IT용어

패스키(Passkeys)

미니임 2026. 2. 26. 23:19

1. 개요 (Overview)

**패스키(Passkeys)**는 FIDO 얼라이언스와 W3C가 협력하여 만든 비밀번호 없는(Passwordless) 인증 표준입니다. 기존의 복잡한 비밀번호 대신 사용자의 기기(스마트폰, PC 등)에 저장된 암호화 키를 사용하여 로그인을 수행합니다.

  • 배경: 비밀번호는 유출, 피싱(Phishing), 재사용에 따른 취약점이 존재하며, 관리의 번거로움이 큽니다.
  • 핵심 가치: 강력한 보안(공개키 암호화)과 간편한 UX(생체 인식/PIN)의 결합.

2. 개념도 (Concept Diagram)

패스키 인증은 크게 **사용자 기기(Authenticator)**와 서버(Relying Party) 간의 공개키 암호화 방식으로 동작합니다.

[ 사용자 ] <--- 생체인식/PIN ---> [ 사용자 기기 (Client/Authenticator) ]
                                          |
                                          | (1) 챌린지 요청
                                          | (2) 서명된 응답 (공개키 기반)
                                          v
                              [ 서비스 서버 (Relying Party) ]
                                 (공개키를 통해 서명 검증)

동작 원리

  1. 등록(Registration): 기기에서 한 쌍의 키(개인키-공개키)를 생성합니다. 개인키는 기기의 안전한 영역(TPM, Secure Enclave)에 보관하고, 공개키는 서버로 전송하여 저장합니다.
  2. 인증(Authentication): 로그인이 필요할 때 서버가 챌린지 값을 보냅니다. 사용자가 기기에서 생체 인식(Face ID, 지문 등)을 하면 기기가 개인키로 챌린지에 서명하여 서버에 보냅니다. 서버는 보관 중인 공개키로 서명을 검증하여 접속을 승인합니다.

3. 핵심 기술 스택 (Technical Stack)

패스키는 FIDO2 표준을 기반으로 구축되었습니다.

  1. WebAuthn (Web Authentication API):
    • 웹 브라우저가 사용자 기기의 인증 장치와 통신하기 위한 자바스크립트 API입니다.
    • 서버(RP)가 브라우저에 인증 요청을 전달하고 결과를 받는 통로 역할을 합니다.
  2. CTAP2 (Client to Authenticator Protocol):
    • 브라우저나 OS가 외부 인증 장치(USB 보안 키, 블루투스 연결된 스마트폰 등)와 통신할 때 사용하는 프로토콜입니다.
  3. 암호화 알고리즘:
    • 주로 **ECDSA (Elliptic Curve Digital Signature Algorithm)**를 사용하여 작고 안전한 키 쌍을 생성합니다.
  4. 안전한 저장소:
    • TPM (Trusted Platform Module) 또는 Secure Enclave: 하드웨어 수준에서 개인키를 보호하여 외부 유출을 원천 봉쇄합니다.
  5. 동기화 메커니즘:
    • Apple(iCloud Keychain), Google(Google Password Manager), Microsoft 등 클라우드 서비스를 통해 여러 기기 간에 패스키를 안전하게 동기화합니다.

4. 주요 특징 (Key Features)

  • 피싱 방지 (Phishing Resistance): 패스키는 특정 도메인(예: https://www.google.com/search?q=google.com)에 종속됩니다. 가짜 사이트에서는 패스키가 작동하지 않아 피싱 공격이 불가능합니다.
  • 다중 장치 동기화: 한 번 생성한 패스키를 클라우드를 통해 공유하여 새 스마트폰이나 태블릿에서도 별도 등록 없이 즉시 사용할 수 있습니다.
  • 편의성: 비밀번호를 외울 필요가 없으며, 스마트폰 잠금 해제와 동일한 경험으로 로그인이 완료됩니다.
  • 서버 해킹 안전성: 서버에는 오직 공개키만 저장됩니다. 서버가 해킹당하더라도 사용자의 개인키가 유출되지 않아 계정을 탈취할 수 없습니다.

5. 활용 사례 (Use Cases)

  1. 금융 서비스:
    • 은행 앱 로그인 및 고액 송금 시 추가 인증 수단으로 활용하여 보안을 강화합니다.
  2. 전자상거래 (E-commerce):
    • 결제 단계에서 복잡한 카드 비밀번호 대신 패스키로 간편하고 안전하게 결제를 승인합니다.
  3. 기업 보안 (Enterprise):
    • 임직원의 사내 망 접속 시 비밀번호를 없애 계정 탈취 사고를 예방하고 관리 비용을 절감합니다.
  4. 소셜 미디어 및 일반 웹사이트:
    • Google, Apple, Microsoft, Amazon, TikTok 등 대형 플랫폼들이 이미 패스키를 도입하여 사용자 경험을 혁신하고 있습니다.

6. 결론 및 향후 전망

패스키는 "비밀번호의 종말"을 실현할 수 있는 가장 현실적인 기술입니다. 초기에는 단일 기기에 종속되어 불편함이 있었으나, 최근 **동기화 가능한 패스키(Multi-device Passkeys)**의 등장으로 범용성이 대폭 향상되었습니다. 보안성과 편의성이라는 두 마리 토끼를 모두 잡은 기술로서, 향후 모든 온라인 서비스의 기본 인증 수단으로 자리 잡을 것으로 예상됩니다.

반응형