FIDO: Fast Identity Online 1.0 및 2.0

비밀번호가 없는 세상을 여는 FIDO(Fast Identity Online)의 본질을 꿰뚫는 '제1원칙'에서 출발해 보겠습니다.

이 토픽의 이해는 단순히 '생체 인증'으로 외우는 것이 아니라, "서버에 내 소중한 비밀번호나 생체 정보를 맡겼다가 털리면 어떡하지? 내 정보를 서버에 보내지 않고도 내가 나임을 증명할 방법은 없을까?"라는 개인 정보의 비소지(Non-possession)와 인증의 분리 문제에서 출발해야 합니다.

---

1. FIDO의 최상위 원리: "내 정보는 내 기기 밖을 나가지 않는다"

FIDO의 출발점은 "인증(Authentication)과 식별(Identification)의 분리"입니다.

• 본질 (Local Auth + Remote Verify): 내가 나임을 확인하는 과정(지문, 얼굴 인식 등)은 오직 내 스마트폰(로컬) 안에서만 일어납니다. 서버는 그 결과가 맞는지 '수학적 열쇠'로 확인만 할 뿐, 내 지문 데이터 자체는 절대 구경조차 하지 못합니다.
• 통찰: FIDO는 '비대칭 암호화의 레버리지'입니다. 내 기기에는 '개인키'를 숨기고 서버에는 '공개키'만 줌으로써, 서버가 해킹당해도 내 실제 생체 정보는 안전하게 보호되는 구조적 방어 체계입니다.

---

2. 어디서부터 이해를 시작해야 할까? (3단계 핵심 논리)

'인증의 장소'와 '플랫폼의 확장' 관점에서 접근하십시오.

① FIDO 1.0 (UAF/U2F): "스마트폰 앱의 시작"

• 기본: 주로 스마트폰 앱 환경에서 지문으로 로그인하는 방식입니다.
• 이해: UAF는 지문만으로 로그인하는 것, U2F는 아이디/비번 뒤에 보안 키를 꽂는 2차 인증입니다. "특수화된 도구"로서 초기 모바일 뱅킹 등에 최적화되었습니다.

② FIDO 2.0 (WebAuthn): "웹 브라우저로의 확장"

• 기본: 앱뿐만 아니라 크롬, 사파리 같은 웹 브라우저에서도 PC의 지문 센서나 외부 보안 키를 쓸 수 있게 되었습니다.
• 이해: 플랫폼에 상관없이 어디서든 Passwordless를 구현하는 단계입니다. 나발의 "범용적 레버리지" 원칙처럼, OS(윈도우, 안드로이드)와 브라우저가 하나로 뭉쳐 표준화된 인증을 제공합니다.

③ 핵심 구성 요소: "인증 장치와 서버의 대화"

• 기본: ASM(인증장치 관리), Authenticator(지문 센서 등), FIDO Server의 관계를 봅니다.
• 이해: 사용자가 지문을 대면 기기 내의 안전한 영역(TEE)에서 서명을 만들고, 서버는 공개키로 이 서명을 검증합니다. 이 과정에서 비밀번호는 아예 생성조차 되지 않습니다.

---

3. 사고 기반 답안 매칭

질문	답안 목차	핵심 서술 내용
Why	1. 개요	패스워드 누출/탈취 위험 제거 및 생체 인증의 프라이버시 보호
What	2. 핵심 기술	비대칭 키(Public/Private Key), 생체 인식, 암호화
How	3. 동작 원리	로컬 인증 후 전자서명 전송 (생체 정보 서버 전송 불가)
Compare	4. 1.0 vs 2.0	UAF/U2F(모바일 중심) vs WebAuthn/CTAP(웹/플랫폼 확장)
So what	5. 향후 전망	Passkeys(패스키) 도입을 통한 완전한 패스워드 대체

---

💡 정리를 위한 한 줄 정리

• 토픽: FIDO 1.0/2.0 (Fast Identity Online)
• 개요: 생체 인증 정보를 서버에 저장하지 않고 로컬 기기에서 인증한 후, 비대칭 키 기반의 전자서명 값만 서버로 전송하여 본인을 확인하는 표준 인증 기술.
• 키워드: 서.비.전.불.공.분 (서버 비전송, 비대칭키, 전자서명, 불충분한 정보, 공개키 기반, 분리 인증).

"비밀번호 관리의 고통과 보안 취약점(Why)을 개인 기기 내 로컬 인증(What)으로 해결하고, 웹과 앱을 아우르는 표준 규격(How)이라는 레버리지를 통해 편리하고 안전한 디지털 신원 시대를 여는 것"이 본 토픽의 본질입니다.