며 동기화된 패스키로 등록한 사용자에 대해 패스키 로그인을 시행하고 있습니다. 특히 2023년 3월 이후 메르카리 샵과 메르코인(메르카리 자회사)에서 피싱 사건은 전혀 발생하지 않았습니다.

Microsoft 는 2024년부터 Microsoft 소비자 계정에 대한 패스키를 출시하기 시작했습니다. 이제 그들은 매일 거의 백만 개의 패스키가 등록되어 있는 것을 볼 수 있습니다. Microsoft는 패스키로 로그인하는 사용자가 비밀번호 사용자보다 계정에 로그인하는 데 3배 더 성공하고(약 98% 대 32%), 패스키 로그인이 기존 비밀번호 + MFA 흐름보다 8배 빠르며, 비밀번호 없는 선호 UX는 비밀번호 사용을 20% 이상 줄였습니다.

Nikkei는 2월에 패스키를 출시했으며 이미 수천 명의 고객이 패스키를 사용하는 것을 보고 있습니다. 또한 지원 데스크에서 패스키를 사용하는 방법에 대한 문의는 거의 없습니다.

NTT DOCOMO 는 패스키 등록을 늘려 d ACCOUNT 사용자의 인증의 50% 이상에 패스키를 사용하고 있습니다. NTT 도코모는 특히 피싱 시도 성공이 크게 감소했다고 보고했으며, NTT 도코모가 다른 패스키 지원 서비스의 수를 늘리는 등 UX를 지속적으로 개선한 2022년 9월 이후 도코모 온라인 샵에서 인식되지 않은 결제가 발생하지 않았습니다.

삼성전자’ 갤럭시 스마트폰은 생체 인증과 FIDO 프로토콜을 통해 빠르고 편리한 로그인을 지원합니다. 사용 편의성, 속도, 서비스 간 호환성 및 업계 표준으로서의 지위로 인해 패스키는 삼성전자에게 매력적인 선택이 되었습니다.

VicRoads 는 호주 빅토리아의 차량 등록 및 운전 면허 기관입니다. 매년 600만 대 이상의 차량을 등록하고 500만 명 이상의 운전자에게 면허를 부여합니다. 패스키 공급업체인 Corbado를 배포한 첫 몇 주 만에 패스키 채택률은 VicRoads의 기대치를 크게 초과했습니다. 사용자는 피싱 방지 인증 방법을 채택하여 속도와 보안에 최적화된 원활한 로그인 경험의 이점을 누렸습니다. 모바일 장치에서 80%, 모든 플랫폼에서 50% 이상으로 정점을 찍는 매우 높은 패스키 활성화율은 첫 7주 동안 30%의 패스키 로그인률로 이어졌습니다. 활용도는 꾸준히 증가하여 인증 관련 지원 티켓 감소, SMS OTP 비용 절감, 사용자 경험 및 보안 개선 등 측정 가능한 운영 이점으로 이어지고 있습니다.

Zoho Corporation 은 1억 + 백만 명의 zoho.com 고객에게 패스키를 출시했으며 그 결과 패스키 채택률이 전월 대비 30% 증가하고 비밀번호 재설정 쿼리가 10% 감소했습니다. 다음 단계로 회사는 5월에 Zoho Vault 고객에게 출시를 시작할 예정입니다.

ABANCA, Microsoft, Nikkei, Samsung Electronics, VicRoads 및 Zoho Corporation의 전체 사례 연구를 읽고 이러한 회사가 패스키 채택의 이점을 어떻게 발견하고 있는지 자세히 알아보세요. 문서화된 다른 사례 연구를 통해 패스키 구현에 대해 자세히 알아보려면 FIDO 얼라이언스의 리소스 라이브러리를 방문하세요. 공유할 사례 연구가 있습니까? 문의!

캘리포니아주 마운틴뷰, 2025년 5월 1일 – 디지털 보안이 그 어느 때보다 중요해짐에 따라 FIDO 얼라이언스 는 2025년 세계 패스키의 날을 기념하여 미국, 영국, 중국, 한국, 일본의 소비자를 대상으로 패스키 사용과 인증에 대한 소비자 태도가 어떻게 진화했는지 이해하기 위한 독립적인 연구를 발표합니다.

연구에 따르면 작년에 35% 이상의 사람들이 비밀번호 취약점으로 인해 계정 중 하나 이상이 손상된 것으로 나타났습니다. 또한 소비자의 47%는 특정 계정의 비밀번호를 잊어버린 경우 구매를 포기할 것입니다. 이는 패스키에 익숙한 사람들의 54%가 비밀번호보다 더 편리하다고 생각하고 53%는 비밀번호가 더 강력한 보안을 제공한다고 생각하기 때문에 패스키 채택에 중요합니다.

세계 패스키의 날은 개인과 조직이 패스키 로그인을 채택하여 웹을 더 안전하고 접근하기 쉽게 만들 수 있도록 하는 FIDO Alliance의 연례 행동 촉구 역할을 합니다.

연구의 주요 내용은 소비자 패스키 인식이 증가하고 있음을 보여주며, 다음과 같이 패스키를 알고 있는 사람들의 채택에 대한 몇 가지 주요 추세를 간략하게 설명합니다.

• 소비자의 74%가 패스키를 알고 있습니다.
• 소비자의 69%가 계정 중 하나 이상에서 패스키를 활성화했습니다.
• 패스키를 사용한 적이 있는 사람들 중 38%는 가능할 때마다 패스키를 활성화한다고 보고했습니다.
• 소비자의 절반 이상이 패스키가 비밀번호보다 더 안전하고(53%) 더 편리하다(54%)라고 생각합니다.

설문 조사 보고서는 https://fidoalliance.org/wpd-report-2025-consumer-password-passkey-trends/ 에서 확인할 수 있으며, 여기에는 글로벌 디지털 액세스, 인증 및 보안을 개선하기 위해 소비자와 조직에서 패스키 채택 추세가 어떻게 진행되고 있는지에 대한 추가 통찰력이 포함되어 있습니다.

“세계 패스키의 날의 제정과 성장은 모든 형태와 규모의 조직이 수십 년 동안 데이터 유출, 계정 탈취 및 사용자 불만을 초래한 암호 및 기타 레거시 인증 방법에 의존하는 것에서 벗어나 연결된 사회의 기반을 위험에 빠뜨리는 데 필요한 조치를 취하고 있다는 사실을 반영합니다. 라고 FIDO 얼라이언스의 전무이사 겸 CEO인 앤드류 시키아르 는 말했습니다. 우리는 전 세계 100개 이상의 조직이 Passkey Pledge에 서명했다는 사실에 매우 기쁘며, 시장을 선도하는 Passkey Central 리소스 센터를 포함하여 무료로 사용할 수 있는 다양한 자산을 통해 패스키를 향한 시장의 행진을 지원하게 된 것을 기쁘게 생각합니다.”

