Google, Microsoft, Apple이 뭉쳐서 비밀번호를 대체하는 기술을 만든다는 소식 들어보셨나요?
Apple, Google 및 Microsoft와 함께 FIDO 표준 지원 확대
보다 빠르고, 쉽고, 안전한 로그인 환경을 모든 주요 기기 및 플랫폼에 걸쳐 고객에게 제공
www.apple.com
저는 이번 테크세미나 전에 어마어마한 기업이 손잡고 비밀번호를 없앤다!는 기사를 본 적이 있는데요,
이번 8월 데보션의 테크세미나 주제가 바로 이 기술이었습니다. 어떤 기술일까요?
🔐
바로 Passkey입니다!
항상 우리를 골치아프게 하는 비밀번호를 이 Passkey가 없애준다고 하는데요, 어떻게 비밀번호를 대체하는지 한 번 볼까요?
SKT에서 인증, 디지털 자산, 신원확인 서비스 등의 기술 개발을 담당을 하고 계신 신기은님께서 이 passkey를 주제로 세미나를 진행해주셨습니다. 아래 링크에서 발표자료와 발표동영상을 다시 보실 수 있습니다!
Goodbye Passwords! Hello Passkey!
암호 없는 미래에 훨씬 더 가까이 갈 수 있는 기술인 Passkey에 대해 알아보는 시간을 마련했습니다. SKT 뿐만 아니라 구글, 애플, 마이크로소프트 등의 글로벌 테크 기업에서 도입 준비 중인 기술
devocean.sk.com
🤮 비밀번호,, 어지럽다,,
비밀번호는 항상 우리를 짜증나게 하죠.. 매일 "비밀번호 찾기" 누르는거 국룰.. 아닌가요? 서비스마다 비밀번호 생성하는 규칙도 다 다르고, 그렇다고 비밀번호를 매번 다른 걸 설정할 순 없잖아요,, 그리고 로그인 할 때마다 무슨 맨날 비밀번호 바꾸래...
근데 더 놀라운건.. 이런 것들이 보안에 아무짝에도 쓸모 없다는 사실..ㅎ 😇 알고계셨나요?
저는 이번 테크 세미나를 통해서 복잡한 비밀번호, 주기적으로 변경해주는 비밀번호가 보안을 강화하는데에 전혀 도움이 안된다는 사실을 알고 정말 놀랐답니다ㅎ
왜 그럴까요? 비밀번호가 문제인 이유는 비밀번호는 비밀번호이기 때문입니다.
'비밀번호'라는 건 결국 사용자가 생성하고, 기억해서 사용해야하는 정보입니다. 그렇기 때문에 사용자는 거의 대부분의 서비스에서 같은 비밀번호를 사용하고, 이는 결국 보안성을 떨어뜨리는 치명적인 점이 된다고 합니다. 근본적으로 사용자가 기억해야 하는 정보를 백엔드에 똑같이 저장하기 때문에(암호화하더라도) 한 번 탈취되면 그 이상의 서비스에서 사용자의 비밀번호가 탈취된다고 합니다...
또, 인스타그램, 페이스북에서 인앱 브라우저를 열면 사용자의 모든 액선을 트랙킹한다고 합니다.. 사용자의 모든 행동을 트랙킹하기 때문에 인앱 브라우저에서 로그인을 하면 우리의 비밀번호를 다 알 수 있다고 합니다.. (소름..)
iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser · Felix Krause
Update: A week later, I’ve published a new post, looking into other apps including TikTok, where I also found an additional JavaScript event listener of Instagram which can monitor all taps on third party websites. Check it out here The iOS Instagram and
krausefx.com
그리고, 2차 인증을 해야 하는 경우도, 어떤 형태로 구현되었는지에 따라 phishing 당할 수 있다고 합니다. 만약 공격자가 fake website를 만들어서 1차로 비밀번호를 알아냈다면, 실제 사이트에 로그인해서 사용자에게 2차 인증을 보내고, 사용자는 다시 fake 웹사이트에 OTP를 입력하게 되겠죠..! 저도 깃헙, 인스타그램에서 2차 인증을 따로 사용하는데, 이것마저 소용없다는 사실을 알고 충격이었습니다..
