지난 몇 년간 패스워드 기반 로그인 시대 종료 선언이 계속 이어졌다. 이제 패스워드가 없는 미래를 향한 큰 도약이 이루어짐과 동시에 수백만 명에게 패스워드 없는 로그인 방식이 배포될 예정이다. 애플이 9월 12일 자로 iOS16을, 한 달 후에는 맥OS 벤투라를 출시한다. 그와 동시에 아이폰과 아이패드, 맥에 패스워드가 사라진 로그인 방식인 ‘패스키(passkey)’가 적용된다.
패스키는 앱과 웹사이트 로그인, 신규 계정 생성 시 새로운 패스워드를 생성하거나 기억, 보관할 필요성을 없앤다. 암호화 키 페어로 구성된 패스키는 기존 패스워드를 대체하며, 아이클라우드 키체인에 동기화된다. 패스워드를 제거하고 온라인 보안을 강화하며, 보안 상태가 완벽하지 않은 패스워드와 지금도 많은 사용자가 지닌 나쁜 습관을 대체한다.
애플의 패스키 배포는 지금까지 이루어진 패스워드가 없는 기술 배포이자 지난 몇 년간 다수 테크 업계 대기업으로 구성된 업계 단체인 FIDO 얼라이언스(FIDO Alliance)가 다년간 작업한 성과를 의미한다. 애플의 패스키는 FIDO 얼라이언스의 보안 표준을 애플이 자체 개발한 버전이다. 즉, 애플의 패스키도 결국, 구글과 마이크로소프트, 메타, 아마존 등 다수 기업의 시스템과 함께 실행될 것이라는 의미이다.
패스키란 무엇인가?
패스키를 사용하는 것 자체는 패스워드를 사용하는 것과 비슷하다. 패스키는 애플 기기의 기존 웹사이트, 앱 로그인 시 사용하는 패스워드 박스에 구축되었다. 패스키는 고유한 디지털 키 역할을 하며, 각각의 앱이나 웹사이트에 생성할 수 있다. ‘패스키’라는 표현 자체는 구글과 마이크로소프트가 사용하는 표현이다. FIDO 얼라이언스는 ‘다중 기기 FIDO 크리덴셜(multi-device FIDO credentials)’이라고 칭한다.
새로운 앱이나 웹사이트를 사용한다면, 처음부터 패스워드 대신 패스키를 생성할 수도 있다. 이미 계정을 보유한 서비스에서는 패스워드로 기존 계정에 로그인한 뒤 패스키를 생성하게 될 확률이 높다.
애플은 패스키 기술이 로그인 혹은 계정 생성 단계에서 패스워드 없는 로그인 접근 방식을 즉시 사용하도록 유도한다. 패스워드 박스는 사용하는 계정의 패스키 저장 여부를 묻는다. 이때, 기기는 페이스 아이디(Face ID)나 터치 아이디(Touch ID) 혹은 그 외 다른 인증 방식으로 패스키를 즉시 생성하도록 한다.
패스키는 생성된 후에 아이클라우드 키체인에 보관되며, 여러 기기와 호환된다. 추가 작업 없이 패스키를 아이패드와 맥북에서 함께 사용할 수 있다는 의미이다. 패스키는 애플의 사파리 브라우저와 애플 기기에서 지원된다. 에어드롭 기능으로 주변 애플 기기와 패스키를 공유할 수도 있다.
애플의 패스키가 FIDO 얼라이언스의 포괄적인 패스워드 제거 표준을 바탕으로 하므로 다른 기기에 패스키를 보관할 수도 있다. 예를 들어, 패스워드 매니저 프로그램 대쉬레인(Dashlane)은 이미 패스키 지원을 공식 발표하며, “독립적이면서 종합적인 기기 및 솔루션 플랫폼 존재”를 주장했다.
애플이 iOS16과 맥OS 벤투라와 함께 패스키를 출시하지만, 패스키와 관련해 몇 가지 주의할 사항이 있다. 먼저, 기기를 최신 운영체제로 업데이트해야 한다. 앱과 웹사이트 모두 패스키 사용을 지원해야 한다. FIDO 표준 사용을 통해 할 수 있는 부분이다. 애플의 업데이트에 앞서 이미 패스키를 지원하는 앱과 웹사이트가 분명하지 않았다. 그러나 애플은 2021년, 자체 개발자 컨퍼런스를 통해 패스키 기술 첫 번째 프리뷰를 진행했다.
[사진=Apple]
애플의 패스키 실행 방식
즉각 드러나는 바는 아니지만, 애플의 패스키는 FIDO 얼라이언스와 월드와이드웹 콘소시엄(WC3)이 개발한 웹 인증 API(WebAuthn)를 기반으로 한다. 패스키 자체는 공개 키 암호화를 사용해 사용자 기기를 보호한다. 결과적으로 패스키는 손쉽게 입력할 수 있는 요소가 아니다.
