현대 인증 시스템의 진화
단순 패스워드 인증은 피싱, 크리덴셜 스터핑 공격에 취약합니다. 정보보안기사 시험에서는 FIDO2/WebAuthn, 패스키(Passkey), MFA 유형별 강도, 생체인증 기술이 핵심 출제 범위입니다.
FIDO2와 WebAuthn
FIDO2(Fast Identity Online 2)는 패스워드 없는 인증을 위한 업계 표준입니다.
- CTAP2(Client to Authenticator Protocol): 보안 키(YubiKey, 패스키)와 브라우저/OS 간 통신
- WebAuthn(Web Authentication API): 브라우저와 서버 간 표준 API. W3C 권고안
- 공개키 기반: 인증 시 서버에 비밀번호가 전송되지 않음. 피싱 저항성 높음
- 패스키(Passkey): FIDO2 기반. Apple/Google/Microsoft 지원. 기기 생체인증(FaceID·지문)으로 웹사이트 로그인
MFA 유형별 강도
- SMS OTP: 가장 약함. SIM 스와핑 공격에 취약
- 이메일 OTP: SMS보다 약간 강함. 이메일 계정 침해 시 무력화
- TOTP(Time-based OTP): Google Authenticator, Authy. HOTP 기반 30초 유효. 피싱 공격에 여전히 취약(OTP 입력 유도)
- PUSH 알림: 인증 요청 시 앱에서 승인. MFA 피로 공격(MFA Fatigue)에 취약
- FIDO2 하드웨어 키: 가장 강력. 피싱 완전 저항. 기기 물리적 소지 필요
생체인증 기술
- FAR(False Acceptance Rate): 타인을 정당한 사용자로 인증하는 비율. 낮을수록 보안성 높음
- FRR(False Rejection Rate): 정당한 사용자를 거부하는 비율. 낮을수록 편의성 높음
- EER(Equal Error Rate): FAR = FRR이 되는 지점. 생체인증 시스템 성능 비교 지표
- 생체인증 유형: 지문(가장 보편적), 얼굴인식(FaceID), 홍채(가장 정확), 정맥 패턴
패스워드 정책과 저장
- NIST SP 800-63B 현행 권고: 정기 변경 강제 금지, 복잡성 규칙보다 길이 우선, 유출된 비밀번호 목록 대조
- 안전한 해시: bcrypt(적응형 해시), scrypt, Argon2(NIST 권장). 고의적으로 느린 키 파생 함수
- 레인보우 테이블 방어: Salt(개별 랜덤 값) 추가. 사전 계산 공격 방지
정보보안기사 기출 핵심 정리
- FIDO2 = WebAuthn + CTAP2. 피싱 저항 강력한 인증
- 패스키 = FIDO2 기반 비밀번호 대체 기술
- MFA 강도: FIDO2 > TOTP > PUSH > 이메일 > SMS
- EER = FAR과 FRR이 같아지는 지점(생체인증 성능 지표)
- bcrypt/Argon2 = 적응형 해시. Rainbow Table 방어에 Salt 필수