외우기 힘든 '비번'은 안녕…'패스키' 뜬다

테크 딥다이브

8자리 숫자 37초면 무력화
다른 곳에 적어두면 유출 위험

패스키, 스마트폰으로 신원 파악
생체인식·핀번호로 2차 확인
빅테크, SKT 등 앞다퉈 도입

패스워드 유출과 이로 인한 해킹 사고가 늘어나면서 패스워드를 사용하지 않고 각종 온라인 서비스에 로그인할 수 있는 ‘패스키’가 대안으로 주목받고 있다. 애플, 구글, 마이크로소프트 등 빅테크가 이를 도입하는 가운데 국내에서도 SK텔레콤이 서비스형 소프트웨어(SaaS) 형태로 기업에 해당 기술을 공급하기로 했다.

패스워드 대신 기기로 사용자 확인

SK텔레콤은 패스키 인증시스템을 SaaS 기반으로 기업에 제공한다고 26일 발표했다. 패스키는 비밀번호 대신 공개키 암호화 알고리즘을 통해 인증과 로그인을 가능케 하는 글로벌 표준 기술이다. 이용자는 비밀번호를 설정하거나 외울 필요 없이 이용하는 디바이스가 지원하는 생체인증, 핀 번호 등 인증 방식을 통해 로그인할 수 있다.

현재 온라인 서비스에서 가장 흔하게 활용하는 로그인 방법은 아이디와 패스워드다. 이 방식은 패스워드가 유출될 경우 곧바로 계정을 탈취당할 수 있다는 단점이 있다. 컴퓨터 하드웨어 발달로 간단한 비밀번호는 몇 초 만에 뚫릴 수 있다. 사이버보안 전문업체인 하이브시스템즈에 따르면 숫자만으로 이뤄진 8자리 패스워드는 37초면 해커의 수중에 떨어진다. 이런 이유로 숫자와 알파벳 대소문자, 특수기호를 섞어 패스워드를 만들도록 강제하는 웹사이트도 많다. 패스워드가 길고 복잡할수록 외우기 어려워 어딘가에 기록할 수밖에 없다. 이것 역시 해킹의 빌미가 될 수 있다.

패스워드의 근본적인 문제는 패스워드 그 자체다. 패스워드를 소유한 사람과 상관없이 제대로 입력하기만 한다면 로그인을 허락하기 때문이다. 패스키는 이 같은 단점을 해소하기 위해 개발한 기술이다. 패스워드를 없앤 대신 스마트폰과 같은 기기를 통해 이용자를 확인한다. 먼저 기기 자체로 이용자를 인증하고, 얼굴·지문 인식과 같은 인증 방식을 통해 한 번 더 확인한다.

패스키는 사용자의 기기를 활용해 패스키를 사용하는 웹사이트나 서비스에 대해 비대칭 암호키를 생성한다. 개인키는 기기에 저장된다. 웹사이트가 해킹되더라도 이용자의 개인키를 알 수 없기 때문에 패스워드가 탈취되는 일이 없다. 스마트폰을 탈취당해도 잠금을 해제하지 않는 한 다른 사람이 로그인할 수 없는 구조다.

편의성도 높아진다. SK텔레콤에 따르면 패스키를 도입하면 로그인 성공률은 기존 패스워드 대비 4배 높고, 로그인에 걸리는 시간은 75% 줄어드는 것으로 나타났다.

SKT “SaaS로 패스키 도입 늘릴 것”

패스키는 웹3C와 FIDO얼라이언스 등이 공동 개발했다. 2022년 애플과 구글, 삼성전자 등이 자사 서비스에 패스키를 적용하면서 빠르게 확산하는 추세다. SK텔레콤은 지난해 패스키 인증시스템을 자체 개발해 본인확인 서비스인 패스(PASS) 앱에 적용했다. 이번에 SaaS 형태로 서비스를 시작하면서 다른 기업들도 손쉽게 패스키를 자사 서비스에 도입할 수 있을 전망이다.

다만 기존 패스워드 방식의 웹사이트가 광범위하게 퍼져 있어 당분간 패스키와 패스워드가 공존하는 상황이 지속될 것으로 예상된다. 애플과 구글 등도 패스키와 패스워드 방식을 모두 제공하고 있다.

이승우 기자 leeswoo@hankyung.com