"매번 털리는 패스워드 안녕…이젠 패스키로 가야 할 때"

"대부분의 보안 사고는 패스워드 사용으로 인해 발생합니다. 패스워드는 해킹에도 취약하며, 서비스를 제공하는 입장에서도 사용성을 떨어지게 만드는 요인입니다. 이제는 패스키(Passkey)로 가야 할 때입니다."

SK텔레콤 신기은 매니저는 지난 6일 SK플래닛 판교사옥에서 열린 '2022 FIDO 얼라이언스 퍼블릭 세미나'에서 이같이 말했다. 이날 FIDO 한국워킹그룹 기술분과 리더를 맡고 있는 신기은 매니저는 '굿바이 패스워드, 헬로 패스키!'를 주제로 발표했다.

패스키는 쉽게 말하면 패스워드를 대체하는 로그인 방식이라고 말할 수 있다. 패스워드보다 안전하면서도 더욱 편리한 것이 특징이다. 패스워드를 탈취해 해킹하는 보안 사고가 많이 일어나면서, 패스워드는 더 이상 안전하지 않은 로그인 방식이 되고 있다.

패스워드를 영문, 한글, 숫자 등을 혼용해 몇 자리 이상으로 설정하는 등 복잡하게 만들어도 사실상 보안성을 높이는 데는 큰 효과가 없다는 것이 전문가들의 주된 의견이다. 패스워드를 자주 바꾸는 방식 또한 일부 사이트에서 권장되고 있으나, 이 또한 실효성이 크지 않으며 오히려 자주 바꿈으로써 사용자들은 자신의 패스워드를 자주 잊어버리기도 한다.

신 매니저는 "패스워드의 가장 주된 문제는 사용자의 정보가 백엔드에 저장된다는 것이며, 또 다른 문제는 패스워드의 생성 주체가 사람이라는 것"이라며 "사용자가 랜덤한 비밀번호를 설정하기란 매우 어려운 일이며, 사용자별로 패턴이 존재할 수밖에 없기 때문에 패스워드는 굉장히 여러 방법으로 탈취하기 쉬워 안전하지 않다"라고 설명했다.

패스워드가 안전한 인증 방식이 아니라는 것이 알려지면서 최근에는 이중인증(MFA) 방식이 많이 사용되고 있다. 패스워드 외에 추가적인 일회용 패스워드(OTP) 등을 사용하면서 2차 인증을 사용하는 방식이다. 하지만 신 매니저는 "MFA는 패스워드로만 인증하는 것보다는 낫지만, 대부분의 MFA도 여전히 피싱 당할 수 있다"라고 말했다.

예를 들어, 해커가 특정 사이트와 똑같아 보이는 피싱 사이트를 만들어 사용자에게 해당 URL을 클릭하도록 하면, 사용자는 피싱 사이트인지 모르고 그곳에 아이디와 패스워드를 입력하게 된다. 그렇게 입력된 사용자의 아이디와 패스워드는 해커 서버로 보내지게 된다. 해커는 입수한 사용자의 아이디와 패스워드를 진짜 사이트로 보내면 해당 사이트는 해커가 2차 인증을 신청한 건지, 진짜 사용자가 인증을 신청한 건지 구분하지 못하고 사용자가 등록한 휴대폰 번호로 OTP 번호를 발송하게 된다. 사용자는 자신의 아이디와 패스워드가 피싱 사이트에 입력된 줄 모른 채 OTP 번호마저 다시 피싱사이트에 입력하게 된다. 그럼 해커는 사용자의 아이디와 패스워드, 그리고 OTP 번호까지 모두 손에 넣게 돼 사용자의 계정을 탈취할 수 있게 된다. 즉, 이중 인증 방식 또한 피싱으로부터 안전하지 않다.

신 매니저는 "피싱이 발생하는 주된 이유는 사용자 때문"이라며 "사용자는 피싱 사이트를 구분하기 어렵다"라고 말했다.

이러한 패스워드 문제를 해결하기 위한 나온 인증 기술이 패스트 아이덴티티 온라인(FIDO)이다. FIDO는 비밀번호를 사용하지 않고 얼굴인식·지문인식·음성 등을 활용해 프라이빗키 접근을 제어하고, 기기에서 사용자 인증이 됐을 때만 전자서명을 하게 되는 방식이다.