조직이 패스키로의 전환을 수용하도록 더욱 장려하기 위해 FIDO 얼라이언스는 패스키 수용에 전념하는 온라인 서비스 제공업체와 인증 제품 및 서비스 공급업체를 위한 자발적인 서약인 패스키 서약도 시작했습니다. 패스키 서약은 불과 20일 만에 100개 이상의 조직으로부터 약속을 받았습니다. 패스키 서약을 한 회사의 전체 목록은 여기에서 확인할 수 있습니다.

기업과 서비스 제공업체가 더 빠른 로그인, 더 높은 성공률, 더 적은 계정 탈취, 더 낮은 지원 비용, 더 낮은 장바구니 포기 감소라는 새로운 시대를 수용하기 위해 노력함에 따라 전 세계 상위 100개 웹사이트 중 48%에 구현되면서 패스키의 가용성이 꾸준히 증가했습니다.

조직의 암호 없는 여정을 시작하거나 지금 바로 패스키 사용을 시작하는 방법을 알아보려면 https://www.passkeycentral.org/home 를 방문하세요.

편집자 참고 사항:

• 이 서베이몽키 온라인 여론조사는 2025년 4월 13일부터 14일까지 전 세계 18세 이상 성인 1,389명을 대상으로 실시되었습니다. 이 설문조사의 응답자는 매일 SurveyMonkey 플랫폼에서 설문조사에 참여하는 약 300만 명의 사람들 중에서 선정되었습니다. 이 설문조사의 데이터는 미국, 영국, 중국, 한국 및 일본의 인구통계학적 구성을 적절하게 반영하기 위해 연령, 인종, 성별, 교육 및 지역에 대해 가중치가 부여되었습니다. 이 설문 조사의 모델링 오차 추정치는 플러스 또는 마이너스 3.5% 포인트입니다.
• 패스키를 지원하는 세계 최고의 웹사이트 및 서비스의 비율을 계산하기 위해 FIDO 얼라이언스는 공개적으로 사용 가능한 정보와 패스키 배포에 대한 자체 데이터를 결합했습니다.

FIDO Alliance 소개

FIDO(Fast IDentity Online) Alliance는 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결하기 위해 2012년 7월에 결성되었습니다. FIDO Alliance는 암호에 대한 의존도를 줄이는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 집합을 정의하는 더 간단하고 강력한 인증을 위한 표준으로 인증의 특성을 바꾸고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고 비공개적이며 사용하기 쉽습니다. 자세한 내용은 www.fidoalliance.org 참조하십시오.

연락처

press@fidoalliance.org

2025년 세계 패스키의 날을 앞두고 FIDO 얼라이언스는 미국, 영국, 중국, 한국, 일본 전역의 1,389명을 대상으로 독립적인 설문조사를 의뢰하여 인증 선호도가 실시간으로 어떻게 진화하고 있는지에 대한 추가 인사이트를 제공했습니다.

연구에 따르면 사람들은 계속해서 기존 비밀번호로 어려움을 겪고 있습니다.

• 응답자의 36%는 취약하거나 도난당한 비밀번호로 인해 하나 이상의 계정이 도용된 적이 있다고 답했습니다.
• 48%는 단순히 비밀번호를 잊어버렸다는 이유로 온라인 구매를 포기했다고 인정했습니다.

이 eBook에서 전체 설문 조사 결과를 읽어보십시오.

PWG는 세 가지 영역에 중점을 둘 것입니다.

1. 결제 인증에 대한 특정 요구 사항을 식별하고 평가합니다. 요구 사항에는 UX, 보안 및 결제 고유의 규정 영역이 포함됩니다.
2. 결제 인증 요구 사항을 해결하기 위한 기존 및 새로운 솔루션을 식별하고 평가합니다. 그리고
3. EMV 3-D Secure 또는 EMV®® SRC와 같은 기존 결제 기술과 함께 패스키 및/또는 제안된 FIDO 솔루션 사용에 대한 지침입니다.

PWG는 또한 다음을 포함하여 결제를 위한 FIDO 솔루션 사용과 관련된 관련 프로젝트를 수행할 것입니다: 배포 사례 연구 수집 및 게시, 문제에 대한 과제 및 잠재적 솔루션 문서화; FIDO 얼라이언스 연락 파트너와 협력하여 교육 및 채택을 추진합니다.

결제 워킹 그룹 가입

PWG에 참여하고 결제를 위한 패스키 채택을 추진하는 데 관심이 있는 조직은 지금 문의할 수 있습니다. PWG 참여는 FIDO 얼라이언스의 모든 이사회, 스폰서 및 정부 수준 회원에게 열려 있습니다. 참여에 관심이 있는 비회원 조직은 FIDO 얼라이언스에 연락하여 회원이 되어야 합니다. https://fidoalliance.org/members/become-a-member/ 를 방문하여 자세히 알아보세요.

MSA(Microsoft 계정)는 Xbox, Microsoft 365, Copilot 등과 같은 서비스 전반에 걸쳐 소비자 대면 환경을 지원합니다. 2023년에 Microsoft는 이러한 서비스 전반에 걸쳐 암호 키 지원을 출시하여 사용자가 비밀번호 대신 얼굴, 지문 또는 장치 PIN으로 로그인할 수 있도록 했습니다. FIDO 자격 증명을 통합함으로써 암호가 필요하지 않아 Microsoft 계정에 액세스하는 10억 명 이상의 사용자가 더 쉽고 빠르며 훨씬 더 안전하게 사용할 수 있도록 했습니다.

극복하려고 했던 어려움은 무엇이었나요?

우리는 세 가지 주요 과제를 해결하기 시작했습니다.

안전: 암호는 본질적으로 안전하지 않으며 피싱 및 무차별 대입 공격에 매우 취약합니다. 2024년에는 초당 7,000건 이상의 비밀번호 공격이 관찰되었습니다.

사용자 경험: 비밀번호는 사용자가 비밀번호를 잊어버리거나, 재사용하거나, 잘못 입력하는 등 실망스럽습니다. 우리는 사용자가 처음부터 항상 성공할 수 있는 로그인 환경을 원했습니다.

