비밀번호 필요 없는 ‘패스키’ 빠른 확산, FIDO얼라이언스 “전세계 80억개 계정 사용 중”

구글, 마이크로소프트, 애플 등이 최근 채택한 비밀번호 없는 편리한 로그인 방식으로 주목 받은 ‘패스키(Passkey)’가 빠른 속도로 확산되고 있다. 글로벌 FIDO(Fast IDentity Online) 인증 표준화 연합체인 FIDO 얼라이언스는 현재 80억개 넘는 사용자 계정이 패스키를 사용하고 있다고 공개했다. 패스키가 공식 발표된 지 1년 여 만이다.

앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 이사장은 지난 5일 서울 SK텔레콤 T타워 슈펙스(SUPEX) 홀에서 열린 FIDO 얼라이언스 퍼블릭 세미나에 연사로 나와, 지금이 “패스키가 대규모로 채택될 수 있는 티핑포인트”라고 화두를 던지며 “올해는 큰 변화(transformation)의 해였고, 패스키의 한 해였다”고 평가했다. 이어 “현재 80억개 넘는 계정이 패스키를 사용하고 있으며, 80억명 이상의 사용자를 보유한 서비스 제공업체가 패스키를 사용해 로그인할 수 있는 것으로 추산하고 있다”고 밝혔다.

그는 “아직 대규모 확산은 아니지만 매우 좋은 출발을 했다”면서도 “이는 엄청난 숫자로, 기본적으로 지구에 있는 모든 사람이 하나의 패스키를 가지고 있다는 뜻”이라고 의미를 부여했다.

패스키는 지난 2022년 하반기에 처음 개념이 소개된 후 같은 해 10월 공식 발표됐다.

시키어 이사장은 “지난 해 10월 열린 인증 컨퍼런스에서 패스키가 처음 발표됐다. 그 주에 패스키를 지원하는 첫 iOS 16 기기가 나왔다. 불과 1년여 전의 일이다. 이 때 페이팔, NTT 도코모도 무대에 함께 올라 패스키 지원을 약속했다. 지난 한 해 동안 수십 개의 기업이 패스키를 구축해 예상을 뛰어넘는 확산이 대거 이뤄졌다”면서 “구글은 10억명의 사용자에게 과거에 사용하던 방식 뿐 아니라 구글 계정의 기본 로그인 방법으로 패스키를 사용할 수 있게 했다”고 설명했다.

시키어 이사장에 따르면, 패스키를 도입을 선언한 주요 기업으로는 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 로블록스, 왓츠앱, NTT 도코모, 틱톡, 쇼피파이, 카약, 닌텐도, 깃허브, 어도비, 로빈후드, 에어뉴질랜드, 우버 등이다. 그는 “지난 10여년 동안 FIDO 얼라이언스 회원들은 기술표준을 만들어내고 배포하기 위해서 공식적으로 기록된 회의 시간으로만 약 6만 시간을 투자했다”고 강조했다.

패스키는 FIDO 얼라이언스와 월드와이드웹 컨소시엄(W3C)이 함께 만든 패스워드에 의존하지 않는 온라인 로그인 표준 기술의 최신 확장판이라고 할 수 있다. 패스키는 서버에 저장되는 공개키와 사용자 기기에 저장하는 개인키가 쌍으로 동작하는 비대칭 키 암호화 구조에 생체인증을 접목해 안전성과 편리성을 모두 갖춘 것으로 평가되는 FIDO를 기반으로 구현됐다.

FIDO는 패스워드를 입력하지 않고도 지문, 얼굴 등 사람의 생체정보를 이용해 쉽게 안전하게 사용자를 인증할 수 있는 기술로, 스마트폰 등 모바일 기기와 PC 웹브라우저에서 온라인 서비스 사용자를 인증할 수 있도록 지원해왔다. 하지만 여전히 사용자가 패스워드가 필요 없는 FIDO 기반 간편 인증 기능을 사용하려면 각각의 디바이스와 웹에서 개인의 자격증명을 일일이 등록해 로그인 할 때 인증 과정을 거쳐야 했다. 패스키는 이같은 불편함을 해소하고 사용자 편의성을 더욱 개선하기 위해 구현된 것이라는 게 시키어 이사장의 설명이다.

그는 “FIDO얼라이언스의 목표는 처음부터 비밀번호와 다른 2단계 인증, 단문문자메시지(SMS)로 이뤄지는 일회용 비밀번호(OTP)보다 더 간단하고 강력한 사용자 인증을 개발하는 것이었다. 다중 인증(MFA)이 빠르게 채택, 확산되기 위해 중요한 것은 보안과 사용 편의성이 보장돼야 한다”라면서 “우리는 개방형 표준 기술인 비대칭 공개키 암호화(Public Key Cryptography) 기술로 이같은 문제를 해결했다. 지난 10년이 넘는 기간 동안 두 가지 FIDO 프로토콜과 사양(U2F, UAF)을 빠르게 출시해 이중 인증 사용 기반을 마련했고 채택이 확산되는 것을 목격했다”고 그간의 성과를 전했다.

또한 “이제 패스키를 통해서 사용자(디바이스)에게 보관돼 있는 개인키를 클라우드로 안전하게 내보내 여러 기기에서 동기화할 수 있도록 구현했다”라면서 “패스키는 패스워드를 OS 또는 서비스 제공업체의 클라우드에서 동기화할 수 있다는 의미로 사용할 수 있다. 기존에 사용자 입장에서는 기기나 서비스마다 등록하는 절차가 불편하고 사용성이 떨어질 수 있었는데, 이같은 불편함을 해소하기 위해 FIDO 인증을 켜고 끌 수 있는 기능을 도입했다”고 덧붙였다.

한편, 이날 열린 FIDO 얼라이언스 세미나에서는 주로 ‘패스키를 우리 조직이나 고객에게 어떻게 적용할 수 있을까?’에 대한 질문과 논의가 활발히 이뤄졌다.

SK텔레콤의 신기은 매니저는 최근 국내에서 급증하고 있는 크리덴셜 스터핑 공격에 대해 언급하며, “FIDO 얼라이언스가 제공하는 패스키는 사기 온라인 사이트로 유도하는 피싱공격을 물론 다른 곳에서 탈취된 비밀번호를 무차별적으로 대입하는 크리덴셜 공격을 방어하는데 가장 효과적인 기술”이라고 강조했다.

구글의 아이덴티티 프러덕트 매니저 크리스찬 브랜드는 “900만명 이상의 구글 워크스페이스와 클라우드 사용자를 대상으로 한 조사에서, 패스키 사용이 비밀번호 로그인 속도보다 40% 빠르며, SMS OTP 대비 로그인 시간을 75% 단축한다는 결과가 나왔다”고 공개했다. 아울러 “비밀번호 초기화 비용이 90% 이상 감소했다”고 전했다.
.
SK텔레콤과 삼성전자는 국내외에서 패스키의 확장을 위한 전략적인 협업을 진행하기로 했다고 발표했다. 이로써 더 많은 사용자들이 간편하고 안전한 온라인 경험을 누릴 수 있을 것으로 기대된다는 게 FIDO 얼라이언스의 설명이다.

한편, FIDO 얼라이언스는 패스워드나 OTP와 같은 지식 기반 온라인 인증이 야기하는 문제점을 해결하기 위해 전 세계 300여 개 기업, 정부 및 공공기관이 함께하는 글로벌 기술표준화 비영리 단체이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network