2년간 넷플릭스 패스워드로 tricke22ry-notiLonal-freely-soSak-lice-slacken를 사용했다. 거짓말이 아니다. 길고 독특한 패스워드이면서 해킹 위험성을 줄일 수 있다. 그러나 각종 보안 조치를 적용한 상태이더라도 패스워드를 TV 키보드 화면에 입력하는 것은 끔찍한 일이었다. 필자의 넷플릭스 계정을 공유하는 가족도 패스워드를 입력해야 하는 번거로움을 성가시게 생각했다. 그러나 이는 그동안 필자가 겪은 패스워드 문제 중 일부분에 불과하다.
필자는 패스워드 매니저를 사용해 피자 배달 웹사이트, 항공사 웹사이트부터 SNS, 온라인 쇼핑까지 지난 10년 넘게 생성한 여러 온라인 계정의 로그인 상세 정보를 생성했다. 그러나 패스워드 매니저 사용을 중단하지 않고, 강력한 보안 수준을 갖춘 패스워드 수백 개를 생성하는 사용자는 소수이다. 대부분 여러 계정의 패스워드를 똑같이 지정하거나 손쉽게 추측할 수 있는 패스워드를 사용한다.
오랫동안 패스워드 보안 침해가 발생했으나 드디어 변화가 시작되었다. 지난 1년간 패스워드 사용을 중단하고 패스키로 전환하는 일이 가능해졌다. 패스키는 기기나 패스워드 매니저에 저장하는 공공 키 암호학을 이용하여 생성하는 코드로, 사용자가 지문이나 안면 인식 기술, PIN 등을 이용해 웹사이트와 앱에 로그인하도록 지원한다. 패스키 기술 개발 작업에 참여한 복수 전문가는 추측이나 유출, 탈취 위험성이 없다는 점에서 패스키가 사용자 활동을 추적하여 피싱 공격을 개시할 위험성을 없앤다고 주장했다. 패스키는 패스워드보다 보안 수준이 더 우수한 것으로 알려졌다.
구글, 애플, 마이크로소프트, 아마존, 깃허브, 페이팔, 영국 국민보건서비스(NHS), 온리팬스(OnlyFans), 닌텐도를 포함하여 총 100개가 넘는 웹사이트가 패스키를 지원하기 시작했다. 지난 10년 넘게 패스키를 개발한 업계 단체인 FIDO 얼라이언스(FIDO Alliance) CEO 앤드류 쉬카르(Andrew Shikiar)는 현재 패스키를 적용할 수 있는 온라인 계정이 80억 개 이상이라고 전했다. 이에, 필자도 패스워드 사용을 중단하고 패스키로 전환하였다.
필자는 지난 한 달 동안 계정을 최대한 많이 생성했다. 지금까지 신규 계정 10여 개를 생성하여 패스키를 사용하면서 패스워드 사용을 영원히 중단했다. 패스키가 간단하게 실행될 때 사용자 수십억 명까지는 아니더라도 수백만 명을 위한 보안을 강화한 미래 온라인 세계와 웹사이트, 서비스 접속 방식을 엿볼 수 있다. 그러나 인터넷에 존재하는 모든 계정의 패스키 설정은 위험성이 존재하면서 시간이 다소 걸리는 것으로 입증되었다.
[사진=Freepik]
패스키 입력
아주 간단하게 설명하자면, 패스키를 설정할 때 웹사이트나 앱에서는 두 가지 코드를 생성한다. 하나는 패스키를 생성하는 웹사이트나 앱에, 나머지 하나는 기기에 저장한다. 로그인 후 안면 스캔이나 지문, PIN 등 평소 기기 잠금을 해제하는 것과 같은 방식을 통해 신원 증명을 한다. 이후 웹사이트나 앱의 코드와 기기의 코드가 같은가 확인한다. 패스키를 생성하면, 사용자는 비교적 간단하게 로그인할 수 있다. 계정 보안 설정에 접속하여 패스키 설정 및 저장만 하면 된다. 단 몇 차례 클릭만으로 완료할 수 있다.
