PassKey로 비밀번호 없이 로그인이 가능하다고?

PassKey는 기존의 비밀번호를 대신하는 더 안전하고 간편한 인증방식을 제공하는 기술이다. 따라서 사용자는 비밀번호를 기억하지 않아도 되고 지문, 얼굴인식과 같은 생체 인식이나 기기 인증을 통해 안전하게 로그인을 할 수 있게 해준다. Apple, Google, Microsoft 와 같은 주요 기업들이 지원하며 구글로그인이나 애플로그인을 할 때 비밀번호 입력 화면 대신에 PassKey로 대신하는 경험을 이미 해봤을 것이다. 이 PassKey는 비밀번호의 복잡성과 노출 위험 보안 위험을 줄이기 위해 등장했다.

 

 

PassKey란 무엇인가?

패스키는 FIDO(Fast Identity Online) 얼라이언스에서 개발한 비밀번호 대체 기술입니다. 기존의 복잡한 비밀번호 입력 방식을 버리고, 생체 인증(지문, 얼굴 인식)이나 PIN을 사용해 더 안전하고 편리하게 로그인할 수 있게 해주는 기술이에요.

 

패스키의 핵심 특징

보안성 강화: 패스키는 공개키 암호화 방식을 사용해 기존 비밀번호보다 훨씬 안전합니다. 개인키는 사용자의 기기에만 저장되므로 서버 해킹으로 인한 개인정보 유출 위험이 현저히 줄어들어요.

편의성 향상: 복잡한 비밀번호를 기억할 필요 없이 지문이나 얼굴 인식만으로 로그인할 수 있어 사용자 경험이 크게 개선됩니다.

피싱 방지: 패스키는 특정 도메인과 연결되어 생성되므로 가짜 사이트에서는 작동하지 않아 피싱 공격을 원천 차단합니다.

 

FIDO표준이란?

FIDO(Fast Identity Online)는 비밀번호 없는 안전한 인증을 목표로 하는 글로벌 인증 표준이다. FIDO는 비대칭 암호화 기술을 기반으로 사용자 인증을 제공하고  데이터 유출과 같은 보안 문제를 줄여주며 비밀번호를 입력하지 않아도 되기 때문에 사용이 편리하다. 주로 지문, 얼굴 인식과 같은 생체 인식 또는 기기보안(PIN, 패턴)을 통해 비밀번호를 대체하여 사용된다.

 

이를 가능하게 할 수 있는 핵심은 공개키-개인키 비대칭 암호화 방식을 사용하기 때문에 가능하다

 

비대칭 암호화란?

그렇다면 비대칭 암호화는 또 무엇일까?

비대칭 암호화(Asymmetric Encryption)는 서로 다른 두 개의 키를 한쌍으로 사용하는 암호화 방식이다. 이 두개의 키는 공개키 (Public Key)와 개인키(Private Key)로 구성되머 각각의 키는 PassKey에서 다음과 같은 역할을 가진다

 

- 공개키 : 누구나 볼 수 있고 서버에 저장된다. 데이터의 서명을 검증할 떄 사용된다.

- 개인키 : 사용자 기기에만 안전하게 저장된다. 데이터를 서명할때 사용된다.

 

비대칭 암호화에서 공개키와 개인키는 수학적 알고리즘을 통해 생성되는데 공개키는 개인키로부터 만들어져 두 키는 상호 작용하는 방식으로 암호화와 복호화를 처리할 수 있다. 이때 사용되는 알고리즘은 RSA와 ECC(타원 곡선 암호화)가 사용된다.

RSA는 두 개의 큰 소수를 사용해 수학적으로 연결된 공개키와 개인키를 생성하고, ECC는 타원 곡선의 수학적 성질을 이용해 개인키와 공개키를 생성해 더 작은 키 크기로도 강력한 보안을 제공한다. 

 

 

PassKey에서 비대칭 암호화 동작 원리 

PassKey에서 비대칭 암호화가 사용되는데 사용자가 PassKey를 등록하면 디바이스에서 공개키-개인키 한쌍을 생성한다. 개인키는 사용자의 디바이스 내에 안전하게 저장되며 공개키는 서버에 등록된다.

