또 비밀번호를 잊었습니다. "영문 대소문자, 숫자, 특수문자 포함 10자 이상"으로 어렵게 만들어 놓고는 정작 본인이 기억하지 못해 '비밀번호 찾기'를 누르는 풍경, 너무 익숙하죠. 그런데 요즘 로그인 화면이 조금씩 달라지고 있습니다. 비밀번호 칸 대신 지문이나 얼굴 인식으로 곧장 들어가지는 서비스가 부쩍 늘었습니다. 그 뒤에 있는 기술이 바로 '패스키(passkey)'입니다.
오늘은 이 패스키가 정확히 무엇인지, 왜 보안 전문가들이 입을 모아 권하는지, 그리고 어떻게 시작하면 되는지를 차근차근 풀어보겠습니다.
패스키, 도대체 뭘까
패스키를 한마디로 하면 '외우지 않아도 되는, 훔칠 수 없는 비밀번호'입니다. 기존 비밀번호는 내가 만든 문자열을 서버가 보관하고, 로그인할 때 그 문자열을 맞춰보는 방식이었습니다. 그래서 서버가 해킹당하면 비밀번호가 통째로 유출됐죠.
패스키는 구조가 다릅니다. 로그인할 기기 안에 '비밀 열쇠(개인키)'를 저장하고, 서비스에는 짝이 되는 '공개 자물쇠(공개키)'만 보냅니다. 로그인할 때 기기가 지문·얼굴로 본인을 확인한 뒤, 비밀 열쇠로 서명한 신호만 전송합니다. 비밀 열쇠 자체는 절대 기기 밖으로 나가지 않습니다. 그래서 서버가 털려도 가져갈 비밀번호가 없습니다.
비밀번호가 '내가 외워서 입력하는 정보'라면, 패스키는 '내 기기가 나 대신 증명해 주는 열쇠'입니다.
왜 더 안전한가 — 피싱이 안 통한다
패스키의 가장 큰 무기는 피싱 차단입니다. 가짜 사이트로 유인해 비밀번호를 빼내는 수법이 안 통합니다. 패스키는 등록된 진짜 도메인에서만 작동하도록 설계돼 있어서, 주소가 한 글자라도 다른 가짜 사이트에서는 애초에 인증이 일어나지 않기 때문입니다.
또 사람마다 비밀번호를 돌려쓰다 한 곳이 뚫리면 다른 곳까지 연쇄로 털리는 일이 흔했는데, 패스키는 서비스마다 고유한 열쇠가 만들어져 이런 연쇄 피해가 원천 차단됩니다. 실제로 패스키를 도입한 기업들은 피싱 관련 사고 감소와 비밀번호 재설정 문의 급감을 효과로 꼽습니다.
생각보다 빨리 퍼지고 있다
"아직 일부 얘기 아니야?" 싶을 수 있지만, 확산 속도가 가파릅니다. 한 업계 집계에 따르면 전 세계적으로 약 50억 개의 패스키가 사용되고 있고, 사람들의 약 90%가 패스키를 인지하며, 75%가 한 개 이상의 계정에 패스키를 설정해 본 것으로 나타났습니다.
기업 쪽도 마찬가지여서, 약 68%의 조직이 직원 인증에 패스키를 도입·시범운영 중이라는 조사가 있습니다. 다만 여전히 절반이 넘는 조직이 피싱에 취약한 기존 방식을 주력으로 쓰고 있어, 완전한 전환까지는 시간이 더 필요해 보입니다. (수치는 작성 시점의 업계 조사 기준입니다.)
그래서, 어떻게 시작할까
거창한 준비는 필요 없습니다. 자주 쓰는 서비스의 계정 보안 설정에 들어가 보면 됩니다. 순서는 대체로 이렇습니다.
- 계정의 '보안' 또는 '로그인' 설정에서 '패스키 만들기' 항목을 찾습니다.
- 안내에 따라 지문·얼굴·기기 PIN으로 본인 확인을 합니다.
- 패스키가 기기(또는 비밀번호 관리 앱)에 저장되면 끝입니다.
요즘은 만든 패스키가 같은 계정으로 연결된 다른 기기에도 자동 동기화돼, 폰을 바꿔도 다시 쓸 수 있습니다. 한 가지 팁이라면, 기기를 잃어버렸을 때를 대비해 복구 수단(백업 이메일, 보조 인증)을 함께 설정해 두는 게 좋습니다.
마무리하며
패스키는 '더 복잡한 비밀번호'가 아니라 '비밀번호라는 짐 자체를 내려놓는' 변화입니다. 외울 것도, 유출될 것도 없으니 편리함과 안전을 동시에 챙기는 셈이죠.
당장 모든 계정을 바꿀 필요는 없습니다. 이메일이나 자주 쓰는 핵심 계정 하나부터 패스키로 바꿔보세요. 지문 한 번에 로그인되는 그 가벼움을 경험하고 나면, 비밀번호 찾기 버튼과 작별할 날이 생각보다 가깝게 느껴질 겁니다.
댓글 0