대규모 채택: 우리는 전 세계 사용자 기반에 대한 높은 사용성 기대치를 충족하면서 여러 장치와 플랫폼에서 작동할 수 있는 솔루션이 필요했습니다.

다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?

FIDO 자격 증명은 보안, 유용성 및 상호 운용성의 이상적인 조합을 제공합니다. 피싱 및 자격 증명 도용에 강하며 비밀번호와 같은 공유 비밀이 필요하지 않습니다. 또한 FIDO 자격 증명은 소비자 사용 사례에 중요한 원활한 크로스 디바이스 및 크로스 플랫폼 경험을 가능하게 합니다. 테스트에서 패스키가 향상된 보안과 극적으로 향상된 사용자 경험을 모두 제공한다는 것을 발견했습니다.

FIDO 인증 롤아웃에 대해 설명하세요.

Microsoft는 단계적 접근 방식을 취했습니다. Xbox 및 Copilot과 같은 소비자 서비스에서 MSA 로그인을 위한 패스키를 사용하도록 설정하는 것으로 시작했습니다. 거기에서 우리는 비밀번호 없는 옵션의 우선순위를 정하기 위해 UX를 변경했습니다. 이제 새 Microsoft 계정은 기본적으로 암호가 없으며 기존 사용자는 로그인 중 또는 로그인 후에 암호를 등록하도록 안내됩니다. 이 과정에서 우리는 Apple 및 Google과 같은 플랫폼 파트너와 긴밀히 협력했으며 FIDO Alliance와 오랜 협력을 계속하여 우리의 접근 방식이 업계 표준에 부합하도록 했습니다. 접근 방식에 대한 자세한 내용은 10억 명의 사용자가 암호를 좋아하도록 설득: 채택 및 보안 강화를 위한 Microsoft의 UX 디자인 인사이트를 참조하세요.

FIDO 인증이 미친 영향을 보여주는 데이터 포인트는 무엇인가요?

그 영향은 상당했습니다.

• 이제 매일 백만 개 이상의 패스키가 등록되어 있습니다.
• 패스키로 로그인하는 사용자의 성공률은 3배 더 높습니다(성공률 95% 대 비밀번호 30%).
• 암호 키 로그인은 기존 암호 + MFA 흐름보다 8배 빠릅니다.
• 비밀번호 없는 UX를 선호하는 UX는 이미 비밀번호 사용을 20% 이상 줄였습니다.

이러한 결과는 FIDO 인증이 보안을 개선하고 사용자 만족도를 높이며 비밀번호 재설정 및 지원 통화와 같은 운영 부담을 줄여준다는 것을 확인시켜 줍니다.

Microsoft 블로그에서 자세한 내용을 읽어보세요.

Nikkei Inc.와 Nikkei Group은 “글로벌 커뮤니티에 양질의 저널리즘을 제공하는 가장 신뢰할 수 있고 독립적인 제공업체가 되어 고객이 더 나은 결정을 내릴 수 있도록 돕는다”는 사명을 추구합니다. 우리는 뉴스 조직으로서의 역할의 초석 역할을 하는 닛케이를 포함하여 다양한 미디어 서비스를 제공합니다. 핵심 서비스인 Nikkei Online Edition을 포함하여 Nikkei Group의 디지털 서비스를 지원하는 통합 ID 플랫폼은 “Nikkei ID”입니다.

다양한 서비스를 제공하는 닛케이 ID는 오랫동안 보안과 사용성의 균형을 맞춰야 하는 과제에 직면해 왔습니다. OpenID Connect를 통한 로그인 경험 개선, 2단계 인증 및 CAPTCHA(*1) 도입 등 무단 액세스 위험을 줄이는 등의 조치를 취했지만, 비밀번호 유출 및 재사용과 관련된 보안 위험을 해결하고 점점 더 고도화되는 공격에 대응하는 것은 어려웠습니다.

(*1)사용자가 사람인지 확인하기 위한 보안 인증 방법입니다.

이러한 맥락에서 FIDO 인증이 진화하고 서비스에 패스키를 도입하는 문턱이 낮아짐에 따라 닛케이 ID는 높은 기대를 가지고 검토와 구현을 진행해 왔습니다. 현재는 웹 서비스뿐만 아니라 모바일 앱까지 대응할 수 있도록 기능을 확장하고 있으며, Nikkei ID Lounge Help Center의 내외부 블로그 게시물, 프레젠테이션, 안내 등을 통해 사용자 인식 제고를 통해 패스키 도입을 촉진하는 것을 목표로 하고 있습니다.

극복하려고 했던 어려움은 무엇이었나요?

주요 목표는 보안과 사용자 경험의 균형을 맞추는 것입니다. 닛케이 ID 사용자는 디지털 서비스에 익숙하지 않은 사람이 많기 때문에 단순히 보안을 강화하는 것만으로는 충분하지 않습니다. 예를 들어, CAPTCHA의 도입은 무차별 암호 대입 공격을 방지할 수 있지만, 튜링 테스트(*2)를 통과하지 못하는 사용자에게는 장벽이 되어 지원 문의가 증가하고 고객 서비스에 부담이 가중될 수 있습니다.

(*2) 어떤 것이 ‘인간과 유사한’지 여부를 판단하는 테스트입니다.

그러나 FIDO 인증(패스키)은 OS 및 플랫폼과의 통합을 표준으로 하여 높은 보안과 사용자 경험을 달성합니다. 이를 통해 비밀번호 인증과 관련된 위험을 줄이지만 UX에 부정적인 영향을 미치는 보안 조치를 패스키로 대체할 수 있습니다.

다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?

다음 두 가지 옵션은 FIDO 인증(패스키)의 대안으로 고려되었습니다.

• TOTP 또는 이메일 확인과 같은 이중 인증의 필수 구현
• 다른 ID 플랫폼을 사용한 소셜 로그인

이러한 옵션을 비교한 결과, FIDO 인증(패스키)은 다음과 같은 이점을 제공한다고 생각합니다:

• 기존 비밀번호 인증 위에 인증을 추가하여 점진적인 전환이 가능합니다
• 생체 인증과 같은 더 높은 UX 인증 방법을 사용할 수 있습니다
• 비밀번호와 관련된 위험을 근본적으로 해결합니다

실제 구현에 있어서는 특히 ‘추가 인증’의 측면이 중요했습니다. 즉, 기존 ID 모델을 방해하지 않고 느슨하게 결합되고 응집력이 높은 방식으로 구현할 수 있습니다. WebAuthn 사양은 각 플랫폼의 백엔드와 프론트엔드 모두에 대한 간단한 인터페이스 라이브러리와 API를 제공하여 안전한 구현을 쉽게 만듭니다. 또한 기존 인증 방식을 유지할 수 있기 때문에 지원 업무량이 크게 증가하지 않는다는 장점도 상당했습니다.

