비밀번호 없는 세상…‘패스키’ 곧 널리 상용화

[애플경제 이윤순 기자] 흔히 비밀번호를 잊거나, 헷갈려서 로그인에 어려움을 겪는 경우가 많다. 때론 비번이 유출되어서 큰 피해를 입기도 한다. 그러나 앞으로 ‘패스키’가 나오면 그럴 우려가 없다. 그런 가운데 최근 패스키가 각종 기기들 간에, 또는 비밀번호 관리자 공급업체들 간에 통용되는 등 곧 실용화될 전망이다.

16일 인증을 위한 개방형 표준을 만드는 컨소시엄인 ‘FIDO Alliance’가 이처럼 패스키 교환을 표준화하기 위한 매뉴얼 초안을 확정, 공개했다. 이는 온라인 사이버보안과 비밀번호 위주의 관행을 대체할, 큰 변화를 야기하는 변수가 될 전망이다.

이날 ‘폰 아레나’, ‘익스트림테크’ 등에 따르면 FIDO는 일단 두 가지 매뉴얼 초안을 공개했다. 하나는 ‘Credential Exchange Protocol’(CXP)이며, 또 다른 하나는 ‘Credential Exchange Format’(CXF)이다.

사용자들, 기기의 웹과 앱 쉽고 안전하게 로그인

패스키는 비밀번호를 대체할 대안으로 기대를 모으고 있다. 패스키가 실용화되면 사용자가 기기에서 웹사이트와 앱에 더 빠르고 쉽고 안전하게 로그인할 수 있게 된다. 비밀번호와 달리 패스키는 더욱 강력하고, 특히 피싱 등에 강하다.

그러나 지금까지는 패스키를 안전하게 공유할 수 있는 보편적인 방법이 없었다. 이에 ‘FIDO Alliance’가 이 문제를 해결하기 위해 이번에 두 가지 매뉴얼 초안을 확정, 공개한 것이다. 이 기구는 자격 증명 관리자들 간에 비밀번호, 패스키 등을 포함한 자격 증명을 안전하게 주고받을 수 있는 표준화된 프레임워크를 구축한다. “이번에 구축한 전송 프로세스는 민감한 정보가 노출되지 않고 기본적으로 보호되도록 설계되었다.”는 FIDO의 설명이다.

이러한 사양이 완성되고 표준화되면, 자격 증명 공급자들이 이를 구현할 수 있도록 공개적으로 액세스할 수 있게 된다. 이를 통해 사용자들도 안전하고 간편하게 정보를 전송할 수 있게 된다. 아직 초안이긴 하지만, 새롭게 만들어진 표준은 애플, 구글, 마이크로소프트, ㅎ삼성 등 주요 메이커들의 기기와, ‘1Password’, ‘Bitwarden’과 같은 비밀번호 관리자 공급업체들 간에 작동하게 된다.

애플, 구글, 마이크로소프트, 삼성 등 동참

FIDO 얼라이언스는 그 동안 인증을 위한 개방형 표준을 만드는 데 전념한 끝에 결국 ‘비밀번호 없는 미래’를 향한 중요한 성과를 이룬 것이다. 보안을 깨지않고도 비밀번호 관리자나 온라인 계정과 같은 다양한 시스템 간에 패스키를 쉽게 이동할 수 있게 한 것이다. 이미 애플이나 구글, 마이크로소프트, 삼성 등 대기업들은 이전부터 이같은 새로운 시스템에 동참하고 있다. 그래서 모든 사용자나 소비자들이 다양한 기기와 플랫폼에서 패스키를 원활하게 사용할 수 있도록 협력하고 있다.

패스키는 분명 비밀번호보다 더 안전하다. 사용자를 피싱 사기로부터 보호하고 로그인을 훨씬 더 쉽게 할 수 있도록 한다. 자칫 비밀번호를 잊어버리거나, 혼동하면서 각종 기기 로그인에 실패하는 사례도 많다. 패스키는 그런 우려를 없애는 새로운 신기술로 각광받고 있다. 이미 120억 개가 넘는 온라인 계정에서 패스키를 사용하고 있으며, 앞으로 표준화되면 인터넷 공간을 더 안전하고 편리한 장소로 만들 것이란 기대다.

“일단 베타 버전 피드백 거쳐 상용화”

패스키의 중요성을 인식한 FIDO 얼라이언스는 이번에 공개에 앞서 “사용자들에게 더 많은 제어권을 제공함으로써, 비밀번호가 잘못된 사람의 손에 넘어갈까 봐 걱정하지 않고도 여러 시스템 간에 쉽게 전환할 수 있도록 하려고 한다”고 취지를 밝혔다.

‘FIDO Alliance’는 일단 이번 표준화 매뉴얼 초안에 대한 커뮤니티의 의견을 검토하고, 사용자들도 포함한 피드백을 적극적으로 장려하고 있다. 앞으로 “추가 개정이 필요할 수 있으므로 아직 최종 구현을 위한 것이 아니다”는 입장이다. 그러나 초안을 직접 사용해볼 의사가 있는 사용자들은 게시된 초안을 살펴보고, 깃허브 저장소를 통해 피드백에 참여할 수도 있다.

‘FIDO Alliance’는 “이러한 매뉴얼은 전송이 명확하게 이루어지고, 기본적으로 안전한 소통을 보장할 것”이라며 “비밀번호처럼 민감한 정보를 전송, 이동시키는 과정에서 보안이 미흡한 현재의 방법을 크게 개선한 것”이란 설명이다.