비밀번호 없어도 로그인한다…국내서도 확산하는 '패스키' : 네이트 뉴스
비밀번호 없어도 로그인한다…국내서도 확산하는 '패스키' : 네이트 뉴스
한눈에 보는 오늘 : 경제 - 뉴스 : ‘패스키(Passkey)’는 비밀번호를 사용하지 않고 사용자 기기에 생성되는 암호화 키로 인증하는 방식이다. SK텔레콤 제공 GS리테일은 지난 1월 편의점 웹사이트에
news.nate.com
- 패스키 개념 및 구조
- 패스키는 비밀번호 없이 사용자 기기 내 생성된 암호화 키 쌍(프라이빗키, 퍼블릭키)을 통해 인증하는 기술
- 기기에는 프라이빗키만 저장되고, 서비스 제공자에 퍼블릭키가 전달되며 두 키가 일치하면 인증 완료
- 얼굴 인식, 지문, PIN 등 생체 또는 로컬 인증 수단으로 키 접근만 가능하며, 패스워드 자체가 존재하지 않음
- 기존 인증 방식의 한계 및 패스키의 필요성 부각
- 반복되는 크리덴셜 스터핑 공격으로 인한 개인정보 유출 사고 급증
- GS리테일, 인크루트, SPC 해피포인트 등 잇단 피해 발생
- 복잡한 비밀번호 정책이 오히려 사용자 피로도 및 보안 취약성 유발
- NIST(미국 국립표준기술연구소)도 복잡한 비밀번호 정책의 한계를 지적하며 패스키 같은 대안을 권고
- 반복되는 크리덴셜 스터핑 공격으로 인한 개인정보 유출 사고 급증
- 패스키의 보안적 강점
- 비밀번호 자체가 존재하지 않기 때문에 유출 대상이 아님
- 피싱 공격 원천 차단 가능 (비밀번호 입력 행위가 없어 키 탈취 불가)
- 로컬 인증 기반으로 공격 범위 축소 (기기 탈취 외엔 인증 불가)
- 공개키 암호 구조 기반의 비대칭 방식으로 데이터 보호 강도 강화
- 글로벌 및 국내 도입 현황
- 구글, 애플, 마이크로소프트, 삼성 등 주요 플랫폼 기업들이 2022년부터 본격 도입 기반 마련
- 국내에선 SK텔레콤, 네이버, 카카오, 토스 등 도입 확대 중
- SK텔레콤은 SaaS 방식의 패스키 인증 플랫폼을 출시해 기업 도입 허들 완화
- 비용 효율성과 사용자 경험 개선 효과
- 비밀번호 찾기, 고객센터 운영, 2차 인증 문자 비용 등 운영비 감소
- 보안 이슈로 인한 과징금 리스크 경감
- 인증 간소화로 전환율(Conversion Rate) 및 사용자 만족도 향상
- 확산의 장애 요인과 정책적 필요성
- 사용자 측 인지 및 사용 습관 전환에 대한 저항
- 미국 등은 정부 차원의 정책 권고로 빠르게 확산 중
- 국내에서도 정책 주도형 홍보와 공공 부문 우선 도입 필요
- 결론
- 패스키는 사용성과 보안성을 동시에 강화할 수 있는 차세대 인증 프레임워크로, 비밀번호의 종말을 가시화
- 크리덴셜 스터핑, 피싱 등 기존 공격 벡터를 원천 차단할 수 있는 실질적 대안
- 공공기관, 금융, 의료 등 고위험 도메인부터 패스키 기반 인증 체계로 전환하고, 민간 확산을 위한 가이드라인 마련 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025년 1분기 웹3 보안 위협 급증 분석 (0) | 2025.05.12 |
|---|---|
| 제조업체의 최우선 투자 전략: 사이버 보안 태세 강화 (0) | 2025.05.12 |
| AI 연동 범용 아이덴티티 API 도입 통한 기업 보안 인프라 고도화 (0) | 2025.05.12 |
| AI 기반 사이버 공격의 진화와 산업별 보안 대응 전략 (1) | 2025.05.12 |
| Burp AI 출시로 인공지능 기반 침투 테스트 자동화 강화 (0) | 2025.05.11 |