CTAP (Client-to-Authenticator-Protocol)란? 인증기와 기기 통신 표준

CTAP(Client-to-Authenticator-Protocol)는 사용자의 기기(노트북이나 브라우저 등)와 인증기(하드웨어 보안 키나 스마트폰 등) 간의 통신을 간소화하고 보안을 유지하기 위해 설계된 표준화된 메커니즘입니다. 이 프로토콜은 특히 FIDO2 및 WebAuthn 표준의 맥락에서 사용자 인증 과정에 포함된 여러 구성 요소가 효과적으로 상호 작용할 수 있도록 하는 다리 역할을 합니다.

---

한때 온라인 보안의 최고 표준으로 여겨졌던 전통적인 사용자 이름-비밀번호 시스템은 시간이 지나면서 취약점을 드러냈습니다. 사용자들이 기억하기 쉽고(따라서 해독하기도 쉬운) 비밀번호를 선택하거나 여러 플랫폼에서 동일한 비밀번호를 재사용함에 따라, 더 강력하고 안전한 방법이 필수적이 되었습니다. 이러한 시급한 필요성을 인식한 FIDO 얼라이언스는 월드와이드웹 컨소시엄(W3C)과 협력하여 더 강력한 시스템인 FIDO2와 WebAuthn의 개발을 주도했습니다. 그리고 이러한 발전의 중심에는 CTAP가 있습니다. ‍

• WebAuthn 보완: WebAuthn이 사용자 시스템과 신원 확인이 필요한 웹사이트 간의 연결에 중점을 두는 반면, CTAP는 인증기(USB 스틱이나 모바일 기기 등)와 사용자의 주 기기 간의 통신을 규제합니다.
• 보안 강화: CTAP 프로토콜은 지문과 같은 민감한 데이터가 기기를 절대 벗어나지 않도록 보장하여 추가적인 보안 계층을 제공합니다. 이는 데이터 유출 및 피싱 공격과 관련된 위험을 최소화합니다. ‍

• CTAP1 (U2F): 현재 CTAP의 전신인 U2F는 주로 2단계 인증을 목표로 했습니다. 사용자 식별을 위해 서버 측 조회가 필요했기 때문에 그 범위가 다소 제한적이었습니다.
• CTAP2: 더 발전된 버전인 CTAP2는 resident key라는 개념을 도입하여 비밀번호 없는, 심지어 "사용자 이름 없는" 인증을 촉진합니다. 이러한 변화는 더 사용자 중심적인 인증 경험으로 나아가는 중요한 단계가 되었습니다.
• CTAP2.1: CTAP2의 기반 위에 구축된 CTAP2.1은 전체 기기 재설정 없이 개별 키를 업데이트할 수 있는 개선된 resident key 관리와 조직의 통제력을 강화하는 엔터프라이즈 증명(attestation)과 같은 향상된 기능을 도입합니다.

CTAP를 통한 통신은 구조화된 패턴을 따릅니다. 먼저, 클라이언트 소프트웨어(브라우저 등)가 인증기에 연결하여 정보를 요청합니다. 수신된 데이터를 기반으로 적절한 명령을 인증기에 보내고, 인증기는 이에 대한 응답이나 오류 메시지를 다시 보냅니다. 이 반복적인 과정은 인증 중 안전성과 효율성을 모두 보장합니다.

---

둘 다 FIDO2의 중요한 구성 요소이지만, WebAuthn은 사용자 시스템과 신원 확인이 필요한 웹사이트 간의 연결에 중점을 둡니다. 반면 CTAP는 보안 키나 스마트폰과 같은 인증기와 사용자의 주 기기 간의 연결을 규제합니다.

CTAP는 기기와 인증기가 효과적으로 통신하도록 보장하여 패스키와 같은 비밀번호 없는 방법을 효율적으로 만듭니다. 이 통신을 표준화함으로써 CTAP는 다양한 플랫폼과 기기에서 일관성과 보안을 보장합니다.

네, 주로 2단계 인증을 목표로 하는 CTAP1이 있습니다. CTAP2는 resident key를 도입하여 비밀번호 없는 인증을 촉진했습니다. 더 최신 버전인 CTAP2.1은 개선된 resident key 관리 및 엔터프라이즈 증명(attestation)과 같은 향상된 기능을 제공합니다.

CTAP는 지문과 같은 민감한 인증 데이터가 사용자의 기기를 절대 벗어나지 않도록 보장합니다. 사용자가 비밀번호를 제공할 필요가 없으므로, 종종 이러한 자격 증명을 훔치는 피싱 공격이 효과가 없게 됩니다.