FIDO 인증 롤아웃에 대해 설명하세요.

우리는 FIDO 인증을 위해 오픈 소스 백엔드 라이브러리 WebAuthn4J를 사용하여 자체 솔루션을 구현했습니다. WebAuthn4J를 선택한 이유는 명확한 데이터 모델뿐만 아니라 FIDO 얼라이언스에서 제공하는 FIDO2 테스트 도구를 통과했기 때문입니다. 프론트엔드의 경우 WebAuthn API와 직접 상호 작용하는 자체 구현을 개발했습니다. 또한 FIDO 인증을 에뮬레이션하는 테스트 라이브러리를 만들어 이러한 구현에 대한 포괄적인 테스트로 24시간 자동 테스트를 가능하게 했습니다.

FIDO 인증(패스키)의 롤아웃은 다음 단계로 수행되었습니다.

• 피드백 수집 및 사용량 모니터링을 위한 내부 베타 테스트
• 외부 보안 회사의 화이트박스 및 블랙박스 테스트
• 모든 사용자에게 공개 릴리스

FIDO 인증이 미친 영향을 보여주는 데이터 포인트는 무엇인가요?

올해 2월에 출시된 지 막 되었기 때문에 아직 자세한 수치를 제공할 수는 없지만 이미 수천 명의 사용자가 패스키를 사용하고 있습니다. 또, 서포트 데스크에서 패스 키 사용법에 대한 문의는 거의 없다고 들었고, 패스 키의 활용이 원활하게 이루어지고 있다고 인식하고 있습니다.

리소스

구현 섹션에서 언급한 FIDO 인증을 에뮬레이션하는 테스트 라이브러리는 Nikkei의 오픈 소스 소프트웨어로 공개적으로 사용할 수 있습니다. 다음 https://github.com/Nikkei/nid-webauthn-emulator 에서 얻을 수 있습니다

FIDO 인증(패스키) 완료 후 인증은 OpenID Connect 플랫폼인 Authlete를 사용합니다. 이번 사례에서는 FIDO 인증(패스키) 도입에 대한 열정을 표명합니다. (2023년 이 발표 당시에는 패스키가 아직 검토 중이었습니다) https://www.authlete.com/ja/resources/videos/20231212/02/

구현 고려 단계의 기술 블로그 기사: https://hack.nikkei.com/blog/advent20241221/

배경: VicRoads

VicRoads는 호주 빅토리아의 차량 등록 및 운전 면허 기관입니다. 매년 600만 대 이상의 차량을 등록하고 500만 명 이상의 운전자에게 면허를 부여합니다.

빅토리아 주 정부, Aware Super, Australian Retirement Trust 및 Macquarie Asset Management 간의 합작 투자로 운영되는 VicRoads는 주의 중요한 공공 서비스 제공업체입니다.

과제: 정부 서비스를 위한 원활하고 비용 효율적인 인증

VicRoads는 수백만 명의 사람들에게 안전하고 원활한 서비스를 제공함으로써 호주에서 가장 신뢰할 수 있는 디지털 정부 서비스 제공업체가 되는 것을 목표로 합니다.

VicRoads가 고객을 대신하여 보유하는 데이터의 중요성을 감안할 때 보안은 항상 주요 고려 사항이었습니다.

과거에 VicRoads는 고객 데이터 보호를 지원하기 위해 SMS 일회용 비밀번호(OTP) 및 인증 앱을 통해 모든 사용자 계정에 대해 다단계 인증(MFA)을 의무화했습니다.

패스키는 로그인 과정에서 생체 인식, 얼굴 인식, PIN 또는 스와이프 패턴을 활용합니다. 기존 MFA와 달리 패스키에는 개인 키를 저장하는 장치와 로컬 인증이 모두 필요하므로 피싱에 강하고 비용 효율적입니다.

솔루션: Corbado는 최소한의 통합 노력으로 위험이 없는 패스키 우선 솔루션을 제공합니다

VicRoads는 패스키 공급업체인 Corbado와 협력하여 처음부터 솔루션을 구축하기보다는 입증된 접근 방식을 우선시했습니다.

고객 경험과 최신 인증 기술에 대한 Corbado의 깊은 이해는 고객이 패스키를 쉽게 사용할 수 있다는 확신을 갖게 했습니다.

Corbado는 또한 브라우저 호환성, 복구 흐름 및 사용자 경험 최적화를 포함하여 패스키 관련 문제에 대한 심층적인 기술 지침을 제공하여 VicRoads의 자신감을 더욱 공고히 했습니다.

VicRoads의 최고 기술 책임자인 Crispin Blackall은 “Corbado를 선택한 이유는 고객과 운영에 지장을 주지 않고 패스키 기능을 기존 인프라에 통합할 수 있기 때문입니다”라고 말했습니다.

구현: 사전 구축된 패스키 최적화 구성 요소 및 SDK로 빠른 통합 가능

Corbado Connect는 조직의 엔터프라이즈 스택에 깊이 내장된 VicRoads의 기존 인프라 및 CIAM과 원활하게 통합되었습니다. 이러한 패스키 활성화는 사용자 데이터나 인증 방법을 마이그레이션할 필요 없이 달성되어 수백만 명의 사용자에게 원활하고 효율적인 전환을 보장합니다.

VicRoads의 현재 인증 시스템 위에 패스키 기능을 계층화함으로써 Corbado는 기존의 모든 사용자 자격 증명을 유지하면서 원활한 배포를 가능하게 했습니다. 이 접근 방식은 종종 새로운 기술 도입과 관련된 중단과 위험을 제거했습니다.

원활한 전환을 보장하기 위해 VicRoads는 개인 고객부터 시작하여 단계적으로 배포하여 패스키를 구현했습니다. Corbado Connect의 롤아웃 컨트롤이 지원하는 이러한 점진적 배포를 통해 VicRoads는 파트너 및 비즈니스 고객에게 패스키 인증을 원활하게 확장하기 전에 성능을 모니터링하고 잠재적인 문제를 해결하며 사용자 경험을 최적화할 수 있었습니다.

