전체메뉴

[애플경제 전윤미 기자]비밀번호가 없는 IT세상이 오고 있다. 비밀번호를 잊어버려 로그인을 할 때마다 ‘비번찾기’나 리셋을 해야 하는 등 ‘짜증스런’ 경험을 하는 경우가 많다. 이에 MS나 구글, 애플 등은 기존의 비밀번호(Password)대신, ‘비밀키’(패스키, Passkeys)를 개발, 보급하거나 곧 출시를 앞두고 있다.

“짜증스런 비번 대신, ‘패스키’로 암호 시스템 혁파”

4일 구글이 가장 먼저 ‘패스키’의 실용화를 선언하고 나서면서 ‘비밀번호 없는 세상’은 이제 가시화되고 있다.

세계 IT문명을 이끄는 빅테크답게 구글 뿐 아니라, MS, 애플 등도 자신들이 출시한 스마트폰 등 각종 기기와 디바이스와, 자사 스토리지에 임베디드(연계 혹은 저장)된 사용자의 ‘패스키’를 연계한 시스템을 구축하고 있다. 이들은 “지금의 비밀번호는 비밀‘통로’(Pass＋word)나 다름없다”며 현재의 암호 시스템의 혁파를 시도하고 있다.

이미 지난해 6월 애플은 ‘WWC’(개발자 회의)에서 이를 공표한 바 있고, MS나 구글도 빠른 시일엔 ‘패스키’를 실용화할 것이라고 밝혔다. 특히 표준화된 형태의 ‘비번 없는 인증’을 제공하기 위해 ‘FIDO Alliance’(국제생체인증기구)나 ‘World Wide Web Consortium’과 긴밀히 협력, ‘패스키’ 기술 표준화에 박차를 가하고 있다.

그렇게 되면, 사용자들은 macOS Ventura, iOS 16 이상 및 iPad OS 16 이상을 사용하여 지원되는 장치에서 암호를 사용할 수 있게 된다.

그런 가운데, 구글이 “본사 서비스에 로그인하기 위해 간단하고 안전한 방법인 ‘패스키’를 추가하기로 했다”고 밝혀 가장 발빠른 움직임을 보이고 있다.

기술매체 IT프로포탈은 “패스키는 기존 비밀번호나 텍스트 확인 코드의 문제점을 개선한 대안”이라며 이를 반기고 있다. 이 매체는 “다만 사용자는 자신의 패스키를 직접 알 수는 없다.”면서 “그러나 ‘Gmail’과 같은 온라인 서비스에 로그인하려면, 사용자 자신의 스마트폰이나 컴퓨터와 같은 신뢰할 수 있는 장치를 통하면 된다”고 자세한 패스키 등록 방법을 덧붙이기도 했다.

또한 AP통신도 “비밀번호를 ‘싫어하는’ 모든 사람들에게 희소식”이라며 패스키의 장점과 필요성 등을 역시 자세하게 전하기도 했다.

‘패스키’로 개인 디바이스에서 신원 확인

패스키는 일단 PIN 잠금 해제 코드나, 지문, 얼굴 스캔과 같은 생체 인식, 또는 정교한 물리적 보안 동글(dongle)을 사용하여 디바이스에서 신원을 확인하기만 하면 된다. 애써 비밀번호를 기억하거나 저장할 필요가 없다.

구글의 경우는 자사의 다양한 스마트기기나 디바이스와 함께 작동하도록 패스키를 설계했다. 안드로이드폰을 비롯해, 아이폰, 맥, 윈도우 컴퓨터에서도 패스키를 사용할 수 있다.

쉽게 말해 ‘패스키’는 사용자를 위한 비밀번호 없는 로그인 방법이다. 이런 방식의 로그인 표준은 공개 키(Public Key) 암호화를 응용한 것으로, 피싱 등 사이버공격을 방지하는 데 큰 무기가 된다. 패스키를 등록하려면 우선 프라이빗 키(개인 키)가 생성되어 사용자의 스마트폰이나 컴퓨터 등 디바이스에 저장되고, 해당 공개 키가 (구글) 클라우드에 업로드된다.

예를 들어 애플이나, 구글, MS 등과 같은 서비스 공급자마다 별도의 키 쌍(key pairs)이 생성된다. 그러면 사용자가 ‘패스키’로 로그인할 때마다, 자신의 개인 키로 자신을 식별하게 해달라고 이들 서비스 공급자에게 요청하면, ‘공개 키’를 통해 확인, 식별된다.

이를 위해 ‘개인 키’는 디바이스에 저장되며, 매번 서비스 로그인할때마다 해당 디바이스에서 일회성으로 작동되므로, 사용자는 수많은 암호를 기억하거나 인증 프로토콜을 탐색할 필요가 없다.

더욱이 사이버 공격자들로선 해킹이나 멀웨어, 랜섬웨어 공격이 사실상 불가능해진다. 만약 공격을 위해 대상자의 계정에 로그인하려면 잠금 해제된 디바이스에 물리적으로 액세스할 필요가 있다. 그러나 서비스 공급자(빅테크 등)로부터 식별을 받아야 하므로 원천적으로 사용자 디바이스에 대한 액세스가 불가능하다. 그래서 “피싱 공격에 대한 강력한 방어 수단”이란 평가다.

스마트폰 등 디바이스 분실 경우도 큰 문제없어

패스키 인증에도 물론 다소의 문제점은 있지만, “일부 사람들이 생각하는 것만큼 재앙적이지 않다”는게 앞서 IT프로포탈의 분석이다. 사용자가 자신의 스마트폰 등 디바이스를 분실할 때가 그런 경우다. 이런 일이 있어도 크게 걱정할 필요가 없다.