 

사용자가 로그인을 할 때 지문이나 얼굴인식을 통해 본인임을 증명하는데 이 확인이 이루어지면 디바이스는 개인키를 사용해 로그인 요청에 대한 암호화된 서명을 생성한다. 이 서명은 서버로 전송된다.

 

서버는 서버가 가지고 있는 공개키를 사용해 서명을 검증하는데 이 서명이 맞다면 사용자가 맞다고 판단하고 로그인을 승인하게 된다. 여기서 중요한 부분은 개인키가 서버로 전송되지 않기 때문에 항상 디바이스에만 존재하므로 외부에 노출되지 않아 보안이 굉장히 좋다는 것이다.

 

 

PassKey 동작 흐름

 

계정 생성 및 등록

• 사용자가 웹사이트에 새로운 계정을 생성시 PassKey를 사용해 등록한다. 
• 사용자는 지문인식, 얼굴인식과 같은 생체인식방식이나 PIN, 패턴과 같은 디바이스 인증을 사용해 PassKey 등록을 완료하낟.
• 디바이스 사용자에 대한 공개키-개인키 한쌍을 생성한 후 공개키는 서버에 저장하고 개인키는 디바이스에 저장된다

 

로그인

• 사용자가 웹사이트에 로그인할 때 비밀번호 입력단계에서 대신 PassKey 인증으로 사용자 인증을 진행한다.
• 이 때 사용자 인증에는 지문, 얼굴인식, PIN 등 방식이 사용된다.
• 디바이스는 개인키를 사용해 로그인 요청에 대한 암호화된 서명을 생성하여 서버로 전송한다.
• 서버는 저장된 공개키로 서명을 검증하고 검증이 통과되면 로그인을 승인한다.

 

패스키의 동작 원리

패스키가 어떻게 작동하는지 단계별로 살펴보겠습니다. 복잡해 보이지만 사용자 입장에서는 매우 간단해요.

패스키 생성 과정

1단계 - 키 쌍 생성: 패스키를 설정하면 사용자의 기기에서 자동으로 공개키(Public Key)와 개인키(Private Key) 한 쌍이 생성됩니다.

2단계 - 키 저장: 공개키는 해당 웹사이트나 앱의 서버에 저장되고, 개인키는 사용자의 기기(스마트폰, PC 등)에만 안전하게 보관됩니다.

3단계 - 생체 인증 연결: 개인키를 사용하기 위해서는 반드시 생체 인증(지문, 얼굴 인식) 또는 PIN 입력이 필요합니다.

패스키 로그인 과정

1단계 - 로그인 요청: 사용자가 웹사이트나 앱에서 패스키 로그인을 선택합니다.

2단계 - 챌린지 생성: 서버에서 무작위 챌린지(도전 문제)를 생성해 사용자 기기로 전송합니다.

3단계 - 디지털 서명: 사용자가 생체 인증을 완료하면 기기의 개인키로 챌린지에 디지털 서명을 생성합니다.

4단계 - 인증 완료: 서버가 공개키로 디지털 서명을 검증하여 로그인을 승인합니다.

이 과정에서 실제 비밀번호나 생체 정보는 네트워크를 통해 전송되지 않아 매우 안전합니다.

패스키 vs 비밀번호 비교

패스키와 기존 비밀번호 방식을 자세히 비교해보겠습니다.

보안성 비교

구분비밀번호패스키

유출 위험	서버 해킹 시 대량 유출 가능	개인키는 기기에만 저장, 유출 불가
피싱 공격	취약 (가짜 사이트에서도 입력 가능)	방지 (특정 도메인에서만 작동)
재사용 문제	여러 사이트에 같은 비밀번호 사용	사이트별 고유 키 쌍 생성
추측 가능성	단순한 비밀번호는 추측 가능	암호화 키는 추측 불가능

편의성 비교

비밀번호의 불편함:

• 복잡한 비밀번호 기억해야 함
• 정기적인 비밀번호 변경 필요
• 비밀번호 분실 시 복구 과정 복잡
• 여러 사이트마다 다른 비밀번호 관리 어려움

패스키의 편리함:

• 생체 인증만으로 간편 로그인
• 비밀번호 기억할 필요 없음
• 자동 동기화로 여러 기기에서 사용 가능
• 비밀번호 분실 걱정 없음

 

PassKey와 iCloud Keychain

PassKey에서 생성한 개인키가 사용자 디바이스에 저장된다면 Apple 기기인 맥북에서 생성하고 등록한 PassKey로 iPhone 에서 사용하려고 하면 다른기기에서 로그인과 같은 안내가 떠야하는데 맥북과 아이폰을 사용해본 사용자는 이 경험이 많이 없을 수도 있다. 분명 생성한 디바이스의 기기에 개인키가 저장된다고 하면 아이폰에서는 PassKey를 사용할때 다른 기기에서 로그인을 해야 할 것 같은데 말이다.

 

이 것은 iCloud Keychain 덕분에 가능한 기술이다. 즉 맥과 아이폰 유저는 PassKey가 기기간에 동기화가 되고 있다.

Apple 기기간에 PassKey 데이터를 안전하게 동기화할 수 있는 이유는 iCloud Keychain이 엔드투엔드 암호화를 지원하기 때문이다.

 

Apple 기기들은 PassKey를 생성한 후 이 정보를 iCloud Keychain에 저장한다. 즉 Apple 기기에서는 iCloud 가 On 되어 있어야 PassKey 생성이 가능하며 그중에서도 iCloud > Keychain이 활성화되어있어야만 한다.

 

iCloud Keychain은 Apple의 클라우드 기반 암호관리 시스템이다. 사용자가 저장한 암호나 신용카드 정보, 와이파이 네트워크 정보 그리고 PassKey 정보까지 안전하게 동기화가 되고 있다. 이때 엔드투엔드 암호화로 보호가 되고 있다. 즉 암호화된 상태로 iCloud에 저장된다.

 

 

패스키 설정 방법

주요 플랫폼별 패스키 설정 방법을 안내해드리겠습니다.

구글 계정 패스키 설정

구글 계정에서 패스키를 설정하는 방법을 알아보겠습니다. 설정 과정이 매우 간단하니 차근차근 따라해보세요.

1단계: 구글 계정 관리 페이지에 접속합니다.

2단계: 좌측 메뉴에서 [보안]을 클릭합니다.

3단계: [Google에 로그인하는 방법] 섹션에서 [패스키]를 찾아 클릭합니다.

4단계: [패스키 사용 시작] 버튼을 클릭합니다.

5단계: 기기의 생체 인증(지문, 얼굴 인식) 또는 PIN을 입력하여 패스키를 생성합니다.

애플 기기 패스키 설정

아이폰, 아이패드, 맥에서 패스키를 설정하는 방법입니다.

사전 준비사항:

• iOS 16 이상 또는 macOS Ventura 이상
• iCloud 키체인 활성화
• 2단계 인증 설정 완료

설정 방법: 1단계: 패스키를 지원하는 웹사이트나 앱에 접속합니다.

2단계: 로그인 후 계정 설정에서 [패스키 추가] 옵션을 선택합니다.

3단계: [계속]을 탭하고 Face ID, Touch ID 또는 기기 암호로 인증합니다.

4단계: 패스키가 자동으로 iCloud 키체인에 저장됩니다.

안드로이드 패스키 설정

삼성 갤럭시를 포함한 안드로이드 기기에서의 패스키 설정법입니다.

사전 준비사항:

• Android 9.0 이상
• 화면 잠금 설정 (PIN, 패턴, 비밀번호, 지문 등)
• 구글 계정 로그인

설정 방법:

1단계: Chrome 브라우저에 구글 계정으로 로그인합니다.

2단계: 패스키를 지원하는 사이트에서 [패스키 생성]을 선택합니다.

3단계: [Google 비밀번호 관리자에 저장]을 선택합니다.

4단계: 기기의 생체 인증 또는 화면 잠금으로 확인합니다.