작성자: Joel R. McConvey
보도일자: 2024년 10월 16일
출처: Biometricupdate.com


패스워드 없는 인증은 로그인 시 신원 확인을 단순화하려는 노력과 규제의 반격 사이에서 계속되는 대립니다. Authenticate 2024 발표에서 컨설턴트 톨라 달튼(Tola Dalton)은 eBay의 신원 인증 엔지니어링을 이끌고 EU와 영국의 수백만 명의 판매자들에게 다중 인증(MFA)을 도입한 경험을 바탕으로, MFA를 의무화하는 글로벌 규제 환경과 생체 인식이 어떻게 이 과정에 적합한지를 설명했다.

MFA는 지식(비밀번호), 소유(SMS 코드), 그리고 고유성(생체 인식) 요소를 결합할 수 있다. 현재, Intuit, Amazon, Microsoft와 같은 대기업들이 표준적인 MFA를 배포하고 있다. 하지만 "현재 MFA는 SMS와 같은 이상적이지 않은 요소에 크게 의존하고 있다"고 달튼은 말하며, SMS가 보안 측면에서 취약할 뿐만 아니라 비용이 많이 든다고 지적했다. "보내는 모든 문자에 비용을 지불해야 한다." 수백만 명의 사용자에게 SMS 기반 일회용 비밀번호(OTP) MFA를 도입하는 것은 수백만 달러의 비용이 들 수 있다.

통계적으로, 달튼은 "MFA는 보안 측면에서 입증된 승리"라고 말한다. 이는 정부가 주목하고 MFA를 의무화하려는 규제를 도입하게 된 이유이다. 그는 유럽과 영국을 MFA의 선도 지역으로 꼽으며, 결제 계정에 접근하거나 결제 거래를 수행할 때 MFA를 요구하는 개정 지급 서비스 지침(PSD2)을 언급했다.

미국에서는 의무 사항보다는 NIST 가이드라인이 존재한다. FTC의 안전 보호 규칙(Safeguards Rule)은 고객 데이터에 접근할 때 직원들에게 MFA를 요구하며, 모든 정부 기관은 법적으로 MFA를 구현해야 한다. 그럼에도 불구하고, 달튼은 미국의 상황이 EU/영국보다 고르지 않다고 말한다.

그 외 지역에서는 다양한 규제가 존재한다. 싱가포르는 PSD2와 유사한 규제를 가지고 있으며, 호주와 인도의 일부 기관에서도 MFA와 관련된 규제를 도입하고 있다. 각 지역은 MFA에 허용되는 요소들에 대해 고유한 프레임워크를 가지고 있다.

생체 인식을 통한 2FA(이중 인증)는 보안을 강화하고 더 엄격한 규제를 가져온다

달튼은 생체 인식을 통한 인증의 장점으로 더 강력한 보안, 낮은 운영 비용, 높은 성공률을 꼽는다. 위험 요소는 주로 기술적 및 규제의 복잡성과 관련이 있다. "구체적인 구현 사항이 중요하다. 생체 인식을 도입할 때 선택해야 할 많은 것들이 있다"고 그는 말한다. 외부 공급업체를 사용할지 내부 시스템을 구축할지, 디바이스에 묶인 생체 인식을 사용할지 아니면 패스키를 동기화할지 등 여러 가지 결정 사항이 있다. MFA가 요구될 때, 사용자 경험(UX)도 중요한 요소이며, 나쁜 UX는 사용자를 시스템에서 차단할 수 있다. 각각의 결정은 성공 여부를 좌우하게 된다고 그는 말한다. 또한 "생체 인식에 대한 규제 요구 사항은 이 과정에서 중요한 역할을 하며, 어떻게 구현하느냐에 따라 수용되는지 여부가 결정된다"고 덧붙였다.

그리고 항상 그렇듯이, 규제 기관마다 정의가 다르기 때문에 혼란이 가중된다. PSD2에서 생체 인식을 유효한 요소로 간주하기 위해서는, 해당 프로세스가 "발급자의 통제 하에 있어야 한다" - 즉, 기기 내 생체 인식은 고유성 요소로 인정되지 않는다. 그러나 기기에 바인딩된 공개-비공개 키로 FIDO 인증이 소유 요소로 인정되어 여전히 사용 가능하다.

영국에서는 규제가 다소 느슨하여, 적절한 위험 조치가 취해져 사용자를 기기에 연결하기만 하면 기기 내 생체 인식이 고유성 요소로 인정된다.

한편, 미국에서는 NIST가 FIDO 생체 인식을 두 가지 요소(소유를 위한 기기 바인딩과 고유성을 위한 생체 인식)를 하나로 인식하기 시작했다. 대부분의 MFA 규정은 이를 허용하지 않는다. 하지만 달튼은 "모든 의무적인 MFA 사용 사례에서 그냥 지문이나 얼굴 인식을 사용하고 끝낼 수 있다면 멋진 사용자 경험이 될 것"이라고 생각을 밝힌다.

그러나 클라우드를 활용하는 동기화된 패스키(즉, 기기에 종속되지 않은 패스키)는 "소유요소로서의 유효성을 저하시킨다." 하지만 추가 메타데이터가 이 문제를 해결하는 데 도움이 될 수 있다.

FIDO와 패스키 채택의 증가가 규제 당국의 주목을 받을 가능성

이 복잡한 상황은 어디로 이어질까? 세계는 기술 규제에서 주로 EU의 방향을 따르는 경향이 있으며, 달튼은 PSD3가 초안 단계에 있다고 말한다. "FIDO와 패스키의 확산이 점점 더 인기를 얻으면서, 우리가 확실히 예측할 수 있는 한 가지는 규제 당국이 앞으로 생체인식, FIDO, 패스키를 그들의 규제에서 어떻게 다룰지 면밀히 검토하고 있다는 점이다."

그는 결론적으로 "규제된 MFA 환경의 불확실한 미래로 나아가고 있다"고 말한다.

"규제는 MFA는 확장될 것이다. 생체 인식은 큰 장점을 가지고 있으며, 패스키를 포함한 비밀번호 없는 생체 인식 요소가 규제에서 올바르게 인정받도록 지속적으로 로비를 해야 한다."