▲ FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 2023 [출처 = ISO]2023년 11월30일 ISO/IEC 공동기술위원회 산하 분과위원회 SC 17은 'FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 2023' 문서를 배포했다.ISO/IEC JTC 1/SC 17 카드 및 개인 식별을 위한 보안장치(Cards and security devices for personal identification)는 국제표준화기구(ISO와 국제전기기술위원회(IEC)의 공동 기술 위원회(JTC) ISO/IEC JTC 1의 표준화 분과위원회다.ISO/IEC JTC 1/SC 17의 국제사무국은 영국에 위치한 영국표준협회(BSI)이며 신분증 및 개인 식별 분야 표준을 개발하고 촉진하는 역할을 담당하고 있다.배포된 문서인 'FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 2023'는 ISO/IEC JTC 1/SC 17 워킹그룹 4와 10(WG 4 & 10)을 위한 FIDO 얼라이언스(FIDO Alliance) 연락 문서가 포함됐다.베포된 문서는 FIDO 얼라이언스의 최근 작업 항목 및 프로그램 업데이트 관련된 내용으로 구성됐다. 또한 FIDO 얼라이언스와 관련해 △기술 문서 △인증 프로그램 2024 컨퍼런스 인증 등 3가지 범주를 포함하고 있다.첫째, △클라이언트-인증자(Client to Authenticator, CTAP) 2.2 RD(2023.03. 발행) △FIDO 온보드 장치(FIDO Device Onboard, )FDO) v1.1 제안된 표준(2022.04. 발행) △FDO(FIDO Device Onboard) 어플리케이션 노트 등 기술문서에 관한 것이다.둘째, △FIDO 사용자 인증 프로그램(FIDO User Authentication Programs) △FIDO 원격 신원 확인(IDV) 프로그램(FIDO Remote Identity Verification (IDV) Programs) △FIDO 온보드 장치 인증(FIDO Device Onboard Certification) △FIDO 인증 전문가 프로그램(FIDO Certified Professional Program) 등 인증 프로그램과 관련돼 있다.셋째, FIDO 얼라이언스(FIDO Alliance)가 주최해 개최하는 'Authenticate 2024 Conference'는 FIDO 기반 sign-ins에 중점을 두고 모든 사용자 인증 측면을 다루는 업계 유일의 컨퍼런스다.컨퍼런스 2024년 연사 모집을 시작했으며 2024년 3월4일까지 제안서를 제출하면 된다. 관련 정보는 https://authenticatecon.com/에 접속해 확인힐 수 있다.- 이하 생략 -

▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]컴퓨터와 인터넷의 보급으로 정보사회가 진전되면서 전 세계가 하나의 글로벌 빌리지, 즉 지구촌으로 동화되고 있다. 디지털 혁명은 디지털 서비스와 전자성거래의 발전을 가속화시켰다.2020년 1월부터 확산된 코로나19 팬데믹(대유행) 영향으로 대면 접촉이 제한되면서 비대면 서비스의 중요성은 높아졌다. 사이버 세상에서 상호작용이 증가하며 덩달아 전자거래 사기도 늘어났다.개인의 신원을 조작하거나 위변조할 수 있는 기술이 개발됐기 때문이다. 이로써 법인이나 개인 또는 전자 서비스 내 실체를 식별하는 디지털 신원(Digital identity)의 중요성이 부각됐다.디지털 신원 즉 디지털 ID 영역에는 다양한 표준이 있다. 디지털 ID 표준은 △정책 설명 △디지털 ID 발급 및 관리 서비스 △사용할 형식 및 프로토콜 △관련 서비스 감사 방법 △서비스 장치에 대한 요구사항 △추천하는 프로세스 및 알고리즘 등을 포함한다.디지털 ID 표준 개발은 유럽표준화기구, 국제표준화기구, 상업 포럼 및 컨소시업 등 다양한 기관과 조직이 수행하고 있다. 세부적으로 살펴보면 다음과 같다.▶유럽 표준화 기구(European standardisation organisations)   - 유럽전기통신표준협회(European Telecommunications Standards Institute, ETSI)   - 유럽표준화위원회(European Committee for Standardization, CEN)   - 유럽전기표준화위원회(European Committee for Electrotechnical Standardization, CENELEC)▶국제표준화기구(international standardisation organisations)   - 세계표준화기구(International Organization for Standardization, ISO)   - 국제전기통신연합(International Telecommunication Union, ITU)   - 미국 전기전자공학자협회(Institute of Electrical and Electronics Engineers, IEEE)   - 국제전기기술위원회(International Electrotechnical Commission, IEC)   - 정보기술보안평가 공통기준(Common Criteria for Information Technology Security Evaluation, Common Criteria)   - 유엔 국제민간항공기구(International Civil Aviation Organization, ICAO)▶상업 포럼 및 컨소시엄(commercial forums and consortia)   - 국제인터넷표준화기구(Internet Engineering Task Force, IETF)   - 인증기관 브라우저 포럼(Certification Authority Browser Forum, CABF)   - 클라우드 시그니처 컨소시엄(Cloud Signature Consortium, CSC)   - 오아시스(Organization for the Advancement of Structured Information Standards, OASIS)   - OpenID 재단(OpenID Foundation, OpenID)   - FIDO 얼라이언스(FIDO Alliance, FIDO)▶국가 조직(national organisations)   - 프랑스 정보시스템 보안기구(Agence nationale de la sécurité des systèmes d’information, ANSSI)   - 독일 사이버보안 당국(Bundesamt für Sicherheit in der Informationstechnik, BSI)   - 영국표준협회(British Standards Institution, BSI)   - 미국 국립표준기술원(National Institute of Standards and Technology, NIST)일반적으로 처음 제정하는 표준은 공통된 작업 방식에 동의하는 것을 중요하게 여겨 프로토콜 및 형식과 같은 상호 운용성에 초점을 맞춘다. 디지털 ID도 예외는 아니었다.이후 장치 인증뿐만 아니라 서비스 제공업체의 정책 요구사항에 대한 보안 관련 표준이 제정됐다. 이를 통해 모범 사례를 설명하고 유사한 수준의 보안을 설정했다.

