안녕하세요. 이종철의 까다로운 IT, 오늘은 비밀번호를 사라지게 만들 패스키에 대해 알아봅니다.

여러분 비밀번호 다 외우시나요? 저는 거의 모든 비밀번호를 다 까먹어서 매번 새로 만듭니다. 그래서 오랜만에 들어가는 사이트는 한 10분 걸려요. 그런데 이제, 그 비밀번호, 사라집니다.

5월 구글 I/O, 6 WWDC에서 구글과 애플이 똑같은 방식으로 비밀번호를 대체하기로 발표했습니다. 이름은 패스키. 비밀번호는 password잖아요. 여기서 단어인 word key로 바꾸면 패스키가 됩니다.

원래 우리 password, 123456 이런 거 쓰다가 털리고 그러잖아요. 그런데 이게 사용자 문제만이라고 하기에는 사이트가 너무 많습니다. 이 문제점을 해결하기 위해서 나온 게 패스키입니다.

사용방식은 원래 생체인증이랑 비슷해요. 구글 I/O에서 자세한 시연이 나왔었는데요. 어떤 사이트에서 로그인할 때 비밀번호 대신 패스키 옵션을 선택해요. 그다음 얼굴이나 지문으로 인증하면 끝나는 겁니다. 원래 생체인증이랑 큰 차이가 없죠. 그러나 뒤에서 돌아가는 과정에서는 큰 차이가 있습니다.

원래는 사이트 가입할 때 비번을 만들죠. 그다음 생체인증을 사용한다고 하면 폰이나 컴퓨터 같은 기기가 비번을 대신 입력해주는 거예요. 여전히 비번이 존재하죠. 그런데 패스키, 처음부터 비번이 없기 때문에 그냥 키 대조만 합니다.

이때 대조하는 공개 키는 개인 키와 대조하는 방식이고요. 2단계 인증에서 여러분이 이미 쓰고 있는 것과 같은 방식이에요. 그런데 앞에 비밀번호를 없애버리니까 1단계 인증처럼 보이는 거죠.

공개 키가 뭐냐면 서버에 저장돼 있긴 하지만 봐도 상관없는 키입니다. 원래 비밀번호는 공개 키가 아니라 비밀 키였어요. 2차 세계대전 때 지령을 내릴 때 무전을 치는 쪽과 받는 쪽이 동일한 난수표를 갖고 있어야 했죠. 그래야만 지령을 알 수 있습니다. 중간에 오고 가는 단어들은 암호화됐기 때문에 들어도 의미가 없어요. 그래서 영화 이미테이션 게임에서 앨런 튜링이 혈변을 쌌던 거죠. 프로야구 사인도 비슷해요. 사전에 약속됐기 때문에 훔치긴 어렵습니다. 사실 훔치는 구단도.

그런데 공개 키는 키 자체는 그냥 난수예요. 애플이나 구글도 서버에서 이걸 봐도 무슨 뜻인지 모릅니다. 한쪽은 영원히 알 수 없는 거죠. 패스키 방식에서는 여러분의 폰에 개인 키가 들어갑니다. 이 개인 키가 있어야 공개 키가 무슨 뜻인지 알 수 있어요. 이걸 처음에 등록하고 로그인할 때마다 대조해서 맞다 그러면 사이트에 들어갈 수 있는 거죠.

사용방법이 아이클라우드 키체인과 크게 다르지 않기 때문에 저도 처음에 이게 뭐가 다른지 궁금했는데요. 비밀번호가 없기 때문에 피싱에서 비교적 안전합니다.

예를 들어서 제 폰이 아니라 특정 사이트가 털렸어요. 거기에 우리 비번, 계정 저장돼 있거든요. 털리면 비번도 뺏기는 거죠. 그런데 패스키, 공개 키 방식에서는 비번이 없습니다. 그래서 저장할 것도 없어요. 털려도 개인 키가 없으면 매칭이 안 되잖아요. 열쇠가 없는 문이 되는 겁니다.

