By DAVID NIELD, WIRED US

구글이 조만간 안드로이드 운영체제와 구글 크롬 웹 브라우저에 패스키(Passkey)를 지원할 계획이라고 공식 발표했다. 패스키 지원이 의미하는 바가 궁금하다면, 이 기사 내용을 숙지하기를 바란다. 기본적으로 패스키는 더 강력한 보안을 갖춘 패스워드의 대체 수단이다. 기존 패스워드 대신 패스키를 사용하면, 구글, 트위터, 드롭박스 등 서비스 제공 기업을 떠나 다양한 서비스 계정에 접속할 수 있다.

패스키는 사용자에게 실제 키를 제공하지 않는다. 주로 안면 인식 기능이나 지문 인식 기능, PIN 코드로 구성된 일종의 계정 접속 메커니즘을 사용해, 계정 주인이라는 사실과 올바른 목적으로 접속 시도를 한다는 사실을 인증하게 된다.

그러나 단순히 버튼을 누르거나 무언가를 실행하는 것만으로 완료되지 않는다. 개발자는 자신이 개발한 앱과 웹사이트에 패스키를 지원할 코드 작업을 진행해야 한다. 바로 구글이 안드로이드 개발자 블로그(Android Developers Blog)에 패스키 지원 관련 사항을 공지한 이유이기도 하다.

패스키 전환은 업계 전반의 패스워드 제거를 향한 미래 추진의 일부분에 해당한다. 앞서 마이크로소프트도 로그인 방식에서 패스워드 제거 계획을 추진하기 시작했다. 사용자는 패스워드를 별도로 기억할 필요가 없다. 해커 세력이 패스워드 탈취를 시도할 일도 사라질 것이다.
 
패스키 기능 실행 방식
구글이 설명한 바와 같이 패스키는 일부 온라인 서비스에서 특정 사용자 계정을 확인한다. 패스키 기능의 핵심은 사용자가 사용하는 기기에 저장된 암호화 프라이빗 키이다. 그리고 접속하고자 하는 디지털 서비스가 보유한 퍼블릭 키와 비교하는 방식으로 사용자 신원을 확인한다.

계정 로그인 과정에서 신원 인증을 하고자 한다면, 스마트폰이나 컴퓨터 잠금 설정을 해제해야 한다. 스마트폰으로 패스키를 사용하고자 한다면 보통 PIN 코드 입력이나 지문 스캔, 안면 인증 과정 중 하나를 완료해야 한다. 컴퓨터로 패스키를 사용할 때는 신원 검증을 위한 패스워드가 필요하다. 그러나 업계는 패스워드 대신 생체 인증 방식으로 변경하는 추세이다.

실제로 패스키라는 존재를 보거나 패스키가 무엇인지 알 필요는 없다. 로그인을 시도하는 사용자가 계정 주인이기만 하면 된다. 안면 인식 기능이나 지문 인식 기능이 메모장에 기록했을 법한 긴 문자와 숫자, 특수 기호로 조합된 패스워드를 대체한다. 따라서 패스워드 입력 방식보다 훨씬 더 간단하면서 편리하다.

패스키는 퍼블릭 키 암호화 기술을 사용하므로 해커 세력은 계정 안면 인식이나 지문 인식 과정을 반드시 통과해야 한다. 이와 마찬가지로 노트북이나 스마트폰 도난 시 타인이 계정에 접근할 수 없다. 인증 수단을 기기 자체에서 제공하지 않기 때문이다.

패스키 전환은 구글의 단독 계획이 아니다. FIDO 얼라이언스(FIDO Alliance)나 W3C 웹 인증(W3C Web Authentication) 등 다양한 그룹이 패스워드 없는 로그인 방식 전환 작업을 분주하게 진행하고 있다. 따라서 구글, 애플, 마이크로소프트 혹은 기타 하드웨어 제조사 기기 모두 패스키를 지원하게 될 것이다.

패스키 설정 및 사용
희소식을 이야기하자면, 패스키 사용 방식이 스마트폰 화면 잠금 해제만큼 쉽다는 사실이다. 최대한 간단하면서도 쉽게 구성될 의도로 개발된 덕분이다. 개인 계정 로그인 수단으로 기존 패스워드 입력 방식 대신 패스키를 선택할 수 있다. 다만, 패스키로 전환하고자 하는 서비스나 앱에 로그인해야 하며, 사용 중인 기기가 패스키를 지원하도록 업그레이드된 상태여야 한다.

구글이 안드로이드 기기의 패스키 배포를 마쳤다고 가정하면, 패스키를 지원하도록 업데이트된 앱에 로그인해야 한다. 그리고 표준 패스워드에서 패스키로의 전환 명령이 실행되면, 이를 채택해야 한다. 그다음에는 안면 인식이나 지문 스캔, PIN 코드 입력 등 스마트폰 화면 잠금 해제와 같은 방식을 포함한 패스키 생성 요청이 이어진다. 이 모든 과정을 거치면, 사용자가 접속한 앱과 사용 중인 기기 사이에 연결된 패스키와 인증 방식 생성이 완료된다. 추후 패스키 생성 과정을 마친 앱에 로그인할 때마다 같은 과정으로 앱에 로그인할 수 있다. 패스워드와 마찬가지로 패스키 인증 유효 시간은 앱마다 다양하다. 뱅킹 앱은 매번 로그인해야 한다. 반면, SNS 계정은 기기로 처음 접속할 때 한 번 로그인하는 것으로 충분하다.

또한, QR코드라는 마법과 같은 기능을 이용해, 스마트폰을 통해 컴퓨터로도 여러 사이트에 로그인할 수 있다. 접속하고자 하는 웹사이트가 제공하는 QR코드를 스마트폰으로 스캔하면 된다. 스캔 후 모바일 기기에서 잠금 해제 과정이 진행되면서 사용자 신원 확인을 마치게 된다. 그리고 바로 웹사이트에 접속할 수 있다.

기기 전체의 암호화 동기화 상태도 다룬다. 예를 들어, 구글 패스워드 매니저(Google Password Manager)는 패스키 지원 기능을 추가해, 사용자가 기기 한 대의 접근 권한을 상실했을 때 다른 기기나 클라우드를 통해 계정에 접속할 수 있다. 이때, 사용자가 필요한 인증을 제공할 수 있다는 전제에 따라 계정 접속을 지원한다. 안면 인식이나 지문 인식 정보를 변경할 수 없기 때문이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How to Use Passkeys in Google Chrome and Android