SKT, 글로벌 보안 표준 FIDO 얼라이언스 이사회 합류의 의미

1. FIDO와 패스키: 비밀번호의 시대는 끝나는가

FIDO(Fast Identity Online) 얼라이언스는 암호 없는 온라인 인증을 구축하겠다는 목표로 2012년 출범한 글로벌 기술 표준 협의체입니다. 아마존, 애플, 구글, 메타, 마이크로소프트 등 빅테크 기업들이 이사회 멤버로 참여하며 사실상 글로벌 인증 표준을 주도하고 있습니다.

FIDO의 핵심은 공개키 암호화(Public Key Cryptography) 방식에 기반한 패스키(Passkey) 기술입니다. 이용자가 서비스에 가입하면 개인키(Private Key)는 이용자 기기(스마트폰, 노트북 등)에 저장되고 공개키(Public Key)만 서비스 서버에 등록됩니다. 로그인 시 서버는 이용자에게 인증을 요청하고 이용자는 기기에서 지문, 안면 인식 등 생체 인증이나 PIN 번호로 개인키를 활성화하여 전자서명을 생성합니다. 서버는 이 서명을 공개키로 검증하여 인증을 완료합니다.

공개키 암호화 방식의 핵심은 인증 과정에서 비밀번호나 개인키 자체가 네트워크를 통해 서버로 전송되지 않는다는 점입니다. 오직 인증 요청에 대한 전자서명 값만 오고 가기 때문에 중간에서 데이터를 가로채는 중간자 공격(Man-in-the-middle attack)이나 서버 해킹을 통한 대규모 개인정보 유출 사고로부터 안전합니다. 이는 기존의 ID/비밀번호 방식이 가진 고질적인 보안 취약점을 근본적으로 해결하는 패러다임의 전환입니다.

설명이 조금 어렵습니다. 예컨대 아이폰으로 어떤 사이트에 로그인한다고 가정해보겠습니다. 예전에는 아이디와 비밀번호를 서버에 보내 일치하는지 확인을 받았습니다. 문제는 이 과정에서 정보가 네트워크로 흘러가므로 누군가가 중간에서 훔치거나 서버가 털리면 비밀번호가 그대로 유출될 수 있다는 점입니다.

패스키는 방식이 완전히 다릅니다. 아이폰에서 얼굴 인식(Face ID)을 하면 휴대폰 안에만 저장된 개인키가 내가 맞다라는 전자서명을 만들어 서버에 보냅니다. 서버는 미리 받아둔 공개키로 그 서명이 진짜인지 확인만 합니다. 서버는 당신의 비밀번호도, 개인키도 본 적이 없습니다. 확인만 했을 뿐입니다.

비유하면 이렇습니다. 예전 로그인은 집 비밀번호를 경비실에 알려주고 문을 열어달라고 하는 방식입니다. 누군가 듣거나 기록하면 끝입니다. 로그인 과정에서 서버가 원하는 것은 열쇠 자체가 아닙니다. 이용자가 누구인지 증명하는 전자서명입니다. 아이폰이 개인키로 서명을 만들면 서버는 자신이 가지고 있는 공개키로 그 서명이 맞는지만 확인합니다. 맞다면 그 순간 이용자는 진짜가 됩니다. 서버는 비밀번호도, 개인키도 본 적이 없습니다. 단지 확인했을 뿐입니다.

여기서 공개키의 성격을 이해하는 것이 중요합니다. 공개키는 열쇠가 아니라 감정 기준표에 가깝습니다. 진품 여부를 판별할 수는 있지만, 진품을 만들어낼 수는 없습니다. 암호학에서도 동일합니다. 공개키는 검증만 가능하고, 서명을 생성하는 계산은 개인키 없이는 현실적으로 불가능합니다. 현재의 계산 능력으로는 사실상 영원에 가까운 시간이 필요합니다.