🔐 FIDO
위와 같은 비밀번호의 약점을 극복하기 위한 기술이 바로 FIDO입니다. 다들 들어보셨나요? 저는 매일 매일 이 기술을 사용하면서도 이번 테크 세미나로 처음 들어봤습니다ㅎ_ㅎ
FIDO는 Fast IDentity Online의 약자로 생체 인식 기반의 인증 기술을 말합니다. 지문, 홍채, 얼굴 인식, 정맥 등의 생체 정보를 기반으로 사용자를 인증하는 기술입니다. 비밀번호가 knowledge-based 인증이었다면, FIDO는 posession-based 인증입니다. 즉, 이미 내가 가지고 있는 정보로 인증을 하는 것이죠! 데보션에서도 apple ID로 로그인을 하면 Touch ID로 로그인을 할 수 있는 것처럼요!
FIDO의 인증 방식은 다음과 같습니다.
먼저, 서비스에서 사용자 단말에 challenge를 보냅니다. 그러면 사용자는 생체 정보를 통해 단말에 있는 private key에 접근할 수 있고,
이를 통해서 서비스가 보내온 challenge에 대한 signature를 보냅니다. 그러면 sevice측에서는 signature를 검증하게 됩니다.
즉, 하나의 단계에서 MFA(Multi Factor Authentication)를 수행하는 것이죠! 생체인증을 한 번만 하면 2가지의 factor를 검증할 수 있습니다.
이때, private key는 사용자의 기기에 안전하게 저장되어있고, 해당 기기에만 강하게 묶여있습니다.
🔐 Passkey
그렇다면 passkey는 무엇일까요? passkey도 FIDO 기반의 인증기술입니다. 하지만 현재 사용하고 있는 FIDO와 다른 점은 Multi-device credential이라는 점입니다.
즉, 기존의 FIDO는 하나의 기기에 하나의 키가 묶여있었다면 passkey는 하나의 키가 여러 기기에서 쓰일 수 있습니다. 따라서 사용자의 키가 사용자의 기기의 플랫폼 계정과 바인딩되어 그 계정을 이용하는 기가 간에 키가 서로 복사됩니다. 이 차이점은 기기를 분실하거나 고장나서 변경하는 경우에 대응이 가능하게 합니다.
따라서 사용자가 계정을 다시 등록할 필요 없이 여러 개의 기기에서 passkey에 자동으로 접근할 수 있고, 어떤 OS나 웹 브라우저를 사용하든 사용자의 기기에 로그인 할 수 있게 됩니다!
발표자님께서 위의 UX를 보여주셨는데, passkey를 사용하게 되었을 때의 편리함을 조금이라도 느껴볼 수 있었답니다:)
보안 분야는 무지해서 생소한 내용들도 많았지만, 그만큼 흥미로웠던 것 같아요! 앞으로 더 알아보고 싶은 내용들도 많고, 곧 passkey를 사용할 수 있게 된다면, 더 신기할 것 같습니다. 잘 모르다보니 개발자 입장보다는 사용자의 입장에서 듣게된 것 같은데, passkey가 도입되면 훨씬 편하고 안전한 인증 세상이 올 것 같아 기대를 하게하는 세미나 내용이었습니다♡
저처럼 8월 테크 세미나를 잘 들으셨다면, 지금 진행하고 있는 9월 테크 퀴즈 이벤트에 참여해보세요! 무려 50마일리지나 준답니다! (전 벌써 받았지요 0_<)
데보션 (DEVOCEAN) 기술 블로그
데보션 (DEVOCEAN) 기술 블로그 , 개발자 커뮤니티이자 내/외부 소통과 성장 플랫폼
devocean.sk.com
'Community > Devocean Young' 카테고리의 다른 글
| SK TECH SUMMIT 2022 데보션 영이 다녀왔습니다 | 전시 부스 체험, 데보션 영 대학생 라이브 방송 진행, 워커힐 SK 공유 오피스 투어 (0) | 2022.11.18 |
|---|---|
| ❤️🧡 SK TECH SUMMIT 2022에 초대합니다🧡❤️ (0) | 2022.10.29 |
| [데보션 영] 미니밋업 후기 | 데보션 마스터가 데보션 영에게 들려주는 이야기🔥 (0) | 2022.10.11 |
| [데보션 영] SKT T.um 체험 후기🌱 | SKT타워, 구내 식당과 Lounge 체험 (0) | 2022.08.25 |
| [데보션 영] Devocean Young 1기 발대식✨ | SKT T타워 방문, 데보션 영, 기술 블로그 대학생 서포터즈 (0) | 2022.07.17 |
댓글