(출처: 구글)
아이디⋅패스워드 대신 ‘패스키(passkeys)’를 사용하는 웹사이트가 점차 늘고 있다. 애플은 작년부터 자사 운영체제에 패스키를 지원하기 시작했으며. 마이크로소프트(MS) 역시 지난 9월부터 윈도우 11에 도입했다. 이 외에도 아마존, 닌텐도, 페이팔, 틱톡 등 다양한 기업이 패스키 대열에 합류했다. 패스키 외 다른 로그인 방식을 지원하지 않는 사이트도 존재한다.
구글은 지난 10월 10일(현지시간) 패스키를 기본 옵션으로 설정한다고 밝혔다. 앞으로 구글 계정은 비밀번호 대신 패스키로 로그인할 수 있다.
보안에 취약한 비밀번호
(출처: 구글 가이드북)
현재 대부분의 웹사이트는 아이디, 패스워드를 사용한다. 패스워드는 보통 숫자나 문자, 특수기호를 조합해 만든다. 번호가 복잡할수록 해킹이 어렵기 때문이다.
하지만 이용하는 사이트는 여러 개인데, 사이트마다 복잡한 비밀번호 적용하면 사용자들이 일일이 기억하기 어렵다. 수첩에 따로 적거나 기기에 저장하면 된다지만, 이마저도 번거롭다. 결국 사이트마다 비밀번호를 같거나 비슷하게 만드는 경우가 많다.
그러다 보니 보안 사고가 종종 일어난다. 아이디⋅패스워드 한 쌍만 유출되면 다른 웹사이트 계정까지 줄줄이 해킹당할 가능성이 높다. 서버에 저장된 아이디⋅패스워드가 해킹에 유출되는 일도 심심찮게 발생한다.
비밀번호 단점 보완하는 패스키
(출처: 구글)
패스키는 비밀번호의 취약한 보안성을 강화하기 위한 새로운 기술로 단말기의 잠금해제 방식(생체정보, PIN 번호, 패턴)을 이용해 개인키와 공개키를 연결하는 방식이다.
구체적인 로그인 과정은 다음과 같다. 우선, 패스키를 등록하면 한 쌍의 비대칭 암호 ‘공개키’와 ‘개인키’가 생성된다. 공개키는 서버에, 개인키는 사용자 기기에 저장된다.
로그인 여부는 개인키와 공개키를 비교⋅대조해 결정한다. 사용자가 서버에 인증 요청을 보내면, 서버는 이용자에게 난수로 된 일회용 공개키를 보낸다. 이용자는 자신의 개인키로 공개키에 서명한 뒤 다시 서버에 전송한다. 서버는 사용자가 서명한 개인키와 서버의 공개키가 일치하면 로그인을 승인한다. 겉으로 보이는 과정은 간단하지만, 뒤에서는 복잡한 검증 과정을 거친다.
직접 써보니
(출처: 구글 가이드북)
아이폰에서 가끔 패스키를 지원하는 사이트를 만나곤 했다. 그러나 과정은 편리해도 구체적으로 무엇이 다른지 체감되지 않았다. 그런데 최근 구글이 패스키를 기본 옵션으로 제공하기 시작해면서 기기로 직접 써보니 기존 아이디⋅패스워드와 확연히 다르다는 걸 느꼈다.
맥에서는 구글 서비스 로그인 인증 요청이 오면 기존 맥 잠금해제 비밀번호 입력 창이 뜬다. 번호를 입력하면 로그인 요청이 승인된다. 패스키를 이용한 이후부터 구글 계정의 비밀번호를 입력해 본 적이 없다. 아이폰이나 아이패드에서는 페이스 ID를 사용하기 때문에 더 간편하다.
(출처: 구글)
이렇듯 패스키가 간편하면서 보안에 강한 이유는 단말기 잠금해제와 개인키가 결합돼 있기 때문이다. 개인 단말기에 개인키를 저장해 서버가 해킹당하더라도 로그인 관련 정보가 유출되지 않는다. 가짜 피싱 사이트에는 공개키가 없기 때문에 처음부터 로그인 승인이 불가하다.
게다가 개인키는 별도의 비밀번호를 생성하지 않는다. 스마트폰, 태블릿, PC의 잠금해제 방식인 얼굴⋅지문인식, PIN, 패턴 등을 사용한다. 생체 인식을 사용할 수 있어 보안성을 높일 수 있지만, 생체 인식을 쓰지 않더라도 단말의 잠금 해제 기능과 연결돼 있기 때문에 해킹이 쉽지 않다.
여러 사이트를 이용하더라도 비밀번호를 일일이 외울 필요가 없다. 단말기 잠금해제 기능 하나만으로 모든 사이트에 로그인할 수 있기 때문이다.
구글 패스키 설정법
구글 패스키 설정법은 스마트폰과 태블릿 모두 유사하다. ①우선, 구글 앱이나 웹사이트에서 우측 상단에 있는 계정 아이콘을 누른다. ②사용자 구글 아이디 밑에 있는 ‘Google 계정 관리’에서 ‘보안’ 탭에 들어간다. ③그러면 페이지 하단 ‘Google에 로그인하는 방법’에서 ‘패스키’ 항목이 보인다. ④구글 계정의 기존 비밀번호로 인증 과정을 거치고 나면 얼굴이나 지문 인식, 핀 번호 등으로 패스키를 생성할 수 있다.
윈도우에서는 설정 앱 > 로그인 옵션에서 있는 ‘윈도우 헬로(Window Hello)’를 설정해야 패스키를 쓸 수 있다. 윈도우 헬로는 Windows 10/11 장치에서 PIN, 지문, 얼굴 인식 등을 사용해 로그인할 수 있는 인증 서비스다.
다른 기기에서 로그인 하려면?
(출처: 구글)
패스키는 일반적으로 개인 단말기에 설정한다. PC방이나 도서관, 직장 내 공용 컴퓨터에 자신의 개인키를 저장할 이유가 없기 때문이다. 그렇다면 패스키를 설정하지 않은 기기에서 패스키를 이용해 로그인할 수 있는 방법은 없을까?
이는 ‘QR 코드 스캔’으로 간단히 해결할 수 있다. 기기에서 패스키로 처음 로그인을 시도하면 QR 코드가 표시된다. 패스키가 저장된 자신의 기기로 QR 코드를 스캔하면 블루투스를 통해 개인키 인증 토큰을 전송할 수 있다.
블루투스는 근거리 무선 통신 기술이다. 해킹 우려가 있는 와이파이 대신 기기간 직접 연결을 지원한다. 블루투스로 개인키 인증 토큰을 한 번 전송하고 나면 다음 로그인부터는 QR 코드를 스캔하지 않아도 된다.
패스키, 앞으로의 전망은?
(출처: 구글)
업계에서는 패스키를 도입해 비밀번호에서 완전히 벗어나고자 한다. 하지만 아직 모든 앱과 웹사이트에서 패스키를 사용하는 것은 아니다. 패스키가 비밀번호를 완전히 대체하기까지는 시간이 좀 더 걸릴 것으로 예상된다.
구글은 ‘다른 온라인 계정에서도 패스키를 사용할 수 있도록 계속 업데이트할 것’이라며, 비밀번호가 쓸모 없는 세상이 도래할 것으로 전망했다.
테크플러스 에디터 김하영
tech-plus@naver.com
댓글0