WebAuthn에서 신뢰 당사자(Relying Party)란 무엇인가요?
신뢰 당사자의 개념, WebAuthn/패스키에서의 역할, 그리고 인증 과정에서 신뢰 당사자 ID(rpId)가 어떤 역할을 하는지에 대해 자세히 알아보세요.
이 페이지는 자동 번역되었습니다. 영어 원문은 여기.
신뢰 당사자(Relying Party)란 무엇인가요?#
- WebAuthn 또는 패스키의 맥락에서 신뢰 당사자(Relying Party)는 사용자를 인증하려는 주체입니다. 일반적으로 사용자의 신원을 확인하기 위해 인증자에 의존하는 웹 서버나 서비스를 지칭합니다. 이 인증 프로세스는 원활한 사용자 경험을 제공하는 동시에 안전한 사용자 액세스를 보장합니다.
- "신뢰 당사자"라는 용어는 사용자를 인증하기 위해 외부 인증자(예: 하드웨어 보안 키, 노트북 또는 스마트폰)에 의존하는 것에서 유래했습니다. 인증 프로세스에는 다양한 신뢰 당사자를 구별하는 데 도움이 되는 고유 식별자인 신뢰 당사자 ID(rpId)가 사용됩니다.
핵심 요약#
- 신뢰 당사자는 WebAuthn/패스키를 사용하여 사용자를 인증하려는 주체입니다.
- 주로 외부 인증자에 의존하는 웹 서버나 서비스를 지칭합니다.
- 신뢰 당사자 ID(rpId)는 인증 과정에 필수적인 고유 식별자입니다.
WebAuthn/패스키에서 신뢰 당사자의 역할과 중요성#
신뢰 당사자는 WebAuthn/패스키 생태계에서 필수적인 부분입니다. 더 자세히 살펴보겠습니다:
- 신뢰 당사자의 목표: 주요 역할은 사용자에게 신원 증명을 요청(challenge)하여 인증 흐름을 시작하는 것입니다. 이 챌린지-응답 메커니즘은 권한 없는 주체가 접근하는 것을 방지합니다.
- 인증자와의 상호 작용: 신뢰 당사자는 인증자와 긴밀하게 협력합니다. 사용자가 자격 증명을 제시하면 인증자는 이를 확인하고 서명된 응답을 다시 보냅니다. 그러면 신뢰 당사자는 이 응답을 검증하여 인증 프로세스를 완료합니다.
- 신뢰 당사자 ID(rpId)의 중요성: rpId는 자격 증명의 범위를 제공하므로 매우 중요합니다. rpId가 예상 도메인 또는 출처와 일치하는지 확인하여 신뢰 당사자는 중간자 공격과 같은 잠재적인 공격을 방지함으로써 보안을 강화합니다.
rpId 및 신뢰 당사자의 다른 측면에 대한 자세한 내용은 관련 블로그 기사에서 읽어보세요.
WebAuthn의 신뢰 당사자 접근 방식의 이점:#
- 보안 강화: 외부 인증자에 대한 의존성과 rpId의 범위 바인딩을 통해 WebAuthn의 신뢰 당사자 모델은 추가적인 보안 계층을 제공합니다.
- 사용자 경험 개선: 사용자는 비밀번호를 기억할 필요가 없으므로 비밀번호 관련 침해 사고가 줄어들고 더 원활한 로그인 프로세스를 제공합니다.
- 다용성: 이 모델은 광범위한 인증자를 지원하여 사용자가 선호하는 방법을 유연하게 선택할 수 있도록 합니다.
최신 뉴스를 위해 Passkeys Substack을 구독하세요.
신뢰 당사자 FAQ#
WebAuthn에서 신뢰 당사자 ID(rpId)의 중요성은 무엇인가요?#
rpId는 신뢰 당사자의 고유 식별자로, 자격 증명이 올바른 주체에 범위가 지정되도록 보장합니다. 이는 보안에 중추적인 역할을 하며, 인증 프로세스가 예상 도메인 또는 출처에 연결되도록 합니다. 따라서 피싱 공격을 방지할 수 있습니다.
WebAuthn에서 신뢰 당사자는 인증자와 어떻게 다른가요?#
신뢰 당사자는 사용자에게 챌린지를 보내 인증을 시작하는 반면, 인증자는 사용자의 자격 증명을 확인하고 챌린지에 응답하는 장치 또는 방법입니다.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyWebAuthn의 신뢰 당사자 모델이 더 안전하다고 여겨지는 이유는 무엇인가요?#
WebAuthn의 신뢰 당사자 모델은 외부 인증자와 rpId 메커니즘을 활용하여 공격자가 사용자를 사칭하거나 인증 프로세스를 가로채기 어렵게 만듭니다.
Corbado 소개
Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →
이 글 공유하기
목차
관련 글
