비밀번호는 모든 보안 워크플로우에서 악명 높은 취약점입니다. 생성하고 기억하기 어렵고 공격자가 쉽게 알아낼 수 있는 경우가 많기 때문입니다. 하지만 다행히도 패스키를 사용하면 이러한 문제를 해결할 수 있습니다.

비밀번호보다 빠르고 안전한 패스키

2023년 5월, 키워드에 게시된 글 , 구글은 비밀번호 사용의 종말이 시작되었음을 알리며 구글 계정을 보호하는 대체 수단으로 패스키를 도입한다고 발표했습니다. 하지만 패스키란 무엇이며, 패스키가 Google 계정을 안전하게 보호하는 데 어떻게 도움이 될 수 있을까요?

사용자 이름과 비밀번호 조합은 컴퓨터 초창기부터 널리 사용되어 온 인증 방법입니다. 하지만 공격자가 컴퓨터에 물리적으로 접근하여 수동으로 키 입력을 해야 했던 시절에도 사회 공학으로 인해 비밀번호를 쉽게 알아낼 수 있는 경우가 많았습니다.

오늘날에도 가장 일반적인 비밀번호는 이름, 날짜, 동물, 음식과 같은 개인 정보를 기반으로 합니다.

즉시 떠올릴 수 있는 정보를 사용하면 비밀번호를 쉽게 기억할 수 있기 때문입니다. 반려견의 이름, 배우자의 생일, 간과 양파가 가장 좋아하는 데이트 저녁 메뉴라는 사실을 절대 잊어버리지 않을 것입니다.

안타깝게도 범죄자들도 비밀번호를 추측할 수 있으며, 특히 소셜 미디어에 과도하게 공유하는 경우 더욱 그렇습니다.

비밀번호 관리자는 추측할 수 없는 임의의 비밀번호를 생성하고 관리할 수 있는 서비스를 제공하지만, 대형 비밀번호 관리업체의 데이터 유출로 인해 수백만 명의 사용자 비밀번호가 악의적인 공격자의 손에 넘어가게 되었습니다.

다단계 인증(MFA)은 잠재적인 도둑이 사용자의 비밀번호를 모두 알고 있어야 하며 사용자가 자신을 인증하는 데 사용하는 앱이나 실제 장치에 액세스할 수 있어야 하므로 보안이 강화됩니다.

Google의 비밀번호 키는 비밀번호 관리자나 MFA 없이도 Android 휴대폰을 사용하여 즉시 인증할 수 있어 비밀번호 보안에 대한 복잡함과 스트레스를 없애줍니다.

패스키는 어떻게 작동하나요?

다중 장치 FIDO 자격 증명으로 더 잘 알려진 패스키는 암호화 키 쌍의 절반입니다. 공개 키는 액세스하려는 서비스에서 보관하고, 비공개 키는 내 장치와 내 Google 계정에 저장합니다.

이 글도 확인해 보세요:  좋아하는 YouTube 채널의 비정상적인 동영상을 믿지 말아야 하는 이유

브라우저나 휴대폰을 통해 Google 계정에 로그인할 때 비밀번호를 입력하거나 SMS 또는 MFA 앱에서 인증 코드를 확인할 필요가 없습니다. 휴대전화의 잠금을 해제할 때 사용하는 것과 동일한 방법으로 본인 인증을 하면 됩니다. 지문, 핀 코드 또는 얼굴 스캔으로 인증할 수 있습니다.

데스크톱 브라우저를 통해 생성한 패스키는 모바일 앱 또는 모바일 브라우저에서 사용할 수 있습니다.

비밀번호와 달리 패스키는 무차별 암호 대입 공격을 통해 추측하거나 알아낼 수 없으며, 설정 및 사용이 간단하여 번거로운 MFA를 싫어하는 사람들이 채택할 가능성이 높습니다.

보안을 강화하기 위해 패스키를 사용하는 기술 기업은 구글뿐만이 아니며, Microsoft와 Apple도 2022년에 패스키를 출시하기 시작했습니다.

Google 비밀번호 사용 방법

Google 계정으로 비밀번호를 쉽게 등록할 수 있습니다. 시작하려면 g.co/passkeys 를 방문하여 일반적인 방법으로 Google 계정에 로그인하세요.

파란색 비밀번호 사용 버튼을 클릭하면 “이제 비밀번호를 사용하여 로그인할 수 있습니다”라는 알림이 표시됩니다.

이를 테스트하려면 Google 계정에서 로그아웃한 다음 다시 로그인하세요. 사용자 아이디를 입력한 후에는 비밀번호를 입력하라는 메시지가 표시되지 않습니다. 대신 “패스키를 사용하여 본인인지 확인하세요”라는 메시지가 표시됩니다.

계속을 클릭한 다음 휴대폰으로 QR 코드를 스캔합니다. PC를 사용하는 경우 휴대폰이 블루투스로 데스크톱에 연결되고 로그인을 위한 비밀번호를 선택하라는 메시지가 표시됩니다. 평소 사용하는 잠금 해제 방법으로 인증하면 즉시 로그인됩니다!

패스키 사용에는 몇 가지 단점이 있습니다.

패스키를 사용하면 Google 계정 및 기타 웹사이트에 훨씬 쉽고 안전하게 로그인할 수 있지만, 패스키 인증에는 몇 가지 단점이 있을 수 있습니다.

가장 명백한 걸림돌은 패스키를 사용하려면 Google, Microsoft 또는 Apple과 호환되는 디바이스가 필요하다는 것입니다. 대부분의 사람들이 이 중 하나를 가지고 있지만, 오늘날에도 KaiOS와 같은 다른 모바일 운영 체제가 사용되고 있으며, 산만함을 최소화하고 소셜 미디어 중독을 억제하는 덤폰에 대한 움직임이 증가하고 있습니다.

패스키가 인터넷을 통해 활동하는 범죄자로부터 사용자를 안전하게 보호한다는 것은 의심의 여지가 없지만, 공격자가 휴대폰을 소지하고 있는 경우 패스키 보안은 사용자가 일반적으로 휴대폰 잠금을 해제하는 수단만큼만 보장됩니다. Face ID는 실패할 수 있고, 지문을 획득할 수 있으며, 4자리 또는 6자리 PIN은 비밀번호보다 훨씬 더 쉽게 추측할 수 있습니다.