과거에는 비밀번호가 여러 계정 보안의 최전선에 있었지만, 과연 현재 비밀번호는 얼마나 안전할까요?
우리가 사용하는 비밀번호들은 흔히 애완동물 이름, 중요한 날짜, 주요 사건, 이름 등 개인 정보를 조합한 형태로, 소셜 활동을 통해 쉽게 추측할 수 있는 정보들입니다.
더욱이, 계정 유출 시 피해를 줄이기 위해 여러 계정에 각각 다른 비밀번호를 사용해야 하는 상황은 비밀번호 관리를 더욱 복잡하게 만듭니다.
이미지 출처: blog.google
“비밀번호 시대의 종말의 시작”이라는 구글 블로그 게시물 제목처럼, 비밀번호를 점진적으로 퇴출시키려는 논의와 노력이 꾸준히 진행되어 왔습니다. 구글, 애플, 마이크로소프트와 같은 거대 기업들은 이 오래된 기술을 대체하기 위해 패스키 도입을 적극적으로 추진하고 있습니다.
본 글에서는 패스키란 무엇인지, 기존 비밀번호보다 어떤 장점이 있는지, 그리고 구글 계정에 패스키를 설정하는 방법을 단계별로 안내해 드리겠습니다.
패스키란 무엇인가?
패스키는 기존 비밀번호보다 훨씬 안전하고 개선된 사용자 인증 방식입니다. 패스키는 아이디와 비밀번호를 사용하는 대신, 해킹, 피싱, 데이터 유출과 같은 보안 위협에 취약한 기존 인증 방식의 단점을 보완하여 더욱 안전한 인증 수단을 제공합니다.
널리 사용되는 비밀번호 인증 방식과는 달리, 패스키는 비밀번호가 없기 때문에 복잡한 비밀번호를 기억할 필요가 없습니다. 패스키는 계정에 접근하기 전에 PIN, 패턴, 지문, 얼굴 인식과 같은 생체 인증 수단을 통해 본인임을 확인하는 방식을 사용합니다. 따라서 패스키를 사용하려면 해당 기술을 지원하는 기기가 필요합니다.
보안 전문가들은 강력한 비밀번호를 사용하고 각 계정마다 고유한 비밀번호를 설정할 것을 권장하지만, 사용자들은 여전히 취약한 비밀번호를 사용하거나 여러 플랫폼에서 동일한 비밀번호를 사용하는 경우가 많아, 기존 비밀번호 시스템의 취약성을 더욱 심화시킵니다.
이러한 문제점을 해결하기 위해 W3C (World Wide Web Consortium)와 비밀번호 의존도를 줄이는 데 앞장서 온 FIDO Alliance는 패스키를 개발했습니다.
패스키는 기존 비밀번호 기술이 악용했던 보안 취약점을 해결하기 위해 개발되었습니다. 이러한 취약점 때문에 사용자 계정 접근 시 추가적인 보안 계층을 제공하는 2단계 인증이 도입되었고, 여러 계정의 비밀번호를 관리하는 데 도움이 되는 비밀번호 관리자도 널리 사용되게 되었습니다.
패스키는 어떻게 작동할까?
패스키는 웹 기반 인증 API인 WebAuthn을 활용합니다. WebAuthn은 공개 키 암호화 방식을 사용하여 공개 키와 개인 키를 통해 사용자가 계정의 정당한 소유자인지 확인합니다.
기존 비밀번호 방식에서는 비밀번호를 아는 누구든 어디서든 로그인하여 계정에 접근할 수 있지만, 패스키는 엄격한 방법으로 본인임을 확인합니다.
패스키는 공개 키와 개인 키, 두 개의 키로 구성됩니다. 이 두 키는 마치 퍼즐 조각처럼 상호 작용하여 사용자 신원을 확인하고 계정 접근을 허용합니다. 공개 키는 패스키를 생성한 웹사이트나 앱에 저장되며, 개인 키는 안전하게 보관되어 패스키를 생성하는 데 사용된 기기에서만 접근할 수 있습니다.
개인 키는 클라우드 기반 플랫폼에 저장되거나 접근이 불가능하여 해킹이 어렵기 때문에 패스키가 더욱 안전합니다. 예를 들어, 패스키를 사용하여 구글 계정에 로그인하는 경우를 살펴보겠습니다.