신 매니저는 "FIDO가 피싱에 안전한 인증 수단"이라며 "사용자 단말에 크리덴셜이 등록돼 있을 때만 해당 도메인에서 이용이 가능하기 때문에 피싱을 사용자에게 의존해서 해결하는 것이 아닌, 에코시스템에 의존해서 해결할 수 있다"라고 설명했다.

그는 FIDO 인증은 다양한 인증 수단을 활용할 수 있다는 장점이 있다고 설명했다. 그는 "어떤 인증 수단도 기기에서 제공되면 서비스 변경 없이 이용할 수 있다"며 "지문 인식 기반 인증도 FIDO 기반으로 만들면 소프트웨어 수정 없이 바로 사용할 수 있다"라고 설명했다.

이러한 FIDO기술을 모바일뿐 아니라 웹 브라우저에서도 활용할 수 있도록 한 것이 FIDO2 표준이다.

하지만 FIDO 1.0과 FIDO2는 모두 기기를 잃어버리면 새로운 키를 발급받아야 한다는 단점이 지적됐다. 이에 이러한 문제점을 보완해 ▲사용자가 디바이스를 잃어버려도 계정 복구가 쉽고 ▲다양한 디바이스에서 하나의 계정을 동시에 사용할 수 있도록 나온 기술이 바로 패스키다.

패스키는 클라우드에서 개인키를 안전하게 암호화해 동기화 시켜, 사용자가 자주 사용하는 디바이스에서 편리하게 접근할 수 있도록 설계됐다.

예를 들어, 사용자가 맥북과 스마트폰 두 개의 기기를 가지고 있다고 가정해보자. 사용자가 맥북에서 아마존닷컴에 패스키를 등록했으면, 이는 스마트폰에 백업돼 스마트폰으로 아마존닷컴을 접속할 때도 패스키로 인증할 수 있다.

패스키는 비대칭 공개 키 암호화를 사용하는 FIDO 얼라이언스와 W3C가 협력해 발표한 웹오센티케이션(WebAuthn) 기술 표준을 바탕으로 한다. 사용자가 계정 등록 시 운영 체제가 한 쌍의 고유한 암호화키(퍼블릭 키와 프라이빗키)를 생성해 앱 또는 웹 사이트의 계정과 연결한다. 해당 키는 디바이스에서 계정별로 생성된다.

공개키는 서버에 저장되며, 프라이빗키는 사용자의 기기에 저장된다. 서버가 해커로부터 털려도 프라이빗키는 사용자의 기기에 저장돼 있기 때문에 사용자의 계정은 탈취할 수 없다.

다만, 디바이스를 잃어버려도 계정 복구를 쉽게 하고 여러 디바이스에서 패스키를 사용하기 위해서 패스키를 플랫폼 제공자의 클라우드에 백업해 놓는다.

그러기 위해서는 플랫폼 제공자의 협력이 필수다. FIDO 얼라이언스로부터 인증받은 패스키 서비스 제공자를 통해 사용자의 여러 디바이스에 동기화된다. 현재 패스키를 지원하는 플랫폼 제공자는 마이크로소프트, 구글, 애플 3사가 있다.

동기화된 패스키는 해당 플랫폼이나 서비스 제공자에게조차 공개되지 않은 암호화 키를 사용해 종단간 암호화된다. 암호화 키는 속도 제한을 통해 클라우드 백엔드 권한이 있는 위치로부터 시작되는 무차별 대입 공격을 방지하며, 사용자가 자신의 디바이스를 모두 분실하는 경우에도 손쉽고 안전하게 복구할 수 있다.

이날 현장에서는 "패스키를 사용하게 되면 플랫폼에 종속되는 게 아니냐"는 우려섞인 질문도 나왔다. 이에 신 매니저는 "지금의 상황으로는 그럴 수밖에 없다"며 "플랫폼 사업자를 믿어야 할 수밖에 없으며, 플랫폼에 종속되지 않고 서드파티가 여러 플랫폼을 연결시켜 줄 수 있도록 관련 API도 준비 중"이라고 설명했다.

패스키는 지난 5월에 출시됐다. 현재 안드로이드 9+, iOS 16+, 맥OS 13+에서 지원된다. 크롬 OS와 윈도는 지원 준비 중이다.