결과: 고객은 첫 주 동안 최대 80%의 패스키 활성화율로 패스키를 좋아합니다.

배포 첫 주 만에 패스키 채택은 VicRoads의 기대치를 크게 뛰어넘었습니다. 사용자는 피싱 방지 인증 방법을 채택하여 속도와 보안에 최적화된 원활한 로그인 경험의 이점을 누렸습니다.

모바일 장치에서 80%, 모든 플랫폼에서 50% 이상으로 정점을 찍는 매우 높은 패스키 활성화율은 첫 7주 동안 30%의 패스키 로그인률로 이어졌습니다. 활용도는 꾸준히 증가하여 다음과 같은 측정 가능한 운영 이점으로 이어지고 있습니다.

• 인증 관련 지원 티켓 감소
• SMS OTP 비용 절감
• 향상된 사용자 경험 및 보안.

지금까지 VicRoads는 웹 포털에서 패스키를 성공적으로 출시했습니다. 다음 단계는 패스키를 기본 앱인 myVicRoads 및 myLearners에 통합하여 사용자가 추가 설정 없이 기존 패스키를 활용할 수 있도록 하는 것입니다. 궁극적으로 패스키가 모든 디지털 플랫폼에 완전히 구현되면 VicRoads는 비밀번호를 완전히 제거하여 보안을 극대화하고 비밀번호 없는 미래를 완전히 수용하는 것을 목표로 합니다.

“패스키는 보안을 손상시키지 않으면서 사용하기 쉽습니다. 고객에게 등록 및 라이선스 서비스를 처리할 수 있는 더 간단하고 안전한 방법을 제공하게 되어 기쁩니다”라고 VicRoads의 최고 기술 책임자인 Crispin Blackall은 말했습니다.

기회: 정부 인증의 새로운 표준 설정

전 세계적으로 가장 큰 공공 부문 패스키 배포 중 하나를 통해 VicRoads는 정부 애플리케이션을 위한 인증 현대화 분야의 디지털 리더로 자리매김했습니다.

중단 없이 높은 채택률을 달성한 VicRoads는 대규모 조직이 보안을 강화하고 사용자 경험을 동시에 개선할 수 있음을 입증했습니다. 이러한 성공으로 VicRoads는 인증 전략을 현대화하려는 다른 정부 기관의 벤치마크로 자리매김했습니다.

“패스키는 디지털 ID 서비스에 대한 사용자 인증 방식의 패러다임 전환을 나타냅니다”라고 FIDO 얼라이언스의 CEO인 앤드류 시키아르는 말했습니다. “VicRoads의 패스키 채택은 정부 기관이 이러한 업계 전반의 혁신을 활용하여 중요한 서비스에 대한 액세스를 단순화하는 동시에 사람들의 데이터를 보호할 수 있는 방법을 보여줍니다. 이는 빅토리아와 그 너머를 위한 보다 안전하고 효율적인 디지털 미래를 향한 중요한 단계입니다.”

다음 단계: 차세대 인증 개발

VicRoads와 Corbado의 지속적인 파트너십을 통해 VicRoads는 확장되는 디지털 서비스 기반에 대한 원활한 사용자 경험을 유지하면서 인증 혁신의 최전선에 서게 됩니다. Corbado의 관리형 패스키 서비스의 주요 장점은 채택 향상 최적화가 내장되어 있어 향후 모든 WebAuthn 업데이트에 대한 지속적인 개선과 원활한 WebAuthn 준수를 보장한다는 것입니다.

이 이니셔티브를 통해 VicRoads는 정부 및 공공 부문에서 패스키를 더 광범위하게 채택할 수 있는 길을 열었으며, 대규모로 안전하고 원활한 인증을 달성할 수 있음을 입증했습니다.

코르바도 소개

Corbado 는 기업과 정부 기관이 사용자 마이그레이션 없이 패스키 인증을 원활하게 배포할 수 있도록 지원하는 패스키 솔루션의 선두 제공업체입니다. Corbado의 초점은 대규모 배포에서 채택을 극대화하는 것입니다. FIDO 얼라이언스 회원인 Corbado의 솔루션은 높은 채택률, 향상된 보안 및 원활한 사용자 경험을 보장합니다. https://www.corbado.com/ 방문하세요.

거의 모든 주요 비즈니스 범주에 걸쳐 55개 이상의 앱을 보유한 Zoho Corporation은 세계에서 가장 다작의 기술 회사 중 하나입니다. 인도 첸나이에 본사를 둔 Zoho는 전 세계적으로 18,000명 이상의 직원을 고용하고 있는 비상장 기업이며 수익성이 높습니다. Zoho는 사용자 개인 정보 보호를 위해 최선을 다하고 있으며 광고 수익 비즈니스 모델에 의존하지 않습니다. 이 회사는 데이터 센터를 소유 및 운영하여 고객 데이터 개인 정보 보호 및 보안을 완벽하게 감독합니다. 전 세계 수십만 개 기업의 1억 명 이상의 사용자가 Zoho 자체를 포함하여 비즈니스를 운영하기 위해 Zoho를 신뢰합니다. 자세한 내용은 zoho.com 를 참조하십시오.

극복하려고 했던 어려움은 무엇이었습니까?

기존 인증 방법 대신 안전하고 간편한 로그인.

다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?

향상된 보안, 지원 문서 및 커뮤니티.

FIDO 인증 롤아웃에 대해 설명하세요.

IAM 팀을 통해 직접 진행했습니다.

먼저 zoho.com(100mn + 사용자)에 대한 암호 키 인증을 출시했습니다.

2025년 5월 비밀번호 관리자 Zoho Vault에서 패스키 관리 출시

FIDO 인증이 미친 영향을 보여주는 데이터 포인트는 무엇인가요?

패스키 채택률이 전월 대비 30% 증가

비밀번호 재설정 쿼리 10% 감소

리소스

• https://help.zoho.com/portal/en/kb/accounts/sign-in-za/articles/passkey
• https://www.zoho.com/vault/features/passkeys.html

삼성전자의 갤럭시 스마트폰은 생체 인증과 FIDO 프로토콜을 통해 빠르고 편리한 로그인을 지원합니다.

극복하려고 했던 어려움은 무엇이었나요?

FIDO 기반 패스키는 기존의 사용자 이름과 비밀번호가 필요하지 않아 사용자가 웹사이트와 앱에 액세스하는 방식을 변화시키고 있습니다. 패스키는 노출될 수 있는 서버에 저장되는 대신 갤럭시 기기에 안전하게 저장되어 생체 인증을 사용하여 빠르고 안전한 로그인이 가능합니다.