패스키가 두 개의 키로 구성되어 있다는 점을 기억해야 합니다. 구글은 암호화된 질문을 사용자의 기기로 전송합니다. 이 때 구글은 이미 사용자의 공개 키를 가지고 있습니다.
기기가 암호화된 질문을 받으면, PIN, 패턴, 혹은 얼굴 인식 기능을 사용하여 휴대폰 잠금을 해제해야 합니다. 그 후, 개인 키를 사용하여 질문에 서명하고, 서명된 질문을 다시 구글로 전송합니다.
구글은 자신이 가지고 있는 공개 키 복사본을 사용하여 이를 확인합니다. 두 키가 일치하면 암호화된 질문이 해독되고, 구글은 사용자의 신원을 확인합니다. 자세히 살펴보면, 패스키는 2단계 인증과 유사하게 작동하지만 더욱 강력한 보안을 제공합니다.
패스키가 더 나은 이유는?
비밀번호보다 더 강력하고 안전합니다.
패스키는 사용자 인증에 공개 키 암호화 방식을 사용하므로 더욱 안전한 인증을 제공합니다. 기존 비밀번호 인증 방식과 비교했을 때 피싱 및 다른 형태의 공격에 대한 저항력이 더 높습니다. 개인 키는 클라우드에 공유되지 않으므로 사용자 본인만이 계정에 접근할 수 있습니다.
편리합니다.
대문자와 특수 문자까지 기억해야 하는 복잡한 비밀번호와는 달리, 패스키는 생체 인증 센서를 사용하여 신원을 확인하므로 더욱 편리합니다. 이를 통해 복잡한 비밀번호를 기억할 필요 없이 간편하게 인증을 처리할 수 있습니다.
제로 침해 가능성
본인 확인을 위해 공개 키와 개인 키가 모두 필요하며, 공개 키가 웹사이트 클라우드에 공개적으로 저장되어 있다고 하더라도, 침해가 발생해도 공개 키를 역설계하여 개인 키에 접근할 수 없으므로 계정 해킹이 사실상 불가능합니다.
향상된 사용자 경험
앞서 언급했듯이, 패스키는 모든 비밀번호를 지속적으로 기억할 필요를 없애고 비밀번호를 잊어버리거나 계정에 대한 접근 권한을 잃을 위험을 제거함으로써 인증 과정을 더욱 사용자 친화적이고 원활하게 만듭니다.
구글 계정에 패스키 설정하기
구글은 2022년 세계 비밀번호의 날에 패스키 도입을 발표했습니다. 현재 사용자들은 비밀번호 기반 인증을 대체하기 위해 패스키 옵션을 활성화할 수 있습니다. 아래에서는 기존 구글 계정에 패스키를 설정하는 방법을 단계별로 안내합니다.
이제 패스키가 활성화되었으므로 비밀번호 없이 로그인할 수 있습니다.
모바일 (안드로이드)에서 패스키 활성화
비밀번호는 이제 끝인가?
다른 신기술과 마찬가지로, 패스키가 널리 사용되기까지는 시간이 걸릴 것입니다. 당분간은 여전히 많은 사람들이 비밀번호를 사용하겠지만, 점점 더 많은 기업들이 비밀번호 없는 인증 방식과 패스키를 선호하게 될 것입니다. 결국에는 비밀번호가 점진적으로 사라질 수도 있습니다.
결론
패스키는 환영할 만한 기술입니다. 공개 키는 자물쇠와 같아서 누구나 접근할 수 있지만, 개인 키라는 올바른 열쇠를 가진 사람만이 자물쇠를 열 수 있습니다. 장기적으로 볼 때, 패스키를 사용하여 비밀번호를 사용하지 않음으로써 얻는 이점은 단점보다 훨씬 큽니다.
기업들이 인증 수단으로 패스키를 채택하는 사례가 늘어나면서, 패스키의 장점을 완전히 이해하게 되면 더 많은 사람들이 패스키를 사용하게 될 것입니다.
다음으로는 애플리케이션에서 패스키/FIDO 인증을 구현하는 방법에 대해 알아보는 것도 좋은 방법입니다.