By Lily Hay Newman, WIRED US
FIDO 얼라이언스(FIDO Alliance)라는 테크 업계 단체인 ‘패스키(passkey)’라는 패스워드 대체 기술이 한층 더 수월하면서 보안 수준이 훌륭한 인증 대체 수단으로 지난 2년 이상 확산됐다. 패스워드처럼 널리, 그리고 깊이 구축된 기술을 대체하기 어렵지만, 2024년 10월 자로 패스키 채택의 중대한 전환점이 될 새로운 기능과 자원이 배포됐다.
2024년 10월 14일(현지 시각) 캘리포니아 칼즈배드에서 개최된 FIDO 얼라이언스의 인증 콘퍼런스(Authenticate Conference)에서 연구원은 기관의 수월한 패스키 채택과 누구나 손쉽게 사용하도록 도움을 줄 두 가지 프로젝트를 발표했다. 하나는 디지털 생태계 간 패스키의 휴대성을 향상하는 인증 교환 프로토콜(CXP)이다. CPX는 사용자의 수요가 갈수록 증가할 것으로 예상된다. 나머지 하나는 개발자와 시스템 관리자가 기존 디지털 플랫폼에 패스키 지원을 수월하게 추가하기 위한 지표, 구축 가이드 등과 같은 자원을 찾을 수 있는 공간인 패스키 센트럴(Passkey Central)이다.
FIDO 얼라이언스 CEO 앤드류 쉬카르(Andrew Shikiar)는 발표 직전 응한 와이어드와의 인터뷰에서 “CXP와 패스키 센트럴 모두 테크 업계의 패스워드 의존도를 멈추기 위한 광범위한 협력의 일부분이다. CXP를 제공하면, 인증 교환에 협력하고자 하는 강력한 경쟁 기업을 패스키 채택 기업으로 확보하게 된다”라고 말했다.
CXP는 FIDO 얼라이언스의 인증 공급사 특수 이해 단체(Credential Provider Special Interest Group)가 작성한 스펙 초안 여러 편을 아우른다. 기술적 표준 개발 작업은 종종 관료주의적 절차로 가득하지만, CXP 생성 자체는 긍정적인 협력이 된 듯하다. 1패스워드(1Password), 비트와덴(Bitwarden), 대쉬레인(Dashlane), 노드패스(NordPass), 엔패스(Enpass) 등 여러 패스워드 매니저 개발사 소속 연구원이 CXP 개발 작업에 참여했다. 신원 공급 기업 옥타(Okta)와 애플, 구글, 마이크로소프트, 삼성 SK텔레콤 등도 참여했다.
스펙이 중요한 이유를 여러 가지 찾아볼 수 있다. CXP는 패스키를 생성하고는 패스키는 심각한 운영체제 공급사와 다양한 기기 간 전환의 어려움을 형성하여 사용자가 패스키 인증 방식을 벗어나지 못하도록 한다는 오랜 비판에 대응할 의도로 등장했다. 하지만 패스워드를 사용할 때도 이미 발견된 문제점이다. 사용자가 특정 패스워드 매니저 프로그램에서 다른 프로그램으로 이동하도록 하는 패스워드 내보내기 기능은 패스워드 노출 위험성이 매우 높다. 또, 기본적으로 모든 패스워드 목록을 텍스트 파일에 남겨둘 수 있다.
패스워드 매니저 프로그램 하나로 모든 기기의 패스워드를 동기화하는 일이 훨씬 더 수월해졌으나 CXP는 플랫폼 간 철저한 보안에 따른 전환을 위한 기술적 과정을 표준화하여 사용자가 무료로 안전하게 디지털 공간을 이동하도록 돕는 것을 목표로 한다. CXP가 패스키를 염두에 두고 설계되었으나 실제로는 패스워드나 다른 유형의 데이터 등 다른 비밀 정보를 안전하게 교환하도록 변경할 수 있다는 사실이 중요하다.
구글 신원 및 보안 그룹 제품 관리자 크리스티안 브란드(Christiaan Brand)는 “앞으로 모바일 운전면허증, 여권 등 사용자가 어디선가 내보내 다른 시스템으로 가져오고자 하는 각종 민감 정보에도 CXP를 적용할 수 있을 것이다. 패스키 채택을 피하는 데 영향을 미친 대다수 문제를 다룬다. 하지만 지난 1년간 받은 부정적인 피드백 대부분 실용성과 특정 공급사 생태계에만 국한될 가능성 우려였다. 이에, 테크 업계가 CXP를 배포하여 패스키가 발전한다는 사실을 암시한다고 생각한다”라고 말했다.
