디지털 현대 사회에서 비밀번호는 수없이 많은 경우에 사용된다. 웹사이트에 로그인할 때도, 노트북이나 스마트폰의 잠금을 해제할 때도 비밀번호가 요구된다. 이렇듯 다양한 네트워크, 장비, 계정 등에 로그인할 때 비밀번호는 필수 요소다. 비밀번호가 요구되는 이유는 이런 다양한 장치들을 보호하기 위해서다.
간혹 오랜만에 방문하는 웹사이트나 앱의 경우, 비밀번호를 깜빡해 로그인하는 데 애를 먹는 경우가 있었을 것이다. 수많은 웹사이트를 이용하는 상황에서 모든 웹 사이트의 비밀번호를 다르게 설정하고, 이를 완벽하게 기억하는 것은 어려운 일이다. 그래서 대부분의 사용자가 늘 사용하던 비밀번호를 여러 사이트에서 동일하게 사용하는 경우가 많다. 실제로, 지난해 7월 마이크로소프트(MS)가 미국 성인 1248명을 대상으로 조사한 결과, 응답자 10명 중 1명꼴로 모든 사이트에 동일한 비밀번호를 사용하고 있었다. 하나의 웹사이트만 해킹당해도 개인 보안에 심각한 위협이 초래될 수밖에 없다.
많은 전문가가 웹 사이트별로 다른 비밀번호를 사용하고 주기적으로 변경할 것을 권고해왔다. 하지만 이것 역시 실효성이 떨어진다는 게 주된 의견이다. 애초에 웹 서버에 저장되는 비밀번호 특성상 서버가 해킹되면 유출되는 것은 순식간이다. 그렇기에 비밀번호만으로 보안을 유지하는 것이 어렵다는 지적은 꽤 오래전부터 이어져왔다.
비밀번호를 없이 로그인하는 시대의 도래, ‘패스키’의 등장
이처럼 보안 한계가 드러난 비밀번호를 대체하는 것이 바로 ‘패스키(Passkey)’ 기술이다. 해당 기술은 비밀번호 없이 로그인하는 시대를 열어줄 비밀병기로 꼽히고 있다. 신속 온라인 인증(Fast IDentity Online, FIDO) 연합에서 고안한 패스키는 지문이나 얼굴 인식 등 생체 정보로 모바일 앱이나 웹 사이트 계정에 접근하도록 하는 기술이다.
언뜻 보면 ‘삼성 패스’나 애플의 ‘아이클라우드 키체인’과 같은 암호 관리자 프로그램과 유사해 보인다. 이러한 암호 관리자 프로그램을 사용하려면 사전에 웹사이트 아이디와 비밀번호를 관리자 프로그램에 등록해주는 과정이 필요하다. 여전히 비밀번호가 사용된다. 생체 인식으로 비밀번호를 자동으로 입력해주는 것뿐, 비밀번호가 필요 없는 것이 아니다.
반면 패스키는 처음부터 비밀번호를 요구하지 않는다. 비밀번호 대신, ‘개인 키’와 서버에 등록된 ‘공개 키’를 대조한다. 사용자가 패스키의 주인이 맞다고 판단되면 로그인할 수 있다. 공개 키는 사용자가 이용하는 웹사이트에 따라 다르게 제공되고, 개인 키가 있어야 해독할 수 있다. 일종의 고유한 정보가 담긴 ‘디지털 열쇠’인 셈이다. 패스키를 형성하면 로그인할 때 팝업 창이 나타나고, 이후 생체 정보를 인식해 간단히 로그인할 수 있다.
비밀번호 없는데 더 안전하다고? 패스키가 보안 강화 요소인 이유
일반적으로 패스키는 기존의 비밀번호 방식보다 보안을 향상하는 것으로 평가된다. 개인 키에는 홍채, 지문, 얼굴 인식 등 생체 정보가 활용되기 때문이다. 이러한 생체 정보는 간단한 문자 조합으로 만들어지는 아이디와 비밀번호 방식보다 해킹이 어렵다. 게다가 개인 키는 오로지 사용자의 노트북이나 스마트폰 등 개인 장치에만 저장된다. 데이터 서버나 다른 위치에 개인 정보가 저장되는 것을 방지할 수 있다. 개인 정보를 사용자가 더 능동적으로 관리할 수 있는 것이다.