필자가 코인베이스 계정에 접속한 방식을 패스키가 제 기능을 완벽하게 실행한 예시로 언급할 수 있다. 필자는 계정을 생성한 사실을 잊고 있었던 코인베이스 앱에 단 몇 초 만에 로그인할 수 있었다. 아이폰에서 코인베이스 앱을 실행한 뒤 이메일 주소 입력이나 기존 애플 혹은 구글 계정으로 로그인하기 옵션과 함께 등장하는 패스키로 로그인하기를 선택하면 된다. 패스키를 통한 로그인을 선택하자 페이스아이디나 아이디, 패스워드 입력 방식 중 하나를 선택하도록 요청하는 팝업 알림을 보냈다. 그리고 아이클라우드 키체인에 저장한 패스키를 사용한다는 안내 메시지도 보여주었다. 안면 스캔을 신속하게 마치니 로그인 과정이 끝났다. 패스워드, 사용자 이름 모두 필요하지 않았다. 단 20초면 로그인을 마칠 수 있었다.
그러나 필자는 패스키 생성 도중 몇 가지 문제를 접했다. 처음 패스키를 생성하려 했을 당시 재앙과도 같은 상황이 발생했다. 필자의 노트북이 패스키를 지원하는 운영체제를 실행하지 않았던 탓이다. 업데이트를 마칠 때까지 기다리던 중 페이팔 앱에서 계속 오류가 발생한 탓에 패스키 생성 절차를 완료할 수 없었다. 그리고 필자는 평소 업무용 구글 계정을 이용해 계정을 생성하여 틱톡 패스키는 생성할 수 없었다. 아마존 계정 패스키를 생성하려 했을 때는 스마트폰으로 QR 코드를 스캔한 뒤 이전에 사용하던 보통 모바일 환경에서는 패스키를 지원하지 않던 패스워드 매니저를 발견할 수 있었다.
패스키를 사용한다면, 패스워드를 다른 관점에서 생각하게 될 수도 있다. 로그인할 때 특별히 기억할 것은 없으며, 패스키 저장을 위해 다른 요소도 별도로 사용하기만 하면 된다. 패스키는 애플, 구글, 마이크로소프트 패스워드 매니저 시스템, 브라우저, 전용 패스워드 매니저, 물리적 보안 키 등에 저장할 수 있다. 필자는 USB 키에서 구글 패스키를 생성했다. 이후 로그인할 때마다 USB 키를 기기에 연결하기만 하면 된다. (필자가 업무용, 개인용으로 자주 사용하는 기기는 애플 기기이다. 아이폰, 윈도 노트북 간의 패스키 사용은 테스트한 적이 없다,)
쉬카르는 “패스키 기술은 완성도가 높으며, 프론트 엔드는 비교적 최근 형성되었다”라고 전했다. FIDO 얼라이언스는 지난 1년간 사용자 경험 지침 작성 작업을 진행하면서 사용자의 간단한 로그인과 모든 시스템의 패스키 사용을 실현하고자 했다. 패스워드 매니저 개발사 최고 고객 책임자 개리 오렌스타인(Gary Orenstein)은 패스키 생성과 배포 작업에는 여러 이해관계자가 참여하여 누구나 간단한 로그인 방식을 채택하는 세계로 전환하려면, 협력이 필요하다고 설명했다. 그는 “패스키 표준은 1단계에 해당한다. 반면, 사용자 기대치는 다르다. 패스키를 구축하는 개발사는 3단계 과정을 거치면서 통합 작업을 진행 중이지만, 패스키 전환을 마치는 데는 시간이 걸릴 것이다”라고 말했다.
기본적으로 어떤 기기에든 패스키를 저장할 수 있다면, 패스키가 더 유용해지면서 구글이나 마이크로소프트, 애플 중 한 가지 생태계로만 사용 범위가 국한될 일이 없을 것이다. 그러나 패스키를 저장하는 공간을 어느 정도 기억할 필요가 있다. 필자가 패스키 하나를 생성하자 패스워드 매니저와 브라우저, 기기 운영 시스템 등이 각각 패스키를 저장할 것인지 질문하는 알림을 보냈다. 패스키 저장 공간 한 곳만 택하여 계속 사용하는 것이 가장 좋을 것이다.
