Home > 전체기사
마이크로소프트, 비밀번호 없애기 위한 한 걸음 추가
  |  입력 : 2018-11-21 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우 헬로와 연동되는 FIDO2 기반 인증 옵션 추가해
비밀 키와 공공 키 동시에 사용해 피싱 피해 가능성 없다시피 해


[보안뉴스 문가용 기자] 오늘부터 마이크로소프트는 사용자들에게 새로운 로그인 옵션을 제공한다. 표준에 기초하고 있으며, FIDO2와 호환이 되는 장비를 사용하는 것으로, 에지 브라우저와 연동된다고 한다. 윈도우 헬로(Windows Hello)와도 연결되는 옵션이다.

[이미지 = iclickart]


“마이크로소프트는 FIDO 얼라이언스(FIDO Alliance)와 월드와이드웹컨소시엄(W3C)의 회원으로 그 동안 다른 조직 및 회사들과 차세대 인증 기술 개발에 박차를 가해왔다”고 부사장인 알렉스 시몬스(Alex Simons)는 블로그를 통해 설명했다.

시몬스는 그 외에도 마이크로소프트가 도입한 웹오슨(WebAuthn)과 FIDO2 CTAP2의 사양에 대한 세부적인 내용도 언급했다. 그에 따르면 FIDO2는 비밀번호와는 달리 공공 혹은 비밀 키 암호화 기술을 사용해 크리덴셜을 보호한다고 한다. “비밀 키는 장비 자체에 저장되며 로컬에서의 생체 인증이나 PIN 번호 입력이 있을 때에만 접근할 수 있습니다. 비밀 키가 저장이 될 때 공공 키는 마이크로소프트 클라우드의 사용자 계정에 저장됩니다.”

자기 계정으로 로그인을 시도하면 마이크로소프트 계정 시스템이 논스(nonce)라는 것을 해당 PC나 FIDO2 인증 장비로 전송한다. 장비는 저장된 비밀 키를 사용해 논스에 서명하고, 서명된 논스와 메타데이터는 다시 마이크로소프트의 시스템으로 전송된다. 그 후 공공 키를 사용해 이 정보를 확인하는 절차가 진행된다.

“웹오슨과 FIDO2의 요구 사항에 따라 서명이 된 메타데이터에는 여러 가지 정보가 포함되어 있습니다. 예를 들어 사용자가 존재해 있었는지 등인데요, 이 정보는 로컬에서의 제스처를 통해 확인이 됩니다. 이러한 특성들 덕분에 윈도우 헬로와 FIDO2로 무장된 장비는 피싱 공격이 불가능합니다. 멀웨어에 의해 장악당하는 시나리오도 발생하기 매우 어렵죠.”

어떤 장비를 사용하느냐에 따라 다르지만 이 새로운 인증 시스템은 하드웨어로 구성된 신뢰 플랫폼 모듈(Trusted Platform Module, TPM)을 포함하기도 한다. 이 TPM의 잠금장치를 해제하려면 안면, 지문, PIN 등을 사용해야 한다. FIDO2 장비의 경우 자체 탑재된 TPM이 있고, 비밀 키가 여기에 저장된다. 역시나 생체 정보나 PIN 번호가 있어야만 잠금을 풀 수 있다.

마이크로소프트 계정 로그인에 하드웨어 키를 사용하려면 제일 먼저 해야 할 건 시스템을 윈도우 10 2018년 10월 버전으로 업데이트하는 것이다. 그 다음 에지 브라우저의 마이크로소프트 계정 옵션으로 가서 평소처럼 로그인을 하면 된다. 그 후 Security 옵션을 선택하고, ‘more security options’를 선택한다. Windows Hello and security keys라는 걸 누르면 설정 안내를 읽을 수 있다. 그 후 다시 한 번 로그인을 하고, More Options를 선택한 후 Use a security key를 선택하거나 사용자 이름을 입력하면 보안 키 로그인 프롬프트 창이 뜬다.

마이크로소프트는 하드웨어 보안 키를 제공하기 위해 페이티안 테크놀로지스(Feitian Technologies)와 유비코(Yubico)라는 회사와 파트너십을 체결했다. 두 회사 모두 FIDO2 표준을 적용한 제품을 제작 및 판매한다.

마이크로소프트는 비밀전호가 없는 인증 환경 조성을 계속해서 밀어붙이고 있는 회사 중 하나다. 올해 초 열린 이그나이트 2018(Ignite 2018) 행사에서도 마이크로소프트는 애저를 활용한 새로운 인증 시스템을 발표한 바 있다. 애저 액티브 디렉토리와 2016년에 출시된 마이크로소프트 오센티케이터(Microsoft Authenticator) 앱을 사용한 기술이었다.

마이크로소프트의 보안 부문 부사장인 롭 레퍼츠(Rob Lefferts)는 당시 그와 같은 발표를 하면서 “비밀번호가 없는 인증 체제로 옮겨가기 위한 중요한 발걸음”이라는 표현을 사용하기도 했다.

3줄 요약
1. 마이크로소프트, 하드웨어 사용한 새로운 인증 옵션 제공.
2. 윈도우 10 2018년 10월 버전으로 업데이트 해야 사용 가능.
3. 마이크로소프트는 지속적으로 비밀번호 없는 환경 조성하려고 노력 중.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)