자원 저장소인 패스키 센트럴도 생태계 확장과 완성도 향상이라는 비슷한 목표를 지녔다. 패스키를 사용자 기반을 위해 구축하고자 하는 제품 책임자나 보안 전문가 누구나 패스키 채택 프로젝트 예산 확보를 위해 경영진에게 사업상의 사례를 제시해야 한다. FIDO 얼라이언스는 기본적으로 데이터와 통신 자원 제공 등으로 패스키 채택 홍보를 돕고, 구축 및 배포 가이드, 사용자 경험 및 설계 지침, 접근성 관련 문서, 문제 해결책 등 사전 제작된 자원을 지원한다.
쉬카르는 “FIDO 얼라이언스는 패스키 개발 작업에서 놀라운 성과를 기록했다. 사용성과 사용자 경험 모두 이전보다 훨씬 더 나아졌다. 하지만 최종 작업 목록을 보유하고 적극적으로 작업해야 한다. 최종 작업 목록 중 중요한 요소는 휴대성이다. 세계 각지의 대기업 여러 곳이 현재 패스키를 대규모로 채택했으나 아직 패스키 사용을 시작하지 않은 기업도 많다. 따라서 여러 기업의 성공적인 패스키 채택에 필요한 자원과 자산을 제공하고자 한다”라고 말했다.
크레이그 뉴마크 필란트로피스(Craig Newmark Philanthropies)가 이끄는 사이버 민방위 연합(Cyber Civil Defense)는 패스키 발전 자금을 일부 지원한다. 뉴마크는 콘퍼런스 시작 전 진행된 인터뷰를 통해 패스키가 개인의 디지털 보안과 인터넷 보안 전반에 걸쳐 실제 차이를 가져올 것을 확신한다고 밝혔다.
뉴마크는 “취약점을 보유한 시스템이 많다. 사이버 공격 세력의 패스워드 시스템 공격이 어렵도록 할 만한 여러 가지 요소를 만들어야 한다. 또한, 모든 시스템의 보안을 강화해야 한다. 바로 패스키가 보안 강화에 필요한 요소의 일부분에 해당한다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The War on Passwords Is One Step Closer to Being Over
FIDO 얼라이언스(FIDO Alliance)라는 테크 업계 단체인 ‘패스키(passkey)’라는 패스워드 대체 기술이 한층 더 수월하면서 보안 수준이 훌륭한 인증 대체 수단으로 지난 2년 이상 확산됐다. 패스워드처럼 널리, 그리고 깊이 구축된 기술을 대체하기 어렵지만, 2024년 10월 자로 패스키 채택의 중대한 전환점이 될 새로운 기능과 자원이 배포됐다.
2024년 10월 14일(현지 시각) 캘리포니아 칼즈배드에서 개최된 FIDO 얼라이언스의 인증 콘퍼런스(Authenticate Conference)에서 연구원은 기관의 수월한 패스키 채택과 누구나 손쉽게 사용하도록 도움을 줄 두 가지 프로젝트를 발표했다. 하나는 디지털 생태계 간 패스키의 휴대성을 향상하는 인증 교환 프로토콜(CXP)이다. CPX는 사용자의 수요가 갈수록 증가할 것으로 예상된다. 나머지 하나는 개발자와 시스템 관리자가 기존 디지털 플랫폼에 패스키 지원을 수월하게 추가하기 위한 지표, 구축 가이드 등과 같은 자원을 찾을 수 있는 공간인 패스키 센트럴(Passkey Central)이다.
FIDO 얼라이언스 CEO 앤드류 쉬카르(Andrew Shikiar)는 발표 직전 응한 와이어드와의 인터뷰에서 “CXP와 패스키 센트럴 모두 테크 업계의 패스워드 의존도를 멈추기 위한 광범위한 협력의 일부분이다. CXP를 제공하면, 인증 교환에 협력하고자 하는 강력한 경쟁 기업을 패스키 채택 기업으로 확보하게 된다”라고 말했다.
CXP는 FIDO 얼라이언스의 인증 공급사 특수 이해 단체(Credential Provider Special Interest Group)가 작성한 스펙 초안 여러 편을 아우른다. 기술적 표준 개발 작업은 종종 관료주의적 절차로 가득하지만, CXP 생성 자체는 긍정적인 협력이 된 듯하다. 1패스워드(1Password), 비트와덴(Bitwarden), 대쉬레인(Dashlane), 노드패스(NordPass), 엔패스(Enpass) 등 여러 패스워드 매니저 개발사 소속 연구원이 CXP 개발 작업에 참여했다. 신원 공급 기업 옥타(Okta)와 애플, 구글, 마이크로소프트, 삼성 SK텔레콤 등도 참여했다.
