비밀번호 필요없는 ‘패스키’ 시대 열린다

[애플경제 이윤순 기자] 패스워드(Password)는 더 이상 보안 장치로선 안전하지 않다는 지적이다. 이를 탈취해 해킹하는 보안 사고가 많이 발생함에 따라, 결코 안전하지 않은 로그인 방식으로 인식되고 있다. 이에 애플, 구글, 아마존 등 빅테크들은 ‘패스키(Passkey)’라는 새로운 로그인 방식을 도입하고 있다.

패스키는 기존의 비밀번호와 이중 인증 코드를 대체할 수 있는 안전한 방법으로 평가되고 있다. 이는 공식 사이트로 위장된 웹에선 로그인 자체가 안되고, 서버에서 탈취할 수도 없다. 단지 안면 인식이나 지문 스캔 등을 통해서만 액세스할 수 있어 차세대 보안 인증 장치로 점차 대중화되고 있다.

안면 인식, 지문 스캔으로 로그인

보안업체 이글루코퍼레이션은 이에 대해 “사용자들은 이름과 비밀번호를 재사용하는 것이 보통이나, 걸핏하면 자격증명이 유출되거나 공격자들이 로그인을 악용하곤 한다.”면서 “그 때문에 좀더 안전한 ‘패스키’가 차세대 인증 도구로 떠오르면서 기존 비밀번호 문화를 대체하고 있다”고 진단했다.

이런 경향은 비단 빅테크뿐만 아니다. 이미 국내에서도 많은 기업들이 비밀번호와 이중 인증 코드를 대체하기 위해 패스키를 대거 활용하기 시작했다. 이에 “마이크로소프트 등 일부 기업들은 아예 기업용 패스키를 개발, 금년 내로 출시할 것”이란 얘기다.

물론 많은 기업들은 시스템과 데이터를 보호하기 위한 생체 인식이나, 물리적 키와 같은 추가 보안 계층인 2FA(2단계 인증) 또는 MFA(다단계 인증)를 통해 보안 문제를 해결하려고 노력해왔다. 그러나 아예 비밀번호가 전혀 필요하지 않다는 점에서 ‘패스키’는 전혀 새롭고 획기적인 인증 방법으로 부상하고 있다.

지난해 10월 구글은 “개인 계정의 기본 로그인 자격 증명이 암호키가 될 것”이라고 발표했다. 이 회사는 그러면서 “패스키는 비밀번호 없는 미래를 향한 주요 단계”라고도 했다. 이는 특히 기존의 비밀번호나 다단계 인증 등에 비해 사용하기 쉽고 편리하다는게 장점이다. 역시 이를 도입한 바 있는 애플은 “기존 비밀번호보다 로그인 속도가 빠르고 안전하며, 피싱을 원천봉쇄한다”고 높이 평가했다.

공개 키 암호화 표준 ‘WebAuthn’ 기반 구축

패스키는 공개 키 암호화를 위한 ‘WebAuthentication(WebAuthn) 표준’을 기반으로 구축되었다. 사용자가 계정을 등록하면 운영 체제는 앱이나 웹사이트와 페어링할 고유한 암호화 키를 생성한다. 이때 암호화 키는 모든 계정에 대해 안전하고 고유하게 생성된다. 이때 암호화키 중 하나는 공개되어 서버에 저장되어 있고, 다른 하나는 비공개이며 로그인이 필요하다.

보안업체 캐스퍼스키(Kaspersky)는 “공개 키는 사용자가 가입한 온라인 서비스에 보관되는 반면, 개인 키는 사용 중인 디바이스에 그대로 내장된다”면서 “그러면 로그인할 때마다 공개 키를 사용해 사용자를 인증하며, 이때 개인 키는 절대 공유되지 않으므로 피싱 공격자가 애초 ‘캡처’ 자체가 불가능하다”고 했다.

‘패스키’는 비밀번호와 달리, 굳이 기억하거나 노출할 것이 없다. 그 때문에 더욱 “계정을 인증하는 안전하고 간단한 방법”으로 평가된다. 애초부터 비밀번호 사용 중단을 촉구해온 미국의 시민단체인 ‘FIDO Alliance’도 “비밀번호를 번거롭게 재설정할 필요도 없고, 흔히 가장 평범한 비밀번호를 재사용함으로써 보안이 취약할 우려도 없다는 점에서 패스키가 유력한 대안”이라고 했다.

실제로 이같은 비밀번호의 허술함이 “데이터 침해의 주요 원인”이라는 지적이다. 이에 “랜섬웨어나 계정 탈취는 말할 것도 없고, 자격 증명 도용이 사이버 공격의 약 80%를 차지한다”는 것이다.

패스키 많이 보급됐으나, 아직 대중화 멀어

패스키는 이미 소비자 앱과 서비스 전반에 걸쳐 사용되고 있다. 이미 아마존, 구글, 페이팔 등이 아이폰 등 스마트폰에 패스키를 도입하기 시작했다. 그럼에도 아직은 세계 각국에선 아직 패스키가 대중화되어 있지 않다.

특히 마이크로소프트 시스템이 이를 사용할 준비가 되어 있지 않다는 지적이다. 즉 “많은 기업들이 여전히 (비밀번호가 필요한) 마이크로소프트 엔트라 ID(Entra ID)를 핵심 ID 플랫폼으로 사용하기 때문”이란 지적이다. 그런 가운데 일부 마이크로시스템은 최근 패스키를 지원하기 시작한 것으로 알려졌다.

또 아직은 모든 브라우저와 비밀번호 관리자가 패스키를 지원하지 않고 있다. 실제로 ‘passkeys.directory’에는 현재 패스키를 지원하는 사이트 수가 70개가 조금 넘는 정도다. 보안업체 ‘Keeper Security’는 이에 대해 “다른 원인도 있지만, 많은 사용자들이 비밀번호에 익숙해져 있어 새로운 인증 방법을 채택하는 것을 주저할 수도 있으며, 특히 패스키의 장점을 잘 인식하지 못하기도 한다”고 지적했다.

기업들 아직 낯설지만 점차 도입 사례 늘어나

그럼에도 패스키의 유용함에 대한 기업들의 인식도 점차 높아가고 있다. 앞서 ‘FIDO 얼라이언스’가 펴낸 보고서에 따르면 현재 조사 대상 기업의 92%가 패스키가 전반적인 보안 상태에 도움이 될 것이라고 믿고 있는 것으로 나타났다. 또한 IT 리더 10명 중 9명은 “5년 이내에 비밀번호는 기업체 사이트 로그인의 1/4 미만을 차지할 것”으로 예상하고 있다.

물론 “패스키가 모든 디지털 서비스에 대한 액세스에 있어 유용한 수단이긴 하지만, 모든 유형의 비즈니스에 적합하지는 않다”는 지적도 있다. 특히 금융, 의료, 정부 등 규제가 엄격한 분야의 일부 서비스에는 더 높은 수준의 보안이 필요할 수 있다. 이 분야에선 패스키 동기화 과정에서 오히려 보안상 취약점을 노출할 수 있다는 주장도 있다.

그럼에도 불구하고 패스키 대중화는 시간 문제라는 전망이 설득력을 얻고 있다. 많은 기업들에게 이는 언젠가는 도입해야 할 차세대 보안 도구라는 인식이 빠르게 확산되고 있는 것이다.