그래서 서버가 해킹되어 공개키가 모두 유출되더라도 공격자는 로그인할 수 없습니다. 공격자는 정답을 아는 사람은 될 수 있어도 답안을 작성할 수 있는 사람은 될 수 없습니다.

2. SKT, FIDO 이사회 합류: 단순한 멤버십 이상의 의미

SKT가 FIDO 얼라이언스의 이사회(Board of Directors) 멤버로 합류했다는 것은 글로벌 인증 기술 표준의 방향성을 결정하는 핵심 의사결정 그룹의 일원이 되었음을 의미합니다.

• 기술 리더십 확보: 글로벌 표준 제정 과정에 직접 참여함으로써, 국내 통신 및 ICT 환경의 요구사항을 표준에 반영하고 미래 기술 경쟁에서 주도권을 확보할 수 있습니다.

• 글로벌 네트워크 확장: 구글, 애플 등 세계 최고 수준의 기업들과 어깨를 나란히 하며 기술 교류, 공동 연구개발 등 긴밀한 협력 체계를 구축하고 새로운 사업 기회를 모색할 수 있습니다.

• 기업 신뢰도 제고: 세계적으로 가장 공신력 있는 보안 표준 단체의 이사회 멤버라는 사실만으로도 SKT의 보안 기술력과 안정성에 대한 대외 신뢰도가 크게 향상됩니다.

결론적으로 이는 SKT가 단순한 기술 도입자를 넘어 글로벌 디지털 생태계의 규칙을 만드는 룰 세터(Rule-Setter)로 도약했음을 보여줍니다.

3. 우리 곁의 FIDO: 패스키는 어디에 쓰이고 있나?

FIDO 기반의 패스키 기술은 이미 우리 생활 곳곳에 적용되어 비밀번호 없는 경험을 현실로 만들고 있습니다. 주요 적용 사례는 다음과 같습니다.

4. 소비자 효용 및 미래 전망

SKT의 FIDO 이사회 합류와 패스키 기술의 확산은 소비자에게 편의성과 강화된 보안이라는 두 가지 핵심적인 가치를 제공합니다.

더 이상 서비스마다 다른 비밀번호를 만들고 기억해야 하는 번거로움이 사라지며 동시에 피싱이나 스미싱, 서버 해킹으로 인한 계정 탈취 불안감에서도 해방될 수 있습니다. SKT는 앞으로 자사의 통신 서비스는 물론, PASS 인증 앱, T-world 등 다양한 고객 접점 서비스에 패스키를 순차적으로 적용하여 편리하고 안전한 암호 서스를 제공한다는 계획입니다.

궁극적으로 이는 개인의 디지털 신원(Digital Identity)을 이용자가 직접 안전하게 통제하는 ‘자기주권 신원(Self-Sovereign Identity, SSI)’ 시대로 나아가는 중요한 교두보가 될 것입니다. SKT의 이번 행보가 단순한 기술 도입을 넘어, 더 안전하고 신뢰할 수 있는 디지털 사회를 만들어가는 의미 있는 이정표가 되기를 기대합니다.

참고 자료

[1] FIDO Alliance. "[Passkey use cases](https://fidoalliance.org/passkey-use-cases/?lang=ko )".

[2] Apple Newsroom. "[Apple, Google, and Microsoft commit to expanded support for FIDO standard](https://www.apple.com/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ )". 2022년 5월 5일.

[3] FIDO Alliance. "[Kookmin Bank Leverages CrossCert FIDO to Provide Easy Biometric Authentication to its Customers](https://fidoalliance.org/kookmin-bank-leverages-crosscert-fido-to-provide-easy-biometric-authentication-to-its-customers/?lang=ko )". 2019년 1월 28일.

[4] LINE Engineering. "[FIDO at LINE: 패스워드 없는 세상으로의 첫 발걸음](https://engineering.linecorp.com/ko/blog/fido-at-line )". 2018년 12월 27일.