다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?

FIDO는 사용자의 생체 인식 데이터를 디바이스 외부로 전송하지 않고도 보안 인증을 가능하게 합니다. 사용 편의성, 속도, 서비스 간 호환성 및 업계 표준으로서의 지위로 인해 삼성전자는 매력적인 선택이 되었습니다.

FIDO 인증 롤아웃에 대해 설명하세요.

FIDO 인증을 장치에 직접 통합하여 사용자가 즉시 액세스할 수 있도록 했습니다. 더 많은 갤럭시 모델과 소프트웨어 업데이트에 걸쳐 FIDO 지원을 계속 확장하고 있습니다.

리소스

• https://www.samsung.com/levant/support/apps-services/how-to-create-and-use-a-passkey/
• https://www.samsung.com/ca/support/apps-services/how-to-create-and-use-a-passkey/
• https://news.samsung.com/in/the-knox-journals-the-passwordless-future-of-security

당사의 모바일 뱅킹 앱은 매달 1,200,000명 이상의 고객에게 서비스를 제공하는 은행의 가장 큰 지점입니다. 이러한 고객은 신원 도용 공격에 대한 최상의 보호가 필요하며, 우리는 항상 최고의 사용자 경험을 우선시하면서 가장 강력하고 혁신적인 솔루션을 제공합니다. ABANCA Key는 FIDO 표준을 기반으로 하는 새로운 신원 확인 서비스입니다. 신원 도용 공격을 방지하기 위해 선도적인 플레이어들이 수년간 연구한 끝에 출시되었습니다. 패스키를 사용하여 ABANCA Key는 최고 수준의 보호를 제공합니다. 추측이나 재사용이 불가능하므로 공격자로부터 고객의 개인 정보를 보호합니다.

극복하려고 했던 어려움은 무엇이었나요?

한편으로는 보안 문제가 있습니다. 스페인에서 통화 및 SMS 메시지를 통한 피싱의 증가는 행정부, 이동통신사 및 금융 기관에 전염병이자 실질적인 문제가 되었지만 다른 한편으로는 마찰을 최소화하면서 최고의 사용자 경험을 유지해야 할 필요성이 있었습니다. 패스키는 상호 운용성 및 표준화를 위한 프레임워크를 제공하여 구현 및 배포를 용이하게 합니다. 그러나 무엇보다도 보안 업계 최초로 마찰 없는 사용자 경험을 달성하기 위한 동질성의 프레임워크를 제공합니다.

다른 옵션 대신 FIDO 인증을 선택한 이유는 무엇인가요? FIDO 구현의 장점은 무엇이라고 생각하십니까?

FIDO를 선택한 이유는 여러 가지가 있습니다: FIDO 얼라이언스에는 보안, 운영 체제, 인프라 및 모바일 생태계 분야의 선두 업체가 포함되어 있기 때문에 신뢰를 위해 MFA 및 비밀번호 없는 등 다양한 방법을 따를 수 있는 미래 전략이 있습니다. 그리고 표준화 및 균질화를 위해 구현, 배포 및 출시 시간을 단축합니다.

FIDO 인증 롤아웃에 대해 설명하세요.

최고의 사용자 경험을 제공하기 위해 우리는 기술에 대한 가능한 한 깊은 이해를 갖기 위해 최선을 다하고 있습니다. 이를 통해 문제를 효과적으로 식별 및 해결하고 사용자 행동을 더 잘 이해할 수 있습니다. 우리는 FIDO 표준을 기반으로 자체 플랫폼을 개발하고 마치 공급자인 것처럼 인증함으로써 자체 파트너가 되었습니다.

우리는 단계적으로 배포를 롤아웃했습니다. 5개월도 채 되지 않아 서버와 프론트엔드(iOS 및 Android)의 개발을 모두 준비했으며 초기 단계에서 직원들과 함께 롤아웃을 시작한 후 최종 고객에게 일괄적으로 롤아웃을 시작했습니다. 불과 7개월 만에 우리는 이미 모든 고객에게 일반 출시를 시작했습니다.

FIDO 인증이 미친 영향을 보여주는 데이터 포인트는 무엇인가요?

• 고객의 42% 이상이 이미 ABANCA Key를 사용하고 있습니다.
• 11,000,000건 이상의 고위험 거래가 기술 또는 서비스 사고 없이 ABANCA Key로 보호되었습니다
• 고객 롤아웃은 기술 또는 서비스 사고 없이 실행되었으며, 가장 중요한 것은 ABANCA Key에 로그인하고 사용하기 위한 고객 여정 UX를 통해 고객 노력 점수(CES) 4.7을 관리했다는 것입니다.

이 사례 연구를 개발하는 데 유용하다고 생각되는 링크나 리소스를 제공하십시오.

• https://comunicacion.abanca.com/es/noticias/abanca-primer-banco-espanol-en-implantar-la-tecnologia-de-llaves-de-acceso-en-la-banca-movil-para-reforzar-la-seguridad-de-sus-clientes/
• https://www.abanca.com/es/banca-a-distancia/llave-abanca/

일상적인 온라인 여정 중 어딘가에서 그는 웹 사이트나 응용 프로그램(인증 용어로 “신뢰 당사자”)에서 패스키를 생성하라는 메시지를 받았습니다. 그러나 그 이점은 그에게 명확하지 않았습니다. 긴급한 상황도 없어 보였다. 그는 내가 패스키가 무엇인지, 다음에 패스키를 설정하라는 넛지를 받을 때 무엇을 해야 하는지 알 수 있을 것이라고 생각했습니다. 나는 그에게 “당신이 어떤 일을 하기 전에 이야기하자”고 말했습니다.

Symantec과 Cofense의 최근 보고서에 덧붙여 Guardio는 이제 “Generative AI의 등장으로 이제 초보자도 코딩 기술 없이도 정교한 피싱 사기를 시작할 수 있습니다. 몇 가지 프롬프트와 몇 분만 있으면 됩니다.”

그리고 Microsoft 는 사용자에게 동일한 사실을 말했습니다. “AI는 자체 생산성 도구를 찾는 사기 및 사이버 범죄 행위자의 기술적 기준을 낮추기 시작했으며, 점점 더 빠른 속도로 사이버 공격에 대한 신뢰할 수 있는 콘텐츠를 더 쉽고 저렴하게 생성할 수 있게 되었습니다. AI 기반 사기 공격은 전 세계적으로 발생하고 있습니다.”