▲ 국제생체인증협(Fast IDentity Online, FIDO Alliance) 홈페이지국제생체인증협(Fast IDentity Online, FIDO Alliance)에 따르면 FIDO UAF 1.2, CTAP 2.1 사양이 국제 표준으로 인증을 받았다.FIDO 표준은 국제전기통신연합 전기통신 표준화 부문(International Telecommunication Union's Telecommunication Standardization Sector, ITU-T)으로부터 국제표준으로 승인받았다.ITU-T는 UN(United Nations) ICT 전문기구인 ITU의 표준화 기관이다. 표준 인증은 정보통신기술(information and communication technologies, ICT)의 글로벌 인프라에 대한 공식 ITU 표준(ITU-T 권고안)으로 설정됐다.ITU-T 권고안(ITU 표준) 사양은 다음과 같다. FIDO UAF 1.2(권고안 ITU-T X.1277.2)는 사용자가 로컬 장치에 인증하기 위해 생체 인식 및 기타 양식을 사용함으로서 암호 없이 인증을 제공하는 모바일 표준이다.CTAP 2.1 (권고안 ITU-T X.1278.2)는 W3C 웹 인증 표준과 함께 FIDO2 사양의 일부로서 비밀번호 없는 2단계 또는 다단계 인증 경험을 위해 USB, NFC, 또는 BLE를 통해  FIDO2 지원 브라우즈 및 운영체제에서 인증을 위해 FIDO 보안 키, 모바일 장치 등 외부 인증자를 사용할 수 있도록 했다.참고로 ITU-T 권고안은 보안을 위한 ITU 표준화 전문가 그룹인 ITU-T 스터디그룹 17의 책임 하에 있다. ITU-T의 인증은 FIDO 인증기술의 성숙도를 보여주고 W3C(World Wide Web Consortium)과의 표준화 작업을 보완한다.FIDO UAF 및 CTAP 사양의 이전 사양은 2018년 ITU 표준으로 처음 채택됐다. ITU-T 연구그룹 17은 FIDO 얼라이언스와 협력을 계속 지속해 나갈 방침이다.

미국 생체인식 테스트 랩(Biometrics test lab)인 아이베타(iBeta)에 따르면 생체인식 프레젠테이션 공격 감지(PAD) 테스트와 관련해 ISO 30107 표준과 FIDO(Fast Identity Online) 표준의 효율성을 비교하는 보고서를 공개했다.2개 인증 모두 생체 인식 보안 표준을 준수하는 것으로 국제적으로 인정된다. ISO 30107을 획득하기 위한 테스트는 한 레벨에서만 성능 테스트를 요구하고, FIDO는 두 레벨 모두에서 테스트를 요구한다는 점에서 차이가 난다.ISO 적합성 테스트는 '라이브니스 전용(liveness-only)'과 '전체 시스템(full-system)'의 2가지 모드를 포함한다. 2가지 모드 모두 시스템의 보안 보호 장치에 침투하도록 설계된 마스크와 같은 PAI(presentation attack instruments)을 생성해야 한다.라이브니스 전용 테스트는 생체 인식 시스템이 살아있는 인간과 공격을 구별하는 능력을 평가한다. 전체 시스템도 개개인을 구별하는 생체 시스템의 능력을 테스트한다.반면에 FIDO 얼라이언스(Alliance) 의 생체 인식 구성요소 인증에서는 PAD 테스트 단계와 성능 테스트 단계가 포함된다. 첫 번째 단계에서는 생체 인식 시스템이 실험실 환경에서 테스트되는 것을 확인한다. 두 번째 단계에서는 실제 조건을 반영하는 인구 집단에서 대량 테스트가 실행된다.이와 같은 차이점을 바탕으로 아이베타는 은행이나 기타 금융 기관에 기술을 판매하려는 회사는 어떤 유형의 테스트가 필요한지를 알려주고 있다.▲ 아이베타(iBeta)의 홍보자료(출처 :  홈페이지)