1. 개요
Apple의 패스키 개요비밀번호를 대체할 목적으로 만들어진 로그인 시스템. FIDO Alliance와 World Wide Web Consortium서 공동 개발되었으며, 현재 Google, Apple, Microsoft 등에서 만든 기기와 소프트웨어가 지원하고 있다. 국내에서는 삼성전자가 삼성 패스을 통해, SK텔레콤은 Passkey by SK Telecom 사업을 통해 지원하고 있다. 이외에도 서드파티 비밀번호 관리자들도 패스키를 지원하는 경우도 있으므로 비밀번호 관리자의 사양을 확인해보면 된다.
비밀번호보다 안전하고, 편리한 보안을 목적으로 만들어졌다. 기존 비밀번호는 그 강도가 만드는 사람에게 의존하며, 많은 경우 사람이 외울 수 있는 문자이기 때문에 피싱 등의 방법으로 유출될 가능성이 컸다. 또한, 같은 비밀번호를 돌려쓰는 일도 흔했기 때문에 유출된 하나의 비밀번호가 마스터키가 되는 경우도 종종 있었다. 하지만 패스키는 사람이 입력하는 방식이 아니기 때문에 그 강도가 높으며 손쉬운 복사가 어렵고, 각 패스키는 고유하기 때문에 돌려쓰기 문제 또한 해결한다. 또, 각 패스키는 사용자에 관한 정보 뿐만 아니라 도메인의 정보 또한 포함한다. 때문에 특정 도메인에서 생성된 패스키는 그 외의 도메인을 가진 웹사이트에서 사용할 수가 없기 때문에 더 강력한 보안을 가지고 있다.[1]
비밀번호를 대체할 목적으로 생체 인증이 제안되었고, 실제로 실현된 사이트가 일부 있었으나, 일부 문제가 있었다. 특히 기존의 생체 인증은 간편하고 강력하지만, 생체 데이터라는 것 자체가 매우 민감하고 비밀번호와 달리 쉽게 바꿀 수 없었기 때문에 온라인에 업로드된 생체 인증용 데이터가 어떠한 형태로든 유출된다면 다시는 그 어떤 웹사이트에서도 생체 인증을 사용할 수 없었다. 반면, 패스키는 생체 데이터를 요구하긴 하나, 기존처럼 해당 웹사이트의 서버에 관련 정보가 업로드되는 방식이 아니라 각 기기 내에서만 인증이 이루어지는 방식이기 때문에 강화된 보안을 가지고 있다. 또한, 이를 통해 만들어진 패스키는 그 생체 데이터로부터 직접적으로 연산되는 것이 아니라 패스키를 생성 후 인증 절차에 생체 데이터를 활용하는 것이기 때문에 쉽게 폐기하거나 변경할 수 있되 생체 데이터의 장점인 복사가 어렵다는 점을 그대로 가져온 방식이다.
패스키를 지원하는 웹사이트에서 패스키 생성을 하면, 패스키는 장치의 비밀번호 관리자에 저장된다. 만약 비밀번호 관리자가 동기화를 지원하면 한 기기에서 패스키 생성 후 해당 관리 소프트웨어가 설치된 다른 기기에서 동일한 패스키를 사용할 수 있을 가능성이 높다. 또한 많은 비밀번호 관리자들은 동기화 시 종단간 암호화를 지원하기 때문에 관리 소프트웨어 서버의 해킹으로부터 안전할 가능성이 높다.[2] 이후, 로그인할 때 패스키로 로그인을 선택하면 브라우저나 OS가 비밀번호 관리자에 저장되어 있는 패스키를 요청한다. 생성된 패스키는 있지만 해당 기기 및 비밀번호 관리자에 존재하지 않을 경우 QR 코드를 띄우는데, 이를 패스키가 존재하는 기기에서 패스키 관리 소프트웨어로 스캔하면 된다.
보면 알겠지만 스마트폰과 생체인증, 비밀번호 관리자, 그리고 비밀번호 동기화 시스템이 광범위하게 보급되었기에 사용할 수 있는 방법이다.