역시 패스키 기술에 박차를 가하고 있는 애플은 이미 사용자가 자신의 아이폰과, 애플의 다른 디바이스가 교차 작동하거나, 아이클라우드(iCloud)에 연결된 패스키를 별도로 생성할 수 있게 한다. 이런 기능으로 인해 설사 사용자가 자신의 특정 디바이스를 분실한 경우라도, 사용자의 계정이 잠기지 않도록 특별히 설계되었다. 또 사용자가 새로운 하드웨어로 업그레이드나, 전환할 때도 한층 원활하게 작동할 수 있도록 한다.

구글 또한 개인의 구글 계정에 연결된 유사한 프로토콜을 사용하고 있다. 예를 들어, 패스키가 내재된 디바이스가 분실되어 위험에 처하면, 구글은 사용자가 별도 계정 설정을 통해 패스키를 즉시 해지할 수 있도록 허용하고 있다.

구글은 “이번 조치로 사용자들이 얼굴 인식과 같은 생체 인식 기술을 사용하거나, ‘로컬 핀’을 사용하여 컴퓨터나 모바일 장치의 잠금을 해제할 수 있게 됨으로써 기존 비밀번호보다 더욱 편리하고 안전한 대안을 제공할 것”이라고 AP통신에 개발 취지를 밝혔다.

보안과 편의성 ‘충돌’하는 기존 ‘비번’ 문제점 해소

이에 AP통신은 구글의 패스키 실용화 발표에 즈음해 특히 기존 비밀번호 문화의 맹점을 짚으며, 이를 높이 평가하고 있다.

즉, 현재의 비밀번호는 잊어버리기 쉽지만 복잡한 것일수록 안전하고, 기억하기 쉽고 간단한 비밀번호는 해킹하기 쉽다는 모순을 안고 있다. 예를 들어 비밀번호를 ‘erVex411$%’ 식으로 설정하면, 안전하긴 하지만 기억하기는 매우 어렵다. 반면에 NordPass의 최근 연구에 따르면 지난 수 년 동안 해킹된 비번 중 가장 많이 사용되고 있는 것은 ‘password123’으로 나타났다. 그야말로 비밀번호가 비밀 통로가 된 셈이다.

단적으로 말해서, 기존 비밀번호는 보안과 사용 편의성이 서로 충돌하는 경우가 많다. 보안을 완벽하게 하기 위해선, 복잡한 암호를 만들고 저장할 수 있는 소프트웨어 기반 암호 관리가 필요하다. 그러나 암호 관리 혹은 암호관리자도 또 다시 암호를 보호해야 하는 마스터 암호를 지니고 있어야 하므로 역시 ‘늪에 빠지게’ 된다. 이러한 모든 문제를 해소하기 위한 것이 ‘패스키’의 탄생이란 얘기다.

내 디바이스에서 ‘패스키’를 설정하려면…

그러면 패스키를 사용하려면 어떻게 해야 할까. 우선 구글 계정에 해당 계정을 활성화하는 것이 먼저다. 그런 다음 신뢰할 수 있는 스마트폰이나 컴퓨터에서 브라우저를 열고 구글 계정에 로그인한다. 다시 g.co/passkeys 페이지를 방문하여 ‘패스키 사용 시작’ 옵션을 클릭하면, 패스키 기능이 해당 계정에 대해 활성화된다.

애플의 경우 디바이스의 ‘키 체인’(Key Chain) 앱을 아직 사용하지 않은 경우, “먼저 키체인 앱을 설정하라”는 메시지가 표시된다. 키체인 앱을 통해 비밀번호를 안전하게 저장하게 된다. 그런 다음 신뢰할 수 있는 디바이스를 연결할 실제 ‘패스키’를 만들 수 있다.

구글 계정에 이미 로그인한 안드로이드폰을 사용하는 경우, 동일한 구글 계정 페이지에서 ‘패스키 만들기’ 버튼을 찾는다. 버튼을 누르면 창이 열리고, 현재 디바이스나 또 다른 디바이스에 패스키를 만들 수 있다.

만약 비밀번호를 만들 수 없는 PC에 있으면 아이폰과 안드로이드 기기에서 일반 카메라로 스캔할 수 있는 QR코드를 열 수 있다. 그 후 이미지에 ‘패스키 설정’ 메시지가 나타날 때까지 스마트폰을 더 가까이 이동해야 하는 경우도 있다.

이런 다양한 방식으로 ‘패스키’를 설정, 연결해둔 후, 구글에 로그인하려면 이메일 주소만 입력하면 된다. 패스키를 설정해둠으로써 스마트폰이나 다른 기기에서 지문, 얼굴 또는 PIN을 입력하라는 메시지가 표시된다. 물론 이 모든 경우에도 본래의 비밀번호는 그대로 있다. 그러나 ‘패스키’를 연계하면, 비밀번호를 써먹을 일이 거의 없을 것인게 구글측의 얘기다.

국제생체인증기구(FIDO Alliance)는 “암호 없는 인증 표준이 보안 측면에서 큰 이점을 제공할 것이라고 믿는다”면서 “특히 ‘FIDO 표준’에 따르면, ‘패스키’는 사용자의 장치에서 웹 사이트나 앱에 더 빠르고, 더 쉽고, 더 안전하게 로그인할 수 있도록 기존의 비밀번호를 대체하는 수단으로서, 피싱과 같은 사이버 공격을 완벽하게 막아낸다”고 AP통신에 밝혔다.