스펙이 중요한 이유를 여러 가지 찾아볼 수 있다. CXP는 패스키를 생성하고는 패스키는 심각한 운영체제 공급사와 다양한 기기 간 전환의 어려움을 형성하여 사용자가 패스키 인증 방식을 벗어나지 못하도록 한다는 오랜 비판에 대응할 의도로 등장했다. 하지만 패스워드를 사용할 때도 이미 발견된 문제점이다. 사용자가 특정 패스워드 매니저 프로그램에서 다른 프로그램으로 이동하도록 하는 패스워드 내보내기 기능은 패스워드 노출 위험성이 매우 높다. 또, 기본적으로 모든 패스워드 목록을 텍스트 파일에 남겨둘 수 있다.
패스워드 매니저 프로그램 하나로 모든 기기의 패스워드를 동기화하는 일이 훨씬 더 수월해졌으나 CXP는 플랫폼 간 철저한 보안에 따른 전환을 위한 기술적 과정을 표준화하여 사용자가 무료로 안전하게 디지털 공간을 이동하도록 돕는 것을 목표로 한다. CXP가 패스키를 염두에 두고 설계되었으나 실제로는 패스워드나 다른 유형의 데이터 등 다른 비밀 정보를 안전하게 교환하도록 변경할 수 있다는 사실이 중요하다.
구글 신원 및 보안 그룹 제품 관리자 크리스티안 브란드(Christiaan Brand)는 “앞으로 모바일 운전면허증, 여권 등 사용자가 어디선가 내보내 다른 시스템으로 가져오고자 하는 각종 민감 정보에도 CXP를 적용할 수 있을 것이다. 패스키 채택을 피하는 데 영향을 미친 대다수 문제를 다룬다. 하지만 지난 1년간 받은 부정적인 피드백 대부분 실용성과 특정 공급사 생태계에만 국한될 가능성 우려였다. 이에, 테크 업계가 CXP를 배포하여 패스키가 발전한다는 사실을 암시한다고 생각한다”라고 말했다.
자원 저장소인 패스키 센트럴도 생태계 확장과 완성도 향상이라는 비슷한 목표를 지녔다. 패스키를 사용자 기반을 위해 구축하고자 하는 제품 책임자나 보안 전문가 누구나 패스키 채택 프로젝트 예산 확보를 위해 경영진에게 사업상의 사례를 제시해야 한다. FIDO 얼라이언스는 기본적으로 데이터와 통신 자원 제공 등으로 패스키 채택 홍보를 돕고, 구축 및 배포 가이드, 사용자 경험 및 설계 지침, 접근성 관련 문서, 문제 해결책 등 사전 제작된 자원을 지원한다.
쉬카르는 “FIDO 얼라이언스는 패스키 개발 작업에서 놀라운 성과를 기록했다. 사용성과 사용자 경험 모두 이전보다 훨씬 더 나아졌다. 하지만 최종 작업 목록을 보유하고 적극적으로 작업해야 한다. 최종 작업 목록 중 중요한 요소는 휴대성이다. 세계 각지의 대기업 여러 곳이 현재 패스키를 대규모로 채택했으나 아직 패스키 사용을 시작하지 않은 기업도 많다. 따라서 여러 기업의 성공적인 패스키 채택에 필요한 자원과 자산을 제공하고자 한다”라고 말했다.
크레이그 뉴마크 필란트로피스(Craig Newmark Philanthropies)가 이끄는 사이버 민방위 연합(Cyber Civil Defense)는 패스키 발전 자금을 일부 지원한다. 뉴마크는 콘퍼런스 시작 전 진행된 인터뷰를 통해 패스키가 개인의 디지털 보안과 인터넷 보안 전반에 걸쳐 실제 차이를 가져올 것을 확신한다고 밝혔다.
뉴마크는 “취약점을 보유한 시스템이 많다. 사이버 공격 세력의 패스워드 시스템 공격이 어렵도록 할 만한 여러 가지 요소를 만들어야 한다. 또한, 모든 시스템의 보안을 강화해야 한다. 바로 패스키가 보안 강화에 필요한 요소의 일부분에 해당한다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The War on Passwords Is One Step Closer to Being Over
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다