"패스워드 필요 없는 로그인 당연해진다"
SK텔레콤이 iOS 본인확인 앱 패스(PASS)의 사용자 인증 수단으로 '패스키(Passkey)'를 적용했다. 패스키는 사용자의 단말에서 지문 스캔, 얼굴 인식 등으로 본인 인증한 뒤, 인증 결과로 비밀키를 푸는 식으로 이뤄진다. 패스키 기술 개발을 맡은 이성재 SK텔레콤 월렛서비스프로덕트팀 팀장은 "이제 비교적 보안이 취약한 비밀번호를 대체할 수 있을 것"이라고 말했다. 이 팀장은 패스키의 장점으로 "웹 서비스의 데이터베이스에 비밀번호를 저장할 필요가 없고, 암호화한 패스키의 비밀키를 풀 수 없어 안전하다"고 설명했다. SK텔레콤은 패스 앱 등 플랫폼 사업자와 협력해 패스키 기술을 개발했다. 패스키 인증 서버는 웹 표준(W3C)과 FIDO(Fast IDentity Online) 표준을 기반으로 자체 설계∙개발했다. FIDO는 바이오 인증 등 비밀번호를 대체하는 차세대 인증 수단이다. 관련 기술 기업은 FIDO 얼라이언스를 만들고 기술 표준을 정하고 있다. SK텔레콤은 자체 개발한 패스키 인증 서버 기술로 FIDO 얼라이언스에서 인증서를 획득했다. 패스키, 편의성·보안성 두 마리 토끼 잡았다 패스키는 비밀번호 인증처럼 편리하게 사용하면서 보안성을 높인 점이 특징이다. 이 팀장은 "보통 인증 수단은 편의성이 높으면 보안성은 비교적 취약한데, 패스키를 사용하면 단말기로 생체 인증하는 등 간편한 방법을 쓸 수 있다"고 말했다. 이어 "패스키는 패스워드 분실로 인한 재설정을 할 일이 없어지고, 노출을 염려해 주기적으로 갱신할 필요도 없다"고 덧붙였다. 패스키는 한번 생성·등록 하면 여러 단말에서 별도 절차 없이 사용할 수 있다. 비밀번호를 사용할 땐 단말 분실·교체 시 재설정했다면, 패스키는 기존 생성한 것으로 쓸 수 있다. 이 팀장은 "패스키 사용 확대는 '패스워드 리스'로의 전환을 의미한다"며 패스키가 패스워드를 대체할 것이라고 강조했다. 그러면서 "그동안 개인정보 유출 등 보안 사고들은 패스워드의 취약성에서 비롯한 사례가 많았다"고 설명했다. 2013년 페이팔 개발자 컨퍼런스에서 나온 자료를 보면, 패스워드 사용자의 41%는 사용 빈도 1위부터 100위까지의 것을 이용했다. 이 팀장은 "특수문자, 대문자를 꼭 사용하고 특정 단어는 못 쓰는 등 제약을 걸어 패스워드 보안성이 개선됐지만, 여전히 노출 위험은 사라지지 않았다"고 부연했다. 이용자들의 비슷한 패스워드 사용 경향, 해커의 인증 서버 공격 위험 등을 고려하면 여전히 보안성이 비교적 취약하다는 것이다. 애플·페이팔·NTT 도코모 등 전 세계 기업도 패스키 도입 패스키는 전 세계에서 확대되고 있다. 애플, 페이팔, 이베이, 야후 일본, NTT 도코모 등에서 패스키를 도입했다. 애플은 지난해 6월 애플 세계 개발자 회의(WWDC)에서 사파리에서 패스워드를 대체하는 패스키 도입을 밝혔다. 페이팔은 지난해 10월 결제 시스템 인증 수단으로 패스키를 적용했다. NTT 도코모는 지난 5일부터 패스키로 스마트폰 계정을 인증할 수 있도록 했다. SK텔레콤은 지난달 9일 iOS 단말기 패스앱에 패스키를 공식 적용했다. 안드로이드에서도 패스키가 공식 도입되면 적용할 계획이다. 또, T월드 앱에도 적용을 검토 중이다. 이 팀장은 "관련 업계에서는 올해 기점으로 패스키에 대한 관심이 높아지고, 큰 서비스에 적용되며 점차 상용화가 빨라질 것"이라며 "사업자들이 패스키를 도입해 보안 위험 부담을 줄일 수 있다"고 강조했다. 패스워드를 사용할 땐 사업자가 이용자의 모든 패스워드를 서버에서 중앙 집중적으로 관리했다. 해킹 등 각종 보안 위협에 대응해야 하고, 보안 사고에 대한 책임을 고스란히 지는 구조였다. 이와 달리 패스키는 이용자의 단말에 비밀키를 저장하고, 서버에서는 이를 검증만 하기 때문에 해킹 위험이 줄었다. 이 팀장은 "지금은 패스키가 패스워드를 대체하는 과도기로, 이용자들이 패스키 사용에 더 익숙해지고 관련 기술 개발이 늘어나면 완전 상용화하는 시기가 올 것"이라고 내다봤다.