‘비밀번호’ 없는 세상이 온다… 삼성·애플·구글, 도입한 ‘패스키’는

생체 인증 거쳐야 하는 패스키, 비밀번호보다 보안성 높아
전 세계 80억 사용자 계정에 패스키 적용

갤럭시 패스키./삼성전자 제공

 

삼성전자, 애플, 구글, 아마존 등 글로벌 빅테크 기업들이 비밀번호 없는 로그인 기술인 ‘패스키(passkeys)’를 잇따라 도입하면서 해당 기술에 관심이 모아지고 있다. 패스키를 사용하면 생체 인증만 거치면 되기에 간편한 데다 비밀번호보다 보안성이 높아 앞으로 패스키 기술 적용에 속도가 붙을 전망이다.

 

25일 업계에 따르면 노드VPN과 노드패스는 최근 포천 글로벌 500대 기업에서 발생한 1500만건의 보안 위협을 조사한 결과를 발표했다. 보고서는 “기업에서 가장 많이 사용하는 비밀번호는 ‘password’ ‘123456′ ‘guest’등 외우기 쉬운 것이었다”며 “전 세계에서 가장 일반적으로 사용하는 암호 200개 가운데 83%가 1초 이내에 뚫릴 수 있다”고 지적했다.

 

무작위로 배치한 암호를 푸는 데는 이보다 시간이 오래 걸리지만 궁극적으로 가장 좋은 방법은 비밀번호 자체를 없애는 것이라는 게 보안업계의 시각이다. 비밀번호 방식의 로그인은 개인정보 유출 논란에서도 자유롭지 못하다.

 

패스키는 스마트폰 같은 기기에 저장되고 이를 활성화하기 위해서는 생체인증 등으로 본인을 확인하는 방식이기 때문에 해커가 패스키를 알게 되더라도 본인인증 절차를 거치지 않으면 무용지물이 된다. 예전에는 비밀번호만 알면 됐지만, 패스키의 경우 누구인지까지 증명해야 하기 때문에 비밀번호 방식보다 보안성이 높다는 것이다. 피싱 공격을 당할 가능성도 낮아진다.

 

생체정보 자체가 탈취될 위협도 거의 없다. 서버에 패스워드 정보를 남기지 않는 ‘종단 간 암호화(End-to-End ecvryption)’ 기술을 이용했기 때문이다. 사용자 입장에서도 복잡하거나 기억하기 어려운 암호를 입력할 필요 없이 생체인증만 거치면 되기 때문에 간편해진다.

 

삼성전자, 구글, 애플 등 250여개 글로벌 기업이 참여하는 ‘파이도(FIDO) 얼라이언스’는 그동안 비밀번호를 없애고 보다 간편하고 강력한 보안을 갖춘 대안을 찾고자 노력해왔다. 삼성전자는 지난 2014년 갤럭시S5에 지문인식을 도입했고, 애플은 아이폰X부터 얼굴인식 기능인 ‘페이스ID’를 적용했다.

 

 

이들 기업은 올해 들어 본격적으로 패스키를 도입하겠다고 나섰다. 파이도 얼라이언스에 따르면 패스키 도입을 공개적으로 발표한 기업으로는 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 와츠앱, 로블록스, 틱톡, 쇼피파이, 카약, 닌텐도, 어도비, 우버 등이 있다.

 

구글은 패스키 기능을 지난 5월 출시한 뒤 10월부턴 패스키를 기본 옵션으로 설정했다. 이용자들은 구글에 로그인할 때 패스키 생성 메시지를 보게 되는데, 안내 메시지에 따라 생체 정보나 PIN번호를 등록하면 된다. 아마존도 지난 10월부터 브라우저와 iOS 아마존 쇼핑 앱에서 패스키를 지원하고 있다.

 

삼성전자도 지난 19일 운영체제(OS) ‘원 UI 6′ 업데이트를 통해 패스키 기능을 도입했다. 삼성전자는 “생체인증 서비스 ‘삼성 패스’를 이용해 쉽고 빠르게 로그인할 수 있고, 보안 인증 플랫폼 ‘삼성 녹스 매트릭스’가 저장된 패스키로 여러 기기를 안전하게 연결할 수 있도록 지원한다”고 밝혔다.

 

파이도 얼라이언스 조사에 따르면 현재 전 세계 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용한 것으로 집계됐다. 지난 9월 기준 99%의 기기가 패스키 적용이 가능한 웹오슨(WebAuthn)을 지원하는 것으로 전해졌다. 보안업계 관계자는 “패스키는 보안 강화 측면에서 많은 이점이 있을 뿐 아니라 업계 전반의 편의성을 높이는 기술로 안전성이 충분히 입증됐다”며 “앞으로 더 다양한 분야에서 활용될 것”이라고 말했다.

 

변지희 기자      조선일보      입력 2023.12.25