[아이티데일리] 디지털 세상의 관문에서 나를 증명하는 데 필요한 아이디와 비밀번호. 하지만 비밀번호가 유출되면 사생활 노출이나 금전적 피해까지 현실적인 위협이 생길 수 있어 철저한 관리가 필요하다. 기업 및 공공기관 등은 위험도가 더 크다. 핵심 시스템 및 정보에 접근 가능한 아이디와 비밀번호가 유출되는 순간 피해는 걷잡을 수 없이 커질 수 있다.

하지만 다행히도 보안 기술은 계속해서 발전하고 있다. 이제 비밀번호 로그인 시대가 서서히 저물고 있는 것이다. 이러한 변화는 최근 글로벌 주요 기업들이 앞다퉈 도입하고 있는 ‘패스키(Passkey)’ 기술이 이끌고 있다. 

패스키 확산을 주도하는 FIDO 얼라이언스(FIDO Alliance)에 따르면, 전 세계 소비자 브랜드의 80억 개 이상 사용자 계정에 패스키가 적용됐으며 인지도 역시 2022년 39%에서 2024년 57%로 급증하는 등 확산 속도가 가파르다는 평가다. 한번 패스키를 사용해본 뒤 계속해서 사용을 이어나가는 경우도 62%에 달하는 것으로 조사됐다.

패스키는 비밀번호를 입력하는 대신 지문, 얼굴 인식, 패턴 등 기기 잠금 해제와 동일한 방식으로 인증하는 차세대 기술이다. FIDO 2.0 및 웹오슨(WebAuthn) 표준을 기반으로 개발된 패스키는 공개키 암호화(Public Key Cryptography) 방식을 활용한다. 사용자 기기에서 공개키와 개인키 쌍이 생성되면, 공개키는 서버에 저장되고 개인키는 사용자의 기기에만 안전하게 보관된다. 지문인식 등으로 로그인 요청이 전송되면, 분산 저장된 공개키와 개인키가 일치해야만 인증이 이뤄지는 구조다.

패스키의 일차적 장점은 비밀번호를 기억하고 입력할 필요 없이 생체인증으로 대체되므로 편의성이 높다는 데 있다. 특히 비밀번호를 입력하는 과정이 없으므로 피싱 공격을 원천 차단할 수 있다는 보안상 이점이 있다. 비밀번호 재사용, 크리덴셜 스터핑, 무차별 대입 공격 등 기존 보안 위협도 무력화된다. 등록된 도메인에서만 작동하기 때문에 가짜 사이트에서는 인증 자체가 불가능하다. 또한 개인키가 절대 외부로 전송되지 않아 서버가 해킹당해도 실제 인증 정보는 안전하다.

패스키는 현재 전 세계적으로 도입이 빠르게 확산되고 있다. 구글은 지난해 말 FIDO 얼라이언스를 통해 8억 개의 구글 계정이 패스키를 사용하고 있으며 지난 2년 동안 25억 건 이상의 패스키 로그인이 이뤄졌다고 발표했다. 아마존은 2024년 전체 사용자가 패스키를 사용할 수 있도록 했으며, 이를 통해 1억 7,500만 개의 패스키가 생성됐고 로그인 속도가 2배 개선됐다고 발표했다.

패스키의 장점도 확실하다. 구글 조사에 따르면 패스키 사용이 비밀번호 로그인보다 40% 빠르며, SMS OTP 대비 로그인 시간을 75% 단축하는 것으로 나타났다. 또한 FIDO 얼라이언스의 소비자 연구에 따르면 패스키를 도입한 기업들은 비밀번호 재설정 요청이 85% 감소하고, 헬프데스크 콜이 30% 이상 줄어드는 등 운영비 절감 효과까지 보고 있는 것으로 나타났다. 

다만 국내는 패스키 도입이 현재까지 다소 제자리걸음이라는 평가다. 하지만 올해부터 도입이 빠르게 확산될 것으로 전망된다. 지난해 11월 카카오는 카카오 계정 로그인에 패스키를 적용했으며, 웹 기반으로 구현해 카카오 로그인을 사용하는 외부 서비스에서도 패스키를 활용할 수 있다. SK텔레콤은 2023년부터 패스키를 인증 서비스 ‘패스(PASS)’에 적용한 후 SaaS(서비스형 소프트웨어) 형태로 기업에 제공하고 있고, KT도 자사 모바일 앱에서 패스키를 활용하고 있다. 여기에 하반기부터는 주요 은행과 증권사 등이 패스키를 시범 적용할 계획을 갖고 있으며, 국내 주요 IT 기업들도 내년까지 도입을 추진하고 있다.

한 국내 보안 업계 관계자는 “미국은 정부와 빅테크를 중심으로 패스키 보급을 적극적으로 추진하고 있어 향후 5년 내 패스키가 안착할 것으로 전망하는 분위기”라면서 “국내도 아이디 비밀번호 체계를 벗어나 전면적 패스키 전환을 주도해야 한다. 정부가 구심점이 될 필요도 있다. 공공기관 로그인에 쓰이는 디지털원패스 앱이 있긴 하지만, 국제 표준으로 자리 잡은 패스키 기술을 적용하는 것도 고려해야 한다”고 덧붙였다.