또한 패스키는 ‘종단 간 암호화(end-to-end encryption, E2EE)’ 기술을 활용한다. 종단 간 암호화는 메시지를 주고받는 등의 사적인 활동을 할 때, 당사자 외에는 정보에 접근할 수 없도록 보호하는 기술이다. 해당 기술은 웹 사이트나 플랫폼 서비스 제공자에게도 공개되지 않는 암호화된 개인 키를 사용할 수 있게 한다.
비밀번호 유출은 서버가 해킹될 때도 일어나지만, 사용자가 공용 컴퓨터를 사용할 때도 쉽게 발생한다. 패스키를 활용하면 공용 컴퓨터에서도 데이터 유출을 최소화할 수 있다. 패스키의 개인 키는 처음 이를 등록한 사용자의 개인 장치에만 저장된다. 그렇기에 공용 컴퓨터에서 패스키를 사용하려면 개인 키를 전송하는 과정이 필요하다.
개인 키를 공용 컴퓨터로 전송하려면 스마트폰 등의 개인 장치로 데스크톱에 나타난 QR코드를 인식해야 한다. 이렇게 하면 블루투스 연결로 개인 키를 데스크톱에 보낸다. 기기간 직접 연결하는 블루투스는 연결하려는 장치 간의 거리가 가까워야 가능하다. 다시 말해, 제3의 장치에서 패스키를 사용하려면 사용자의 장치가 다른 장치 근처에 있을 때만 가능하다. 그렇기에 해커가 다른 장치로 사용자의 패스키를 탈취하는 것이 더욱 어려워진다.
보안 강화와 로그인 과정 간편화…여러 기업이 패스키로 전환 중
사실 암호 없는 로그인에 가장 앞장서는 것은 일명 ‘OS 3대장’으로 불리는 애플, 구글, 마이크로소프트(MS) 등 빅테크 기업이다. 지난 5월, 이들 세 기업은 암호 없는 로그인이 가능하게 할 것이란 공동 목표를 갖고 패스키 도입과 관련해 공동 선언을 하기도 했다. 보안 강화는 물론 생체 인식만으로 간편하게 로그인할 수 있는 장점을 사용자가 누릴 수 있도록 하겠다는 것이다.
애플이 패스키를 처음 언급한 것은 지난해 진행된 회사의 연례 개발자 콘퍼런스인 ‘WWDC 2021’에서였다. 이후 회사는 지난 6월 열린 WWDC에서 애플 패스키에 대한 세부 사항을 공개했고, 8월에는 개발자용 베타 버전을 선보였다. 애플은 마침내 지난 9월, iOS16 공개하면서 패스키를 정식 출시했다.
구글은 지난 5월 회사의 연례 개발자 콘퍼런스인 구글 I/O에서 패스키 도입을 발표했다. 이어서 지난 10월에 베타 버전을 출시해 테스트 사용을 가능케 했다. 그동안 테스트 사용이 가능했던 구글 패스키는 이제 정식 사용이 가능해졌다. 지난 8일(현지 시간) 구글은 암호 없는 로그인을 본격화하고자 크롬용 ‘패스키(Passkey)’를 출시했다. 정식 버전이 출시되면서 윈도우 11은 물론 맥OS와 안드로이드용 크롬에서 패스키를 사용할 수 있게 됐다.
마이크로소프트는 지난해 10월, PIN이나 지문, 얼굴 인식으로 윈도우 11에 접근할 수 있게 하는 ‘윈도우 헬로(Windows Hello)’를 출시했다. 이것으로 웹에서 패스키 로그인을 지원하고 있다. 회사는 조만간 iOS와 안드로이드 기기들에 있는 패스키로 마이크로소프트 계정에 로그인할 수 있도록 지원을 확대할 예정이다.
이외에도 페이팔(Paypal), 이베이(eBay) 등 많은 회사가 패스키 도입 계획을 밝혔다. 빅테크 기업들이 적극적으로 나서서 암호 없는 로그인을 추진하다 보니 해당 기술 채택 속도가 빨라지고 있다. 물론, 여전히 대다수의 앱과 웹사이트들이 패스키를 지원하지 않고 있다. 완전 전환까지는 어느 정도 시간이 필요할 것으로 예상된다. 그럼에도 불구하고, 테크 업계에서 비밀번호 시대의 종말이 다가오고 있다는 기대가 그 어느 때보다 커지고 있다.
테크플러스 에디터 이수현
tech-plus@naver.com
