전체메뉴

[애플경제 전윤미 기자] 비밀번호보다 더 안전하고 편리한 ‘패스키’가 부상하고 있다. 정작 패스키란 무엇이며, 어떤 방식으로 어떻게 작동할까. 알다시피 패스키는 보호 대상 시스템에 대한 액세스 권한을 부여하는 데 사용되는 보안 수단이다. 그 점에선 비밀번호와 같다. 그러나 비밀번호와는 전혀 다른다. 패스키는 개인 키 또는 공개 암호화 키를 결합해 사용자를 인증한다. 반면에 비밀번호는 특정 숫자의 문자나 숫자, 특수문자 등에 의존할 뿐이다. 이는 무엇보다. 숫자와 특수 문자로 된 비밀번호를 늘 기억해야 하는 번거로움이 없다.

사용자 ID와 함께 2단계 인증 설정

전문가들의 공통된 정의를 종합하면 패스키는 보안 시스템, 기기, 네트워크 또는 서비스에 액세스하는 데 사용되는 코드 또는 일련의 문자를 말한다. 보통은 사용자 이름 또는 사용자 ID와 함께 2단계 인증을 만든다. 패스키를 설정한 후에는 지문이나 얼굴 인식과 같은 생체 인식 데이터를 통해 로그인하기만 하면 된다. 패스키 사용자들은 로그인이 간단하고 프로세스를 거의 자동화한 것이나 다름없다. 그러나 사이버공격자들에겐 침투가 거의 불가능해진다.

이는 특히 사용자가 어떤 애플리케이션이나, 서비스, 기기를 선택하느냐에 따라 클라우드 동기화 또는 하드웨어 바인딩으로 구성될 수도 있다. 그 만큼 적응력이 매우 뛰어나다는 얘기다.

패스키 기술을 사용하는 앱이나 웹사이트에 처음 액세스하기 위해선 사용자 패스키를 생성해야 한다. 이 패스키는 향후 인증에 필요하며, 사용자의 선택과 선호하는 기기의 기능에 따라 생체 인식 또는 개인 PIN을 사용헤 액세스할 수 있다. 예를 들어 가장 대중적인 패스키 기술인 ‘NordPass’의 경우 웹사이트 계정에 대한 패스키를 자동으로 생성할 수 있다.

이를 위해 수학적으로 연결된 두 개의 암호화 키가 생성된다. 웹사이트, 서비스 또는 애플리케이션 계정에 연결된 공개 키와, 사용자의 하드웨어 또는 클라우드 계정에 남아 있는 개인 키다.

공개키로 개인키 적법성 확인, 액세스 가능 

비밀번호 대신 패스키로 로그인하려면 어떻게 해야 할까. 패스키 인증은 백그라운드에서 수행되므로 사용자 측에서 버튼을 클릭하기만 하면 원활하게 로그인할 수 있다. 서비스나 애플리케이션은 로그인 중에 사용자의 기기에 무작위로 생성된 ‘챌린지’를 전송하고, 사용자는 개인 키로 로그인하면 된다. 그러면 앱이나 웹사이트는 해당 공개 키를 사용, 응답을 확인해 해당 개인 키의 적법성을 확인한다. 이를 통해 액세스가 허용되고, 챌린지 응답에 첨부된 사용자의 검증된 서명이 원래 무작위로 생성된 챌린지와 일치하는게 확인되면서 인증이 검증된다. 만약 일치하지 않으면 액세스가 거부된다.

패스키는 비밀번호와 어떻게 다를까? 비밀번호는 무차별 대입이나, 소셜 엔지니어링, 데이터 침해를 통해 얼마든지 알아낼 수 있다. 그러나 패스키는 그게 불가능하진 않지만, 무척 어렵다. 기기를 물리적으로 훔치거나 클라우드 계정을 침해, PIN을 추측하거나 생체 인증기를 우회할 방법을 찾아야 하는데, 거의 불가능한 일이다. 또한 비번의 경우 사용자가 여러 복잡한 자격 증명을 생성하고 기억하거나 비밀번호 관리자를 사용해야 한다. 그 만큼 번거롭고도 안전하지 않다. 그러나 패스키는 장치의 잠금 해제 메커니즘으로 사용자를 자동으로 인증, 훨씬 간단하고 편리하게 사용할 수 있다.

또 비밀번호는 추가 설정 없이 모든 장치에서 사용할 수 있다. 그러나 패스키는 특정 하드웨어에 바인딩된다. 클라우드 기반 패스키 솔루션은 여러 장치에서 작동할 수 있지만, 개인 키가 로컬이 아닌 다른 사람의 서버에 저장된다는 점을 명심해야 한다.

