매번 비밀번호가 뭐였는지 기억 안 나시나요?
"특수문자,영어 대소문자 포함,숫자포함 12글자 이상" 같은 복잡한 규칙 때문에 짜증났던 적 있으시죠?
그런 불편함을 해결해줄 새로운 기술, 패스키(Passkey)가 지금 주목받고 있습니다.
패스워드의 등장배경
1960년대, 최초의 컴퓨터는 지금처럼 개인용이 아니라 아주 크고 비싼 장비였습니다.
여러 명이 함께 사용하는 공유 시스템이었죠.
MIT의 CTSS라는 시스템에서는 사용자마다 작업 공간이 있었고, 이걸 다른 사람이 건드리지 못하게 하려고 만든 게 바로 최초의 ‘패스워드’입니다.
그 당시에는 각자의 프라이버시를 지키기 위한 용도였지, 지금처럼 해킹이나 개인정보 보호를 고려한 건 아니었습니다.
패스워드의 진화
기술이 발전하면서 생긴 문제
컴퓨터가 대중화되고 인터넷이 보편화되면서 누군가가 내 계정을 몰래 접속하려는 시도도 늘어나기 시작했습니다.
- "1234"같은 쉬운 비밀번호는 무차별 대입공격으로 해킹가능
- "password"나 "q1w2e3r4"같은 단어는 사전공격(Dictionary Attack) 대상
- 유출된 비밀번호를 재사용하는 크리덴셜 스터핑(Credential Stuffing)도 위험
클라이언트들의 기억력의 한계
보안규칙들이 늘어나면서 사용자들은 오히려 이걸 불편하게 여기고 보안에 오히려 취약해지는 역효과가 발생했습니다.
- "사이트마다 다른 비밀번호를 써야해요" -> 현실은 다 똑같이 씀
- "비밀번호는 주기적으로 바꾸세요" -> 바꾸다 보면 본인이 기억을 못함
- 복잡하게 만들고나서 그걸 포스트잇에 써놓는 경우도 ..
결국 보안 규칙은 늘어났지만, 사용자 경험은 최악이 되어버렸습니다.
OTP의 등장
패스워드만으로는 안 되겠다는 판단에 따라, 2단계 인증(2FA)이 도입됩니다.
그 중 대표적인 방식이 OTP(One-Time Password)입니다.
은행에서 큰 금액을 이체할때 사용하는 조그마한 기계가 바로 OTP장비입니다.
어떻게 작동할까?
- Google Authenticator 같은 앱에서 30초마다 새로운 숫자 생성
- 로그인할 때 이 숫자를 함께 입력해야만 인증 완료
- 설령 패스워드를 해커가 알아도, OTP 없으면 무용지물
하지만 완벽하지는 않았던 OTP
- 숫자를 직접 입력해야 해서조금 번거롭고
- 스마트폰을 분실하거나 앱을 삭제하면 복구가 번거롭고
- 무엇보다 팬대믹 시대에서 사용자의 신분증으로 알뜰폰으로 핸드폰만 개통하면 심정보로 OTP를 해킹할 수 있었기 때문에 근본적인 해결책이 될 수 없었습니다.
패스키(Passkey)의 등장
이제 패스워드 자체를 없애자는 발상이 등장합니다.
바로 패스키(Passkey)라는 기술입니다.
지문, 얼굴 인식 또는 기기 잠금해제로 로그인할 수 있는 완전히 새로운 인증 방식
패스워드는 입력하지도 않고, 기억할 필요도 없습니다. 기기 안에 저장된 보안 키로 자동 인증이 이루어지는 방식입니다.
작동방식
회원가입할 때
내 스마트폰에 비공개키(Private Key)가 생성되어 저장됨.
서버에는 공개키(Public Key)만 전달됨
로그인할 때
서버가 보낸 메시지를 비공개키로 서명후 다시 전달 서버는 공개키로 검증
이후 로그인 성공
즉,비공개키는 절대 내 기기 밖으로 나가지 않으면서 피싱,해킹,유출을 모두 차단이 가능하고 내가 '누구인지'를 기기와 생체인증이 알아서 증명해주는 혁신적인 방법입니다.
패스키와 기존방식 비교
| 항목 | 패스워드 | OTP(2단계 인증) | 패스키 |
| 기억필요 | O | O | X |
| 피싱위험 | 높음 | 중간 | 거의없음 |
| 사용편의성 | 낮음 | 중간 | 매우 높음 |
| 기기 분실 시 | 영향없음 | 복구 복잡 | 백업 가능 |
| 주요 사용처 | 대부분의 웹사이트 | 금융, 포털 등 | 애플, 구글, MS, 페이팔 등 |
주요 사용처 및 상용화 예정
이미 애플, 구글, 마이크로소프트에서는 패스키를 도입했고, 페이스북, 페이팔, 이베이, 도큐사인 같은 글로벌 서비스들도 지원 중입니다.
2023년부터 안드로이드/아이폰에서는 패스키 기반 로그인을 기본 지원하고 있습니다.
애플의 경우 페이스ID로 로그인으로 패스키 사용 중이며,
안드로이드의 경우 지문 인식을 패스키 사용 중 입니다.
마치며 ..
비밀번호는 오랫동안 우리의 디지털 보안을 책임져 왔습니다.
하지만 이제는 그 한계가 분명해졌고, 더 이상 ‘입력하고 기억하는 방식’은 보안도 편의도 만족시키기 어렵습니다.
패스키는 보안성과 편리함을 모두 잡은 기술입니다.
물론 해커들은 다른 방법으로 이를 타파하려고 하겠지만 현재로써는 가장 안전하고 편한 보안방식으로 자리잡지 않을까 싶습니다.
'For 전공, 전문가 > IT' 카테고리의 다른 글
| JWT란? JWT(Json Web Token) 개념(Java-jwt) 알아보기 (2) | 2025.05.19 |
|---|---|
| 쿼리튜닝, MySQL 8.0 자주 사용하는 힌트 목록 알아보기 (0) | 2025.05.19 |
| IOS버전 18.3이하 버전에서 심각한 취약점 발견... 클릭없이도 해킹? (0) | 2025.05.16 |
| SKT 해킹 BPFDoor일 가능성이 있다? (1) | 2025.04.30 |
| [NBread] 초보도 따라하는 엔빵계산기 만들기3 - HTML (1) | 2025.03.26 |