FIDO( Fast IDentity Online ) 인증은 비밀번호나 일회성 코드보다 더 강력하고 간단한 디지털 인증 표준을 장려하는 선도적인 국제 협회인 FIDO 얼라이언스에서 부여했습니다. 이 컨소시엄은 Google, Apple, Microsoft, Amazon, Visa 등 세계 최고의 기술 회사로 구성되어 있으며 보다 강력하고 사용자 친화적인 디지털 ID 방법을 홍보하기 위해 힘을 합쳤습니다. Llave ABANCA의 FIDO 인증을 통해 이 글로벌 얼라이언스는 은행이 구현한 솔루션이 최고 수준의 온라인 신원 확인을 충족함을 인증합니다.

RSA Security의 최고 제품 및 기술 책임자(Chief Product and Technology Officer)이자 상주 IT 전문가인 Jim Taylor는 IT Brew와 함께 조직 전반에 걸쳐 패스키, 생체 인식 및 기타 비암호 구현 구축을 주도하면서 얻은 교훈에 대해 이야기했습니다. 그는 비밀번호 없는 성공의 두 가지 주요 열쇠에는 많은 옵션과 많은 인내심이 포함되었다고 말했습니다.

“큰 전환은 없습니다. 비밀번호 없이 누르기만 하면 ‘타다!’ 할 수 있는 커다란 빨간색 버튼이 있었으면 좋겠죠? 그렇게 작동하지 않습니다.” 테일러는 IT Brew에 말했습니다.

현장에 참석한 70+ 참가자 중 삼성전자, NTT 도코모, 레노버, 라온시큐어, 이지스 테크놀로지, 메르카리를 대표하는 6명의 FIDO 얼라이언스 이사회 구성원을 맞이하게 되어 영광으로 이번 모임의 글로벌 참여와 전략적 중요성을 강조했습니다.

메인 프로그램에 앞서 해외 참석자들은 특별 TTA 랩 투어에 초대되어 FIDO 및 기타 통신 기술을 지원하는 한국의 테스트 및 표준 인프라에 대한 비하인드 스토리를 제공했습니다.

기술 리더십 및 지역 협력 쇼

이날은 전문가 연사와 교육 세션으로 구성된 흥미로운 라인업을 선보였으며, 이는 공공 및 민간 부문 모두를 위한 신뢰할 수 있고 피싱 방지 기능이 있으며 사용자 친화적인 인증 솔루션으로서 패스키의 역할이 확대되고 있음을 반영합니다.

• 행사는 모리야마 코이치 박사 (FIDO 재팬 WG 의장; W3C 자문위원회 위원)은 상호 운용 가능하고 안전한 기술 표준을 설정하는 데 있어 글로벌 협업의 중요성을 강조했습니다.
• FIDO 얼라이언스의 수석 기술 이사인 데이비드 터너는 패스키 발전에 대한 심층적인 업데이트를 공유하고 개발자 지원, 사용자 경험, 광범위한 국제 참여 등 향후 중점 영역을 강조했습니다.
• ITRI의 Wei-Chung Hwang은 패스키와 PKI를 신중하게 비교하여 최신 인증 아키텍처 내에서 두 가지가 어떻게 공존하고 상호 보완될 수 있는지 설명했습니다.
• 수석 소프트웨어 엔지니어 겸 FKWG 부회장인 신기은은 확장 가능하고 안전한 패스키 시스템을 구축하는 개발자를 위한 구현, 테스트 및 UX 고려 사항을 다루는 실용적인 가이드를 제공했습니다.
• 에어큐브의 도블렛 테케예프는 한국의 업데이트된 제로 트러스트 가이드라인 2.0을 소개하면서 주요 원칙, 권장 사항 및 FIDO 솔루션이 국가 사이버 보안 전략과 어떻게 일치하는지 청중에게 안내했습니다.
• 라온시큐어의 유진 리 부사장은 FIDO 기반 생체 인식 인증의 산업 간 배포 경험을 공유하며 금융 및 통신을 포함한 다양한 부문에 대한 적응성을 강조했습니다.
• 삼성전자 김종수 수석 보안 엔지니어는 FIDO 기반 혁신을 통해 모든 사용자를 위한 사이버 보안을 단순화하려는 삼성의 비전을 공유하며 기술 세션을 마무리했습니다.

지역적 통찰력과 공유 모멘텀

이날은 일본 (Naohisa Ichihara, FJWG 공동 부회장 겸 Mercari의 CISO), 중국 (Henry Chai, FCWG 의장 겸 CEO, Lenovo의 자회사인 GMRZ Technology의 CEO), 대만 (Karen Chang, FTF 포럼 의장 겸 Egis Technology의 부사장), 말레이시아 (Sea Chong Seak, Securemetric의 CTO), 베트남(Simon Trac Do, VinCSS의 CEO 겸 창립자)은 각각 패스키 배포에 대한 현지 업데이트를 제공합니다. 연사들은 기술적 과제, 사용자 채택, APAC 전역에서 비밀번호 없는 미래를 가속화하기 위한 국경 간 협력의 중요성 증가를 공유했습니다.

비밀번호 없는 발전

FIDO APAC 지역 회원 밋업 및 워크숍은 지역 전역에서 피싱 방지 비밀번호 없는 인증을 발전시키겠다는 우리의 공동 약속을 재확인했습니다. 이 활기차고 미래 지향적인 행사에 기여한 모든 연사, 후원자 및 참석자들에게 감사드립니다.

APAC에서 열리는 더 많은 지역 간 협업 이벤트와 FIDO 얼라이언스의 업데이트를 계속 지켜봐 주시기 바랍니다.

캘리포니아주 마운틴뷰, 2025년 4월 9일 – FIDO 얼라이언스는 웹을 더 안전하고 접근하기 쉽게 만들기 위해 패스키 로그인에 대한 인식과 채택을 높이겠다는 자발적인 노력인 패스키 서약을 전 세계 조직에 초대하고 있습니다.

2022년 패스키가 세상에 도입된 이후 수백 개의 서비스 제공업체가 패스키가 사용자에게 제공하는 더 강력한 보안과 유용성을 수용했습니다. 현재 150억 개 이상의 사용자 계정에 비밀번호에 의존하는 대신 패스키를 사용할 수 있는 옵션이 탑재되어 있으며, 비밀번호는 계정 탈취 및 사기에 쉽게 도용되고 재사용할 수 있습니다. 패스키를 배포하는 조직은 훨씬 더 짧은 시간에 더 많은 비율의 사용자가 서비스에 로그인할 수 있다는 사실을 지속적으로 발견하고 있으며, 이는 추가 수익 및/또는 직원 생산성을 창출하는 동시에 사기 및 계정 탈취를 줄이는 데 도움이 됩니다.

