전 세계가 패스워드 사용에서 벗어나는 데 수년이 걸릴 것이라는 전망에는 의심의 여지가 없었다. 다지털 인증 기술은 심각한 결함이 있으나 만연하며, 항상 사용되어 왔다. 하지만 지난 5년간 FIDO 얼라이언스(FIDO Alliance)라는 이름으로 알려진 보안 인증 업계는 패스워드가 없는 웹사이트 로그인 방식의 대안인 패스키 채택 지원 측면에서 실제 진전을 거두어 왔다. 그러나 지금도 매일 패스워드를 사용할 것이다. 사실, 마이크로소프트, 구글, 애플 등 여러 기업이 패스키를 널리 채택했으나 지금도 패스키로 보호할 수 있는 계정이 전혀 존재하지 않는다.
이에, 2023년 4월 24일부터 27일(현지 시각), 샌프란시스코에서 개최된 RSA 보안 컨퍼런스(RSA security conference)에서 FIDO2 기술 지원 그룹 공동 의장이자 구글 신원 및 보안 제품 관리자인 크리스티안 브랜드(Christiaan Brand)가 패스키의 새로운 기능과 패스키 채택률 증가 상황을 발표했다. 또한, 현재 패스키가 지난 수십 년간 구축돼 오랫동안 변하지 않은 패스워드의 보안 문제에 대응하는 과정에서 직면한 과제와 패스워드의 우위를 서서히 무너뜨리는 장기전도 검증하였다.
브랜드는 “컨퍼런스에서 강조하고자 한 바는 그동안 패스키 채택 범위 확장 측면에서 많은 성과를 거두었으나 해결하지 못한 문제도 많다는 사실이다. 패스워드는 어디에나 존재한다. 보안 측면에서 나쁜 일이지만, 누구나 패스워드 사용에 익숙해졌다. 사용자는 놀라움과 변화를 원하지 않는다. 따라서 패스키를 증강 기능으로 생각하는 것이 매우 중요하다. 사용자가 더 쉽고 안전한 쪽으로 향하도록 유도해야 한다”라고 말했다.
브랜드는 지난 1년간 FIDO 얼라이언스가 패스워드 사용이 감소한 로그인 방식을 지원할 기능 배포 측면에서 큰 진전을 거두었다고 말했다. 현재 인프라는 패스키를 지원하여 기기 간 동기화가 가능하도록 구축됐다. 항상 사용자 이름과 패스워드 입력을 기본 계정 로그인 방식으로 사용하는 대신 패스키 이용 안내 메시지를 표시하는 서비스를 제공한다. 또한, 블루투스 기반 근거리 감지를 바탕으로 기기 간 패스키 인증 공유도 지원한다. 모두 1년 전 FIDO 얼라이언스가 주요 사용성 문제 해결 사항으로 지목한 부분이다.
[사진=Freepik]
하지만 실질적으로 패스키 채택 과정에는 장벽이 있으며, 그 장벽을 해결하려면 시간이 걸린다. 브랜드는 블루투스 기반 근거리 감지 프로토콜이 종종 블루투스 구축이 어려워지도록 하는 보안 문제를 피하도록 조심스럽게 설계된 점을 예시로 언급했다. 대다수 블루투스의 기능을 제거하고, 데이터 전송이 아닌 근거리 확인 프로토콜만 단독으로 사용하는 것이다. 이러한 접근 방식 덕분에 패스키는 기기와의 연결을 시도할 때 블루투스의 많은 문제점과 신뢰성 문제를 우회할 수 있다.
여러 운영체제와 웹 서비스 전반에 걸친 일관성 있는 사용자 경험 개발은 현재도 다루는 문제이다. 맥에서 기존 패스워드를 이용하여 구글 계정에 접속하고자 할 때는 구글이 자체 서버에 보유한 사용자 계정 정보를 검증하는 방식으로 자격 증명을 확인한다. 그러나 패스키의 보안과 피싱 방지라는 장점은 기존 계정 로그인 방식과는 다르게 작동하기 때문에 가능하다. 패스키를 이용해 맥에서 구글 계정에 접속한다면, 암호화 인증은 기기 내에서 발생하므로 애플이 직접 관여하지는 않는다. 상호작용 도중 발생하는 모든 사용자 경험은 구글이 아닌 맥OS 덕분에 수월해진다.
브랜드는 “내가 구글 패스키 구축 작업을 담당했더라면, 사용자가 애플 기기로 구글 계정에 접속할 때 애플에 관리 권한을 양보할 것이다. 마찬가지로 사용자가 윈도 기기로 구글 계정에 접속할 때는 마이크로소프트 측에 안드로이드와 브라우저 사용자 경험 관리 권한을 넘겨줄 것이다. 따라서 현재 패스키 기술은 플랫폼마다 사용자 경험 패턴과 패러다임이 다른 개발 초창기 단계에 있다. 플랫폼 간의 차이를 좁히는 일은 까다로운 일이다. 업계가 이를 지원하려면 9~12개월이 더 소요될 것으로 예상한다”라고 말했다.
일관성과 지속성 확립의 또 다른 난제는 패스키로 전환하는 데만 오랜 시간이 걸린다는 점이다. 조만간 많은 서비스가 사용자 이름과 패스워드를 이용한 계정 로그인 방식을 계속 지원하여 시스템 보안과 최신 업데이트 상황을 확인함과 동시에 기본적으로 패스키 발전과 진화를 지지할 것이다. 패스워드 로그인 방식이 점차 사라지고 주목을 받지 못한다면, 새로운 유형의 보안 노출이 발생할 수 있다.
하지만 지금 당장 테크 업계는 장기간에 걸친 패스키 전환의 초기 단계에 있다.
브랜드는 “패스키 전환의 문제 중 일부분은 컨퍼런스 현장에서 발표한 바와 같이 패스키 채택 시 모든 기능이 실제로 실행되는 것을 보지 못했다는 점이다. 패스키를 구현한 사례도 있고 일각에서는 패스키 채택 부문에 발을 들이기 시작했다. 하지만 많은 부분이 개발자의 주류 의식에 포함되지 않았으며, 사용자도 마찬가지이다. 대중의 대규모 패스키 채택은 지금도 업계에서 노력하는 부분이다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202305/4718_6185_4443.jpg)
뉴스레터 신청