필자는 노트북으로 대다수 작업을 한다. 필자에게는 스마트폰으로 새로운 앱을 설치하거나 기존 앱에서 로그아웃하는 일이 드문 일이다. 따라서 그동안 패스키 대부분 평소 애용하던 패스워드 매니저인 비트와덴(Bitwarden)에 저장했다. 필자는 평소 비트와덴 프리미엄 계정 연간 사용료 10달러를 부담하고, 패스워드 수백 개를 생성한다. 아마존 계정에 접속할 때는 사용자 이름을 입력하면, 패스키로 로그인할 것인지 묻는 비트와덴 브라우저 확장 팝업창이 등장한다. 패스키는 기기나 하드웨어 키를 이용한 로그인 옵션을 제공하기도 한다. 따라서 한 가지 옵션을 선택하면, 노트북에 저장한 패스키를 살펴본다.
그러나 앞서 언급한 바와 같이 비트와덴은 이제 모바일 환경에서도 패스키를 지원한다. 즉, 모바일 환경을 우선 지원하는 코인베이스와의 통합을 위해 아이클라우드 키체인에 패스키를 저장해야 한다. 오렌스타인은 모바일 환경에서 패스키를 지원하는 것이 비트와덴의 우선 과제이자 조만간 모바일 환경에서의 지원 수준을 추가로 배포할 예정이라고 밝혔다. 오렌스타인은 비트와덴은 지금까지 패스키 채택 범위가 넓은 편이었다고 언급하면서도 사용자가 설정해야 할 변경 사항이 많다는 점도 인정했다. 그는 “지금도 패스키를 저장한 곳을 기억해야 한다. 하지만 시간이 지나면서 업계 전반에 걸쳐 패스키 저장 공간을 기억할 필요성이 줄어들 것이다. 추후 패스키 사용 시 기억해야 할 조건이 모두 사라지기를 바란다”라고 말했다.
패스워드와의 오랜 작별
지금까지 패스키를 일절 생성하지 않았을 수도 있으나 패스키 채택은 시간문제이다. 다수 테크 기업이 패스키를 기본 설정으로 채택하기 시작했으며, 패스키를 채택하는 기업도 증가하는 추세이다. 지난 몇 주간 X(구 트위터)는 일부 사용자의 패스키 사용을 허용했다. 왓츠앱은 안드로이드 기기 대상 패스키를 먼저 배포한 뒤 최근 들어 아이폰과 아이패드로 패스키 지원 범위를 확장하기 시작했다.
패스키 채택을 연구한 독일, 미국 출신 학자인 레오나 라삭(Leona Lassak), 블레이스 어(Blasé Ur), 맥시밀리언 골라(Maximilian Golla)는 그동안 면담한 기업이 전반적으로 패스키 채택을 긍정적으로 생각하며, 추가 보안 조처를 도입할 계획이라고 밝혔다. 다만, 대다수 웹사이트와 앱, 기업 등이 모든 기능에 패스키를 사용하기까지 시간이 걸릴 것이다. 라삭은 “패스키 대규모 채택이 단 몇 개월 만에 끝나지 않을 것으로 예상한다. 패스키 전환은 서서히 진행되면서 다른 기관과 영세 기관도 주목할 것이다”라고 전했다.
결과적으로 패스키는 한동안 일부 인터넷 사용자만 사용하는 로그인 방식이 될 것이다. 지금도 패스워드 로그인 방식을 사용하는 필자의 인터넷 계정 320여 개에도 패스키를 생성하는 데 시간이 오래 걸릴 것이다. 적어도 한동안 필자가 패스키 설정 작업을 해야 하는 계정에는 보안 수준이 비교적 낮은 기존 패스워드를 사용해야 할 것이다. 골라는 “패스키는 패스워드가 더 적지만, 무조건 패스워드가 없다는 뜻은 아니다”라고 언급했다.
다수 전문가가 무조건 모든 온라인 계정 로그인 방식을 패스키로 일관적으로 변경하려 하는 방식 대신 온라인 계정에 접속할 때마다 패스키 몇 가지를 설정하는 방안을 권고한다. 이미 패스키를 채택한 웹사이트 안내도 발행된 상태이다. 구글, 마이크로소프트, 애플 모두 패스키 생성 방법을 간단하게 설명했다. 패스키를 사용하기 시작하면서 누릴 이점도 많다.
쉬카르는 “패스키는 피싱 위협과 패스워드 초기화라는 문제, 서비스 제공사의 불특정 다수 패스워드 관리 책임 등을 없애는 진정한 패스워드 대체 수단이다. 이전과는 전혀 다른 방식의 사용자 인증을 지원할 것이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202402/5378_6963_229.jpg)
뉴스레터 신청