해커들, 비번과 달리 모든 계정마다 자격증명 생성, 침투 힘들어

비밀번호는 특정 계정에 로그인할 때마다 재사용되므로 해커들이 이를 알아내기만 하면, 무제한으로 사용하며 침투할 수 있다. 반면에 패스키는 쌍으로 된 암호화 키 기술을 사용, 모든 로그인에 대해 고유한 인증 자격 증명을 생성한다. 그러므로 해커로선 매번 ‘추측’하거나 훔쳐내야 하는데, 그게 쉽지 않다.

패스키는 또 피싱과 같은 (비번에 대한) 무차별 대입 공격과 (내부자 유출 등) 사회 공학적 공격에 강하다. 데이터 침해에 노출되지도 않는다. 패스키는 또 생체 인식 로그인이나 PIN 코드처럼 계정을 보호하는 일종의 내장형 2FA로 기기 인증자를 저장한다. 개인 키가 기기에 로컬로 저장되어 있든, 클라우드에 저장되어 있든 간에 해커는 기기에 액세스, 계정을 손상시키기 전에 기기를 인증해야 하는 것이다.

패스키는 또 기억하거나 주기적으로 변경할 필요가 없다. 패스키로 로그인하려면 버튼을 한 번만 누르면 되므로 비밀번호보다 훨씬 간편하다. 계정을 더 잘 보호하기 위해 2FA가 포함되어 있지만, 사용자가 각 개별 로그인에 대해 2차 인증을 제공할 필요는 없다. 기기에 로그인만 하면 해당 세션에 액세스하는 모든 계정에 해당 인증이 적용되기 때문이다.

패스키 기술은 호환을 지원하기 위해 W3C 및 ‘FIDO Alliance’ 표준에 따라 개발되었다. 또한 애플, 구글, MS 등 모든 주요 웹 브라우저가 이를 지원하고 있다. 패스키 기술은 아직 본격적으로 구현되고 있진 않지만, 이미 일부 기업은 패스키가 클라우드에 안전하게 보관되고, 해커에게 노출되지 않는다면 이를 사용자 간 자격 증명으로 공유할 가능성이 크다. 특히 가족, 친구, 동료와 계정 액세스를 공유하는 등 매우 간단하고 빠른 프로세스를 구축할 수 있다.그러나 아직 기업들이 이를 안전하게 관리할 수 있는 방법은 아직 불분명하다.

분명 패스키는 비밀번호보다 더 안전하다. 그러나 패스키의 보안은 공개 키와 개인 키를 암호화하는 데 사용되는 암호화 방법의 강도(强度)나, 기기 인증기의 보안, 패스키 솔루션 제공업체의 신뢰성 등 다양한 요인에 따라 달라진다. 그러나 사용자는 패스키를 더 안전하게 만들 수도 있다. 예를 들어 패스키는 기기 자격 증명을 두 번째 인증 형태로 사용함으로써 PIN 대신 생체 인식 로그인을 사용하면 개인 키의 보안을 강화할 수 있다. 쿠키 수집을 최소화하고, 캐시된 자격 증명을 주기적으로 지우는 것도 웹 보안을 위한 좋은 방법이다. 암호화된 하드 드라이브, 기기 맬웨어 보호, 방화벽과 같은 다른 보안 도구와 제어 기능으로 패스키를 보완하는 것도 중요하다.

생태계 간의 호환 불가 등 한계 극복해야

그러므로 패스키를 해킹하는게 불가능하진 않지만, 비밀번호를 훔치는 것보다 훨씬 어렵다. 패스키는 로컬 기기 인증 및 강력한 암호화를 포함한 여러 계층의 보안 메커니즘이 적용된ㄷ. 클라우드 기반 패스키 솔루션을 사용하더라도 온라인 계정에 액세스하려면 로컬 기기에서 인증해야 한다. 개인 키를 얻는 것만으로는 엑세스할 수 없다.

다만 아직은 초기 단계라고 할 수 있다. 앞으로 패스키 기술이 개선되고 더 많은 기업이 이를 채택하면, 비밀번호가 점차 사라질 가능성이 크다. 다만 아직도 넘어야 할 산이 적지 않다. 예를 들어 특정 생태계에서 생성된 패스키는 다른 생태계에서 쉽게 작동하지 않는다는 점도 문제다. 사용자가 아이폰을 사용, 패스키를 생성하면, 윈도우 랩탑에서 동일한 패스키를 사용할 수 없다. 또한 모든 패스키를 하나의 환경에서 다른 환경으로 전송하는 것이 어렵거나 불가능하다.

그러나 이러한 제한은 실제로 최신 애플, 윈도우, 안드로이드 기기와 함께 제공되는 패스키 도구에만 적용된다. 날이 갈수록 많은 패스티 공급기술이 출시되면서 서로 다른 생태계를 관통하는 크로스 플랫폼을 지원하거나, 쉽게 휴대할 수 있도록 하는 경우가 늘어나고 있다.