비밀번호를 대체하기 위해서 만들었지만, 사실 로그인 ID도 대체할 수 있다. 대표적으로 닌텐도 어카운트, 네이버, 카카오의 경우는 아이디 입력도 없이 패스키로만 로그인할 수도 있다. 대부분은 로그인 아이디+패스키 요청 조합이다. 혹은 기존 OTP 대신에 로그인 아이디+비밀번호, 2차 인증수단으로 패스키를 사용을 하는 곳도 있다.[3]
2. 지원 장치
출처- Windows 10, macOS Ventura, ChromeOS 109 이상을 실행하는 노트북 또는 데스크톱
- iOS 16 또는 Android 9[4] 이상을 실행하는 휴대기기
- FIDO2 프로토콜을 지원하는 하드웨어 보안 키
3. 주의 사항
패스키는 비밀번호의 약점을 보완했으나, 비밀번호 관리자에 의존하므로 비밀번호 관리자와 연결된 계정은 철저하게 지켜야 한다. 만일 특정 웹사이트의 패스키를 공유해야 한다면 해당 비밀번호 관리자와 관련된 계정을 공유하는게 아니라, 비밀번호 관리자에 있는 비밀번호 공유 기능을 사용하자. 예를 들어, iPhone에서는 암호 앱에서 + 버튼을 탭하면 비밀번호를 공유할 그룹을 만들 수 있다. 이 공유그룹에 공유하고 싶은 사람을 초대하고, 공유하고 싶은 웹사이트를 넣으면 된다. [5]화면 잠금에는 패턴 대신 7자리 PIN을 사용해보자. 생체 인식을 활용해 비밀번호 노출을 최소화할 수 있다. 생체 인식을 사용하면 비밀번호를 직접 입력할 필요가 줄어든다. 생체 인식 스푸핑은 기기를 원격으로 잠금 처리하여 해결할 수 있지만, 비밀번호가 이미 노출된 경우에는 대응이 어렵다. 비밀번호가 길어질수록 입력 시간이 길어지기 때문에 공공장소에서 생체 인식을 선호하게 될 가능성이 높아진다.
PC 사이트에 접속할 때 스마트폰의 패스키를 사용하는 경우, 스마트폰의 보안에 신경써야한다. 제조사의 공식적인 패스키 기능은 기본적으로 1차 이상의 암호와 함께 생체인증을 추가로 등록하므로 로그인시 가능하면 생체인증으로 하여 입력내용 유출을 막자[6]. 안전하지 않은 어플을 막 다운받지 말자. 패스키 정보가 들어가있는 스마트폰이 해킹된다면 패스키로 여러 사이트에 등록된 모든 암호가 모두 노출되는 것이나 마찬가지다.
현재로서는 비밀번호 관리자 간에 패스키를 이전할 수 있는 방법이 없다. 비밀번호 관리자를 다른 것으로 바꾸고 싶다면 기존 패스키를 파기하고 새로 발급받아야 한다.
[1] 예를 들어, 제대로 된 사이트에 연결된 패스키의 경우, 피싱용 사이트는 주소가 기존 사이트와 다르기 때문에 비밀번호 관리자가 해당 패스키로 인증하기 버튼 등을 띄우지도 않는다. 때문에 기존과 같이 사람 눈에 유사한 도메인과 웹사이트를 만들어 비밀번호를 탈취하는 공격이 통하지 않는 것.[2] 동기화와 관련된 사항들은 각 소프트웨어의 설명을 참고. 예를 들어 Apple 기본 소프트웨어인 Apple 암호는 해당 웹사이트, Bitwarden는 해당 웹사이트 등에서 종단간 암호화된 동기화를 설명한다.[3] 아카라이브가 2차 인증수단으로 패스키를 지원한다.[4] 서드파티 비밀번호 관리자를 사용한다면 Android 14 이상[5] 출처: iPhone에서 신뢰할 수 있는 사람과 암호 또는 패스키 공유하기[6] 중국 스마트폰을 필두로 자동입력 기능 향상을 위해 사용자의 키보드에 입력한 정보가 클라우드로 전송되며, 이 전송 과정 자체가 취약하거나 스마트폰의 악성코드가 취약점을 건드리면 해커가 타자기록을 입수할 수 있다.