보안 키 또는 Windows Hello를 사용하여 Microsoft 계정의 암호 없는 로그인 안전하게 보호하기
2018/11/26 편집자 주:
원 게시물에 암호 없는 로그인의 이용 가능 여부가 추가되었습니다.
안녕하세요 여러분.
오늘의 소식을 한시 빨리 전하고 싶어서 얼마나 흥분이 되는지 모릅니다! 방금 전에 표준 기반 FIDO2 호환 장치를 사용하여 사용자 이름이나 암호 없이 Microsoft 계정에 안전하게 로그인하는 기능을 활성화했습니다! FIDO2는 모바일 환경과 데스크톱 환경에서 표준 기반 장치를 사용하여 간편하게 온라인 서비스의 인증을 받을 수 있도록 지원합니다. 이 기능은 현재 미국에서 이용할 수 있으며, 앞으로 몇 주에 걸쳐서 전 세계에 배포됩니다.
편리한 사용, 강력한 보안, 광범위한 업계 지원이 결합된 이 기능은 가정과 직장에서 실로 혁신적인 경험을 선사할 것입니다. 매월 8억 명이 넘는 사용자들이 Microsoft 계정을 사용하여 Outlook, Office, OneDrive, Bing, Skype, Xbox Live에서 일과 여가를 위해 새로운 것을 만들고, 사람들과 소통하고, 데이터를 공유하고 있습니다. 새롭게 활성화된 기능은 이들의 사용자 경험을 간소화하고 보안을 한층 강화할 것입니다.
오늘부터 FIDO2 장치 또는 Windows Hello를 사용하여 Microsoft Edge 브라우저에서 Microsoft 계정에 로그인할 수 있습니다.
아래의 짧은 동영상을 통해 자세히 알아보세요.
Microsoft는 암호를 없애고 사용자들이 위협으로부터 데이터와 계정을 보호할 수 있도록 지원하기 위해 끊임없이 노력해 왔습니다. Microsoft는 FIDO(Fast Identity Online) 얼라이언스와 W3C(World Wide Web Consortium)의 멤버로서 다양한 파트너들과 협력하여 차세대 인증을 위한 개방형 표준을 개발해 왔는데요. Microsoft가 WebAuthn 및 FIDO2 사양을 사용하여 암호 없는 인증을 지원하는 최초의 포춘 500 기업이 되었다는 자랑스러운 사실을 알려 드립니다. 뿐만 아니라 Microsoft Edge는 주요 브라우저 중에서 가장 다양한 인증자를 지원합니다.
아래에서 작동 방식과 시작하는 방법을 알아보세요.
시작
FIDO2 보안 키를 사용하여 Microsoft 계정에 로그인하려면 다음을 수행합니다.
- Windows 10 2018년 10월로 업데이트합니다.
- Microsoft Edge에서 Microsoft 계정 페이지로 이동하고 평소처럼 로그인합니다.
- 보안> 추가 보안 옵션을 선택하면 Windows Hello 및 보안 키 아래에 보안 키를 설정하는 지침이 표시됩니다. (보안 키는 including Yubico, Feitian Technologies를 비롯해 FIDO2 표준을 지원하는 당사 파트너에게서 구입할 수 있습니다.*)
- 다음번에 로그인할 때 추가 옵션 > 보안 키 사용을 클릭하거나 사용자 이름을 입력합니다. 이렇게 하면 보안 키를 사용하여 로그인하라는 메시지가 표시됩니다.
Windows Hello를 사용하여 Microsoft 계정으로 로그인하는 방법은 다음과 같습니다.
- Windows 10 2018년 10월로 업데이트합니다.
- Windows Hello를 설정해야 합니다. Windows Hello를 이미 설정했다면 다음 단계로 넘어갑니다.
- 다음번에 Microsoft Edge에서 로그인할 때 추가 옵션 > Windows Hello 또는 보안 키 사용을 클릭하거나 사용자 이름을 입력합니다. 이렇게 하면 Windows Hello 또는 보안 키를 사용하여 로그인하라는 메시지가 표시됩니다.
도움이 더 필요하면 설정하는 방법이 안내된 자세한 도움말 문서를 살펴보세요.