패스키를 생성할 때, 사용자 시스템이 관련 디지털 키 한 쌍을 생성한다. 애플 인증 경험팀 엔지니어 개럿 데이비드슨(Garrett Davidson)은 패스키 설명 영상을 통해 “디지털 키는 사용자 기기가 생성하여 모든 계정을 안전하면서도 고유한 방식으로 보호한다”라고 설명했다. 디지털 키 중 하나는 공개 키로, 애플 서버에 보관된다. 나머지 하나는 비공개 키이며, 항상 사용자 기기에 보관한다. 데이비드슨은 “서버는 사용자의 프라이빗 키 정보를 절대 알지 못하므로 기기 안전 상태를 유지한다”라고 말했다.
패스키로 한 가지 계정에 로그인하고자 할 때, 로그인을 시도하는 웹사이트나 앱 서버는 기기에 해결해야 할 과제를 전송해, 기본적으로 로그인 상태인지 묻는다. 사용자 기기에 보관하는 비공개 키는 기기에 전송된 해결해야 할 과제에 답변할 수 있으며, 서버로 답을 보낸다. 공개 키가 사용자 기기의 답을 검증해, 로그인을 지원한다. 데이비드슨은 “서버가 사용자의 올바른 프라이빗 키 보유 사실을 확인한다. 그러나 실제 프라이빗 키의 상세 정보는 알지 못한다”라고 말했다.
애플 이외에 다른 제조사 기기도 함께 사용한다면?
애플이 FIDO 얼라이언스 표준을 바탕으로 패스키를 개발했으므로 패스키는 기기와 웹 전 영역에서 지원된다. 윈도 기기로 로그인 시도를 한다면, 다른 방식으로 로그인해야 할 것이다. 윈도 기기에는 패스키가 보관되지 않기 때문이다.
대신, 구글 크롬 환경에서 기기에 로그인하고자 할 때는 QR코드와 아이폰을 사용해 로그인할 수 있다. 아이폰으로 QR코드를 스캔하면, 컴퓨터가 블루투스를 통해 정보를 공유하는 방식으로 단대단 암호화 네트워크를 사용해 로그인 인증을 마칠 수 있다.
데이비드슨은 “QR코드를 이메일로 전송하거나 가짜 웹사이트를 생성하는 방식으로는 로그인에 성공할 수 없다. 원격 공격 세력이 블루투스 광고를 받아 로컬 교환을 마칠 수 없기 때문이다”라고 설명했다. 스마트폰과 웹 브라우저 사이에서 발생하는 과정으로, 사용자가 로그인하려는 웹사이트에는 적용되지 않는다.
애플 이외에도 다른 여러 테크 기업이 다양한 단계에서 자체 패스키 기술을 배포한다. 일례로, 구글은 개발자 페이지를 통해 2022년 말, 안드로이드 개발자용 패스키를 지원하고자 한다고 밝혔다. 마이크로소프트는 수 년 전부터 일종의 패스워드 없는 로그인 방식을 사용하기 시작했으며, 머지않아 다수 사용자가 애플이나 구글 기기의 패스키로 마이크로소프트 계정에 로그인하는 일이 실현될 수 있다고 전했다.
패스키가 패스워드보다 더 낫다?
결점이 없는 시스템은 존재하지 않는다. 그러나 다수 사용자가 사용하는 패스워드는 웹에서 가장 심각한 보안 문제를 일으킨다. 데이터 보안 공격 분석 결과, 매년 다수 사용자가 가장 많이 사용하는 패스워드는 ‘123456789’와 ‘password’로 드러났다. 보안 수준이 약한 반복 패스워드를 사용할 때, 온라인 보안 위험성이 가장 심각하다.
패스워드 제거는 광범위한 지지를 받는다. FIDO 얼라이언스는 테크 업계 대기업 대부분이 가입해, 패스워드를 제거한 보안 로그인 방식 개발 작업을 진행한다. 젠 이스터리(Jen Easterly) 미국 사이버보안 인프라안보국(CISA) 수장은 2022년 5월, 패스워드 없는 로그인 방식 채택을 적극적으로 환영한다고 밝혔다.
애플은 패스키 기술 문서에 “모든 패스키의 보안은 강력하다”라고 기술했다. 구글은 자체 패스키 설명문에 “패스워드의 보안 문제를 실제로 해결하고자 한다면, 패스워드 이상의 방식을 생각해야 한다”라고 작성했다. 구글은 패스키가 피싱 공격 감소에 도움이 될 것이라고 주장한다. 대부분 패스키를 공유하도록 속을 일이 없기 때문이다. 또, 패스키 자체는 서버에 상세 정보가 보관되지 않았다는 점에서 해커 세력의 공격 표적이 될 확률이 적다.
다수 테크 기업이 패스키 사용을 적극적으로 추진하지만, 패스워드는 오랫동안 사라지지 않을 것이다. 패스워드에서 패스키를 활용한 새로운 로그인 방식으로 전환하려면, 신규 시스템을 신뢰하고 제대로 이해해야 한다. 앱과 웹사이트도 패스키를 지원해야 한다. 게다가 iOS의 클라우드 백업과 안드로이드의 호환성이라는 해답을 찾지 못한 문제도 있다. 패스워드는 사라지지 않았으나 패스키 채택률이 증가해도 오랫동안 존재할 것이다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Apple]](/news/photo/202209/4194_5565_5729.png)
뉴스레터 신청