패스키 사용을 더욱 발전시키고 촉진하기 위해 매년 5월 첫 번째 목요일을 이제 세계 패스키의 날(이전의 세계 비밀번호의 날)으로 인식합니다. 기업은 세계 패스키의 날에 앞서 패스키 서약을 하고 일년 내내 다음 목표를 달성하기 위해 선의의 노력을 기울일 것을 약속할 수 있습니다.

• 로그인을 위한 패스키를 적극적으로 구현한 서비스 제공업체의 경우 – 서약서에 서명한 후 1년 이내에 회사 서비스에 로그인할 때 사용자의 패스키 사용을 눈에 띄게 늘리기 위해 취한 조치를 보여줍니다.
• 로그인을 위한 패스키를 구현하는 과정에 있는 서비스 제공업체의 경우 – 서약서에 서명한 후 1년 이내에 회사 서비스에 로그인하기 위해 패스키를 활성화하기 위해 취한 측정 가능한 조치를 보여줍니다.
• FIDO 기반 제품 및/또는 서비스를 보유한 공급업체의 경우 – 서약서에 서명한 후 1년 이내에 회사의 제품 및/또는 서비스 채택을 통해 패스키 사용을 눈에 띄게 늘리기 위해 취한 조치를 입증합니다.
• FIDO 기반 제품 및/또는 서비스를 개발하는 공급업체의 경우 – 서약서에 서명한 후 1년 이내에 FIDO가 제품을 인증하고 패스키 로그인 지원을 통해 제품 또는 서비스를 출시하기 위한 측정 가능한 조치를 입증합니다.
• 업계 협회 및 표준 조직의 경우 – 서약서에 서명한 후 1년 이내에 패스키 로그인의 가시성과 이점을 높이기 위한 조치를 시연합니다.

서약을 하는 조직은 참여를 지원하기 위한 자산을 받게 되며 2025년 5월 1일 세계 패스키의 날에 계획된 활동 및 발표에 참여할 수 있는 기회를 갖게 됩니다.

가입 양식을 포함한 서약에 대한 자세한 내용은 https://fidoalliance.org/passkeypledge/ 에서 확인할 수 있습니다.

행동하기: 조직이 서약을 이행하는 데 도움이 되는 리소스

FIDO Alliance에는 Passkey Pledge 조직이 조치를 취할 수 있는 다음과 같은 리소스와 모범 사례가 있습니다.

• 외부 커뮤니케이션 채널을 통해 Passkey Pledge에 대한 약속을 공유합니다.
• passkeycentral.org 에 대한 지침을 활용하여 패스키 롤아웃을 계획, 구현 및 확장합니다.
• FIDO 디자인 가이드라인 구현, 패스키 롤아웃을 위한 데이터 기반 UX 모범 사례
• 제품이 규정을 준수하고 상호 운용 가능하며 안전하다는 것을 입증하기 위해 제품 FIDO 인증 획득
• 고객을 대신하여 사례 연구를 발표하여 구현 여정과 비즈니스 결과를 공유합니다. 조직은 info@fidoalliance.org 에 연락하여 사례 연구를 FIDO 얼라이언스에 직접 제출할 수 있습니다
• FIDO Alliance 회원 활동 및 작업 그룹에 참여하여 패스키 최적화 및 채택을 더욱 추진합니다.
• 로그인 옵션에서 암호를 제거하기 위한 계획 및/또는 조치를 취합니다.

FIDO Alliance 소개

FIDO(Fast IDentity Online) Alliance는 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결하기 위해 2012년 7월에 결성되었습니다. FIDO Alliance는 암호에 대한 의존도를 줄이는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 집합을 정의하는 더 간단하고 강력한 인증을 위한 표준으로 인증의 특성을 바꾸고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고 비공개적이며 사용하기 쉽습니다. 자세한 내용은 www.fidoalliance.org 참조하십시오.

연락처

press@fidoalliance.org

암호 키 전송 기능은 Google 비밀번호 관리자에 통합되고 있으며, Google Play 서비스의 최신 릴리스에는 암호 내보내기 및 가져오기 도구에 대한 직접 참조가 포함되어 있습니다. 이러한 개발은 Android 플랫폼에서 인증, 보안 및 유용성을 강화하려는 Google의 광범위한 노력의 일환입니다. 최근 FIDO 얼라이언스 연구에 따르면 이 이니셔티브는 기업의 패스키 채택이 계속 증가함에 따라 나온 것입니다.

먼저 좋은 소식입니다. 받은 편지함으로 스팸 이메일을 대량으로 전달하는 것에 대한 Google의 엄격한 제한은 효과가 있으며 마케팅 메시지로 여러분을 괴롭히는 업계에 치명적인 영향을 미치고 있습니다. 웹사이트 MarTech 는 “작년 한 해 동안 업계에서 참여율(특히 열람률과 클릭률)이 상당히 떨어졌다”고 말합니다. 이들의 이메일은 이미 브랜드에 참여하고 있는 사람들의 받은 편지함에만 표시됩니다. 대부분의 구독자에게 이메일은 스팸으로 표시되고 있습니다.”

AndroidAuthority의 APK 분해에 따르면 Google은 한 기기에서 다른 기기로 암호 키를 내보낼 수 있는 잠재적인 업데이트를 작업 중일 수 있습니다.

비밀번호 내보내기 및 가져오기는 이미 많은 최고의 비밀번호 관리자의 핵심 기능이지만 패스키에 대한 동일한 기능은 큰 진전이 될 것입니다.

이 보고서는 실제 보안 위험과 오래된 인증 방법 사이의 불일치가 증가하고 있음을 보여줍니다.

또한 오래된 인증 방법과 관련된 위험 증가와 새로운 생성 AI 관련 공격의 증가를 강조합니다.

그러나 이 보고서는 FIDO 패스키 와 같은 피싱 방지 인증 방법이 향후 2년 이내에 지배적인 솔루션이 될 것으로 예상됨에 따라 ID 기반 공격과의 싸움에서 잠재적인 전환점을 나타냅니다.

회사는 이것이 보고서의 5년 역사상 처음이라고 밝혔습니다.