비번 없이도 해킹·피싱 차단…‘패스키’로 눈돌리는 기업들

스마트폰에 암호 키 한 쌍 생성

비밀번호보다 ‘보안성’ 높아

SKT·네이버·카카오 등 도입

GS리테일은 지난 1월 편의점 웹사이트에서 9만여명의 개인정보가 유출된 데 이어 지난달 홈쇼핑에서도 개인정보 158만건이 유출된 정황이 확인됐다. 해킹 수법으로 지목된 것은 ‘크리덴셜 스터핑’.

사람들이 사이트마다 같은 아이디·비밀번호를 쓰는 점을 악용해 모종의 경로로 수집한 정보로 다른 사이트에도 로그인을 시도하는 공격이다. 인크루트, SPC그룹 해피포인트도 이런 수법에 당했다.

문제가 된 것은 비밀번호. 보안 수준을 높인다며 숫자에다 영어 소문자, 특수문자에 이젠 영어 대문자까지 넣으라는데, 비밀번호 외우기도 버거울 지경이다. 세계 비밀번호 지침의 기준이 되는 미국 국립표준기술연구소(NIST)는 지난해 10월 복잡한 비밀번호가 오히려 보안성을 취약하게 한다고 발표해 파장이 일었다.

대안으로 떠오르는 인증 방식이 있다. 비밀번호가 필요 없는 인증 시스템 ‘패스키(Passkey)’다.

“해커들이 다크웹에서 이미 해킹으로 유출된 정보를 저렴하게 얻을 수 있거든요. 기업들은 보안 시스템을 강화하고 2차 인증까지 도입하느라 부담은 늘고, 개인들에게는 주의를 당부하는 것 외에 뾰족한 수가 없는 상황이죠. 비밀번호가 존재하는 한 해킹은 끊이지 않으니, 문제의 근원을 없애자는 겁니다.”

이는 글로벌 표준 인증 단체 ‘FIDO 얼라이언스’에서 패스키 표준 기술 제정에 참여하고 있는 신기은 SK텔레콤 인증보안AI개발팀 매니저의 말이다.

최근 서울 을지로 T타워에서 만난 신 매니저는 “미국 정부와 빅테크들이 패스키 보급에 적극적인 상황이기 때문에 5년 내 패스키가 자리 잡을 것”이라며 “자라나는 세대는 패스키가 패스워드(비밀번호)보다 더 익숙하게 될 것”이라고 말했다.

패스키는 아이디·비밀번호 대신 사용자 기기에서 암호화 키를 기반으로 인증하는 기술이다. 스마트폰에서 얼굴·지문 인식, 핀 번호 등으로 패스키를 생성하면 ‘프라이빗키(개인키)’와 ‘퍼블릭키(공개키)’가 한 쌍 생겨난다.

스마트폰에는 프라이빗키가 저장되고, 퍼블릭키는 서비스 제공자에 전달된다. 해당 서비스에 로그인할 때 프라이빗키와 퍼블릭키를 서로 짝 맞춘다고 보면 된다.

패스키 생성 후에는 처음 선택했던 인증 수단을 사용하면 된다. 생체 인증과 다를 게 없어 보이지만, 기존 방식은 생체 인증으로 비밀번호를 대신 입력해주는 것이고 패스키는 비밀번호 자체가 없다. 해킹이나 피싱 자체가 불가능한 셈이다.

2022년 글로벌 차원에서 논의가 본격화한 패스키는 구글·애플·마이크로소프트 등 운영체제(OS)를 보유한 플랫폼 기업들과 제조사 삼성전자 등이 패스키를 쓸 수 있는 판을 깔아놨다. 한국에선 SK텔레콤, 네이버, 카카오, 토스 등 패스키를 도입하는 기업이 하나둘 늘고 있다.

SK텔레콤은 지난해 8월부터 패스키 인증 시스템을 ‘서비스형 소프트웨어(SaaS)’ 기반으로 기업에 제공하고 있다. 자체적으로 패스키 시스템 구축이 어려운 기업들이 월간 이용자수(MAU)에 따라 요금을 내고 서비스를 이용하는 방식이다.

추가 비용이 드는 것처럼 보이지만, 오히려 비용이 줄어들 수 있다고 업계에선 말한다.

비밀번호 찾기 서비스를 위한 고객센터 운영, 문자메시지 등을 통한 2차 인증 비용이 절감되기 때문이다. 깜빡한 비밀번호를 찾거나 추가 인증 필요가 없어지니 이용자들을 더욱 매끄럽게 구매·결제 단계로도 이끌 수 있다.

정석원 PASS사업팀 매니저는 “SK텔레콤은 패스키 글로벌 표준 인증 논의에 참여해 지속적인 기술 대응이 가능하다”며 “복지몰 업체 베네피아에 SK텔레콤 패스키를 처음 적용한 데 이어 다른 업체들과도 도입을 논의 중”이라고 밝혔다.

여러 장점에도 패스키 확산이 더딘 이유는 수십년간 굳어진 소비자들의 ‘관성’을 바꾸는 일이 쉽지 않기 때문이다.

신 매니저는 “국내에서도 정책적으로 홍보하면 보안성이 높은 패스키의 도입이 확산할 것으로 기대된다”고 말했다.