비밀번호 사라진다…빅테크 ‘패스키’ 실전 투입 본격화

•  황치규 기자
•  승인 2023.10.24 07:12

[디지털투데이 황치규 기자] 애플, 구글, 아마존 같은 글로벌 빅테크 기업들이 비밀번호 없는 로그인 기술인 패스키(passkeys)를 실전에 본격 투입하면서 한시대를 풍미해온 비밀번호를 얼마나 빨리 대체할 수 있을지 관심이 쏠리고 있다.

10월 초 구글은 패스키 로그인을 기본으로 적용했고 애플도 패스키 옵션을 제공하고 있다. 아마존도 최근 웹사이트와 iOS 쇼핑앱에 패스키를 지원했고 조만간 안드로이드에도 적용할 예정이다.

빅테크 기업들 외에 대시레인, 원패스워드와 같은 비밀번호 관리 소프트웨어 회사들도 모바일 기기와 데스크톱 브라우저에서 패스키를 지원하고 있다.

모바일 메신저인 왓츠앱도 한달 가량 베타 테스트를 거쳐 최근 모든 사용자들을 상대로 패스키를 지원한다고 발표했다. 도큐사인, 깃허브, 우버와 같은 서비스들에서도 패스키를 신청할 수 있다.

패스키는 사용자 인증에 지문 등 생체정보를 활용하는 단체인 파이도(FIDO·Fast IDentity Online)에서 제공하는 기술로 암호학적인 기법을 사용해 스마트폰이나 PC에서 비밀번호 없이 로그인할 수 있는 것이 골자다. 

사용자 ID와 비밀번호를 통한 로그인 방식은 예전이나 지금이나 웹사이트 침해 사고로 이어지는 위험한 경로다. 기억하기 쉽게 단순한 비밀번호를 쓰는 이들이 적지 않고 같은 아이디 및 비밀번호로 여러 서비스들을 동시에 쓰는 이들도 많다.

패스키는 얼굴이나 지문을 스캔하거나 버튼만 누르면 되기 때문에 비밀번호보다 판리하면서도 안전한 기술로 주목을 받고 있다.

패스키는 사용자들이 아이디와 암호학적인 토큰을 사용하는 사전 인증된 기기만으로 앱과 웹사이트에 로그인할 수 있도록 지원한다.

좀 더 기술적으로 풀어 쓰면 사용자가 비밀번호를 입력하는 대신  ‘웹오슨'(WebAuthn) 표준을 지원하는 웹과 모바일 서비스가 사용자들이 기기에 저장한 토큰(Token)들과 연결해 자동으로 인증한다. 

복잡한 비밀번호를 기억하거나 입력할 필요가 없고 문자로 전송되는 6자리 숫자 비밀번호와 투팩터(two-factor) 인증 코드도 대체할 수 있다.각각의 패스키는 고유하며 재사용 위험이 없다. 해커가 회사 서버에서 패스키를 훔치려면 개인 기기들에 접근해야 하기 때문에 사실상 불가능하다.

초기 단계라 패스키를 지원하는 웹사이트와 앱들은 아직 많지 않다. 하지만 빅테크 기업들이 지원에 본격 나선 만큼  앱과 웹사이트들에 걸쳐 패스키는 빠른 속도로 확대될 전망이다. 패스키를 지원하는 앱과 서비스들이 늘어나는 것에 비례에 비밀 번호 대신 패스키를 쓰는 사용자들도 빠르게 증가할 것으로 보인다.

패스키가 확산된다고 해도 비밀번호와  완전히 결별하기까지는 상당한 시간이 소요될 수 있다. 

패스키를 적용했다고 해도 웹사이트들과 앱들은 여전히 전통적인 비빌번호도 지원한다. 이는 패스키로 로그인한다고 해도 예전에 쓰던 비밀번호가 털리면 위험해질 수 있다는 것을 의미한다. 패스키와 비밀번호가 공존하는 상황에선 비밀번호를 쓰지는 않더라도 관리는 해야할 대상으로 남아 있을 듯 하다.