*Microsoft는 FIDO2 사양의 선택적 기능 중 몇몇 기능이 보안에 반드시 필요하다고 판단하고 있습니다. 따라서 해당 기능이 구현된 키만 작동합니다. 자세한 내용은 Microsoft 호환 보안 키란?을 참조하세요.
작동 방식
Microsoft는 이 기능을 지원하기 위해 당사 서비스에 WebAuthn 및 FIDO2 CTAP2 사양을 구현했습니다.
FIDO2는 암호와 달리 공개/개인 키 암호화를 사용하여 사용자 자격 증명을 보호합니다. 사용자가 FIDO2 자격 증명을 만들고 등록하면 장치(PC 또는 FIDO2 장치)에서 해당 장치에 개인 키와 공개 키를 생성합니다. 개인 키는 장치에 안전하게 저장되고, 생체 인식이나 PIN과 같은 로컬 제스처를 사용하여 잠금이 해제된 경우에만 사용 가능합니다. 이때 생체 인식 또는 PIN 데이터는 장치를 벗어나지 않습니다. 개인 키가 장치에 저장되는 시점에 공개 키는 클라우드에 있는 Microsoft 계정 시스템으로 전송되어 사용자 계정에 등록됩니다.
이후 사용자가 로그인하면 Microsoft 계정 시스템에서 사용자의 PC 또는 FIDO2 장치에 nonce를 제공합니다. nonce를 받은 PC 또는 장치는 개인 키를 사용하여 nonce에 서명합니다. 서명된 nonce와 메타데이터가 다시 Microsoft 계정 시스템으로 전송되고, 여기서 공개 키를 사용하여 확인됩니다. 서명된 메타데이터(이 메타데이터는 WebAuthn 및 FIDO2 사양에 명시된 바를 따름)는 현재 사용자가 있는지 여부와 같은 정보를 제공하고 로컬 제스처를 통해 인증을 확인합니다. 이러한 과정 덕분에 Windows Hello 및 FIDO2 장치를 사용한 인증은 ‘피싱’이 가능하지 않으며 맬웨어에 의해 도난될 위험도 매우 낮습니다.
Windows Hello 및 FIDO2 장치는 이것을 어떻게 구현할까요? 사용 중인 Windows 10 장치의 기능에 따라 Secure Enclave 또는 소프트웨어 TPM(신뢰할 수 있는 플랫폼 모듈)이 내장되어 있습니다. Secure Enclave는 하드웨어 TPM이라고도 합니다. TPM에는 개인 키가 저장되며, 잠금을 해제하려면 사용자의 얼굴, 지문 또는 PIN이 필요합니다. 이와 마찬가지로, FIDO2 장치는 보안 키처럼 작은 외장 장치로, 개인 키가 저장되며 잠금을 해제하려면 생체 인식 또는 PIN이 필요한 자체 Secure Enclave가 내장되어 있습니다. 두 가지 옵션 모두 등록된 장치와 생체 인식 또는 PIN이 모두 있어야 성공적으로 로그인되는 2단계 인증을 사용합니다.
기술적인 구현 방식에 대해 자세히 설명하고 있는 Identity Standards 블로그 기사를 읽어 보세요.
향후 계획
암호 사용을 줄이고 나아가 암호를 없애기 위한 노력의 일환으로 많은 것들을 준비하고 있습니다. 지금은 Azure Active Directory에서 회사 및 학교 계정으로 로그인할 때와 동일하게 브라우저에서 보안 키를 사용하는 로그인 경험을 만들고 있습니다. 기업 고객은 이 경험을 내년 초에 미리 보기를 통해 만나보실 수 있을 것입니다. 이때 직원들에게 Windows 10 및 클라우드에 로그인하기 위해 각자 계정의 자체 보안 키를 설정하도록 허용할 수 있습니다.
앞으로 WebAuthn 및 FIDO2 표준을 지원하는 브라우저와 플랫폼이 점점 더 늘어나면 여러분이 지금 Microsoft Edge와 Windows에서 사용하는 암호 없는 경험을 모든 곳에서 사용할 수 있게 되지 않을까요?
내년 초에 자세한 소식과 함께 돌아올 때까지 기다려 주세요!
감사합니다.
Alex Simons (@Twitter: @Alex_A_Simons)
프로그램 관리 부문 수석 부사장
Microsoft Identity Division
