1.패스키 개요
비밀번호는 지식 기반 인증 방식의 대표적인 방식으로, 여러 단점을 가지고 있음
여러 서비스에서 비밀번호 재사용에 따른 보안 위험, 피싱, 무차별 대입 공격 등에 취약
Q. 비밀번호 없이 인증(로그인)하는 방법?
지식 기반 인증이 아닌, 다른 인증 메커니즘 차용 필요
→ ex. 생체 & 소유 기반 인증
2. 패스키(Passkeys)
패스키는 FIDO Alliance 에서 지원하는 인증 메커니즘 중 하나로, 핵심은 비밀번호 없는 인증을 지향함
사용자는 서비스에 로그인할 때, 비밀번호가 아닌 휴대하고 있는 모바일 디바이스나 생체 인식 등을 기반으로 인증 과정을 수행할 수 있음
이를 통해 사용자는 별도의 비밀번호를 기억하지 않으며, 2단계 인증(MFA)과 같은 과정을 거치지 않고도 보다 간편하고 안전하게 서비스를 이용할 수 있음
passkey?
pass - 지나가다, 통과하다
password - 접근을 통과시켜주는 단어
passkey - 접근을 통과시켜주는 열쇠
“더 이상 Password가 아닌 Passkey”
3. 패스키의 장점
패스키는 다음과 같은 장점들을 가지고 있음
3-1. 서버의 비밀번호 유출 문제 해결
비밀번호(Password)라는 것은 사실상 인증의 핵심이 되는 키이기 때문에 비밀번호가 탈취당하면 해커는 대부분의 서비스 기능을 이용할 수 있게 됨
이러한 문제를 방지하기 위해 최근에는 2단계 인증(MFA) 등 다양한 부차적인 인증 방식들이 활용되고 있는 것
또한 서버는 비록 해시형태로 저장하고 있다고 하더라도, 비밀번호 데이터를 저장, 보관하고 있기 때문에 여전히 공격 가치가 있는 데이터임
기술 기반의 비밀번호 탈취 공격 방식
- 짧고 단순한 비밀번호를 무차별로 대입하는 공격
- 일반적으로 자주 쓰이는 비밀번호 목록을 대입하는 사전 공격(Dictionray attack)
- 솔트값이 없거나 약할 경우 레인보우 테이블 공격
이에 반해 패스키는 기본적으로 서버에 비밀번호와 같은 핵심 비밀 키(Secret)를 저장하지 않고, 공개 키(Public Key)만 저장함
공개키는 유출되어도 위험하지 않으며, 비밀 키에 해당하는 개인 키(Private Key)는 개별 사용자의 디바이스(주로 모바일)에만 저장되어 있음
따라서 서버가 뚫리더라도 데이터의 가치가 떨어짐
3-2. 피싱(Phishing) 방지
과거에는 키로거(Keylogger)라는 컴퓨터의 키 입력을 모니터링하고 있다가 사용자가 입력한 값들을 기록하도록 설계된 소프트웨어나 하드웨어가 있었음
이를 악용할 경우, 사용자의 동의 없이 비밀번호 등의 민감한 정보를 은밀하게 훔치는 데 사용됨
비밀번호는 이와 같은 다양한 피싱 공격에 취약하지만, 패스키는 개인 키를 직접 입력해야하는 상황 자체가 없기 때문에 피싱 공격에서 원천 차단됨
3-3. 보다 편리한 로그인 경험
사용자는 문자, 숫자, 특수문자 조합을 포함한 복잡한 비밀번호를 기억할 필요 없이 지문이나 안면과 같은 생체 정보나 간단한 PIN 번호로 간편하게 로그인 가능
3-4. 비밀번호 재사용 및 사용자의 유출 문제 해결
하나의 비밀번호가 유출되면 다른 서비스들에서도 재사용될 경우 발생할 수 있는 위험이 없으며, 기기별로 고유한 인증 방식을 제공하기 때문에 탈취 위험이 줄어듦
별도의 비밀번호 찾기 과정도 필요 없음
3-5. 플랫폼 및 기기 간 호환성
패스키는 Apple, Google, Microsoft 등에서 지원하기 때문에 iOS나 Android, Windows, Mac 등 다양한 환경에서 사용 가능
4. 패스키 요약
패스키는 기존 비밀번호 방식의 한계를 극복, 보다 간편한 로그인 환경을 제공(Passwordless Future)
패스키 체험하기
하단 Demo Sites 중에서 선택
SK 텔레콤 , Amazon, Google, Nintendo, Mercari 등은 패스키를 사용하는 FIDO 기반 로그인을 제공함