예전에 제가 중고거래하다가 사기당할 뻔한 적이 있었거든요. 사기꾼이 중고 사이트에서 결제하면 수수료 나가니까 스마트 스토어에서 결제해라이러면서 링크를 줬어요. 링크를 여니까 진짜 스마트 스토어가 떴습니다. 뭔가 이상해서 결제를 하려고 보니까 생긴 것만 똑같은 사이트였어요. 만약 패스키가 있다면 어떨까요? 해당 사이트는 공개 키와 제 개인 키가 약속돼 있죠. 생긴 것만 똑같은 피싱 사이트는 약속이 안 돼 있잖아요. 사기당할 확률이 줄어드는 거죠.

구글, 애플이 따로 발표했지만 아이폰으로도 구글 로그인 가능할 겁니다. 이게 FIDO 얼라이언스라고 해서 패스워드 없는 로그인을 표준으로 만든 단체가 있거든요. 웹 표준 기관인 W3C와 함께 만들었습니다. 이 단체에서 3년 전에 webAuthn이라는 표준을 발표했었고요. OS 3대장, 구글, 애플, MS 3년 전부터 준비해서 이제 쓸 수 있는 단계까지 온 거죠. 세 회사 모두 올해 말까지는 패스키를 도입할 예정이라고 합니다.

사용할 땐 이런 거예요. 패스키로 로그인하기로 약속한 사이트에 들어가면 패스키 옵션이 뜰 거고요. 제 컴퓨터일 경우에는 윈도우, 크롬, 맥 상관없이 지문이나 얼굴로 로그인합니다. 문제는 남의 컴퓨터나 공용 컴퓨터를 쓸 때예요. 여기에는 제 생체 정보가 없잖아요. 그런데 비번도 없애 버렸죠. 그러면 아이폰, 안드로이드폰으로 QR 스캔합니다. 그런 다음 와이파이가 아닌 블루투스로 개인 키를 보내요. 블루투스인 이유는 와이파이 같은 경우에는 좀비 와이파이라고 해서 남의 비번을 탈취할 수 있는 것들이 있거든요. 그래서 기기 간 직접 연결이 가능한 블루투스로 키를 주고받는 겁니다. 재난 상황에도 인터넷은 마비되는데 블루투스는 기기만 안 부서지면 괜찮죠.

, 여기서 문제점이 하나 있죠. 블루투스가 없는 데스크톱. 이 데스크톱에 대한 지원을 어디서도 발표하지 않았거든요. QR 로그인이 블루투스를 대체하는 건지 아닌지가 애매합니다. 만약 아니라면 블루투스 모듈 구매하거나, MS구글 Authenticator라고 이중 인증 전용 앱 있거든요. 이걸 사용하게 되지 않을까 싶습니다.

노트북에서는 대부분 문제가 없을 거고요. 특히 남의 맥 같은 경우에는 에어드롭으로 키를 줄 수 있다고 하네요. 구글MS도 비슷한 방식을 지원하지 않을까 싶습니다.

, 보안 문제 없을까요? 하나도 없다고 확신할 순 없습니다. 뚫지 못하는 보안은 없다이런 말이 있어서 무조건 안심할 순 없어요. 그런데 비밀번호보다 위험하거나 그러지는 않습니다. 2단계 인증과 같은 방식이기 때문이죠.

폰을 잃어버렸을 때는 어떨까요? 카드처럼 정지시키시고요. 새 폰이 왔을 때 공개 키와 개인 키 약속을 바꿔주면 됩니다. 귀찮을 수 있는데 매번 저처럼 비번 새로 만드는 것보다는 낫겠네요.

, 스마트 기능이 없는 제품들, 특히 인터넷 연결이 없는 제품들 같은 경우에는 여전히 비밀번호를 쓰겠죠. 도어락, 자물쇠 이런 것들. 그런데 스마트홈 가전들은 대부분 이제 비밀번호가 없어질 겁니다. TV, 냉장고, 세탁기 이런 것들 지금도 앱으로 조정 가능하잖아요. 아마 도어락이나 자물쇠 같은 제품들도 앞으로는 블루투스를 탑재해서 비밀번호를 없애지 않을까 예상해봅니다.


, 패스키가 연말쯤에 정상 상용화될 텐데요. 그때 제가 패스키를 생성한 다음에 간단하게라도 보여드리도록 하겠습니다. 그때까지 구독, 팔로우, 알림 설정.

영상바이라인네트워크

<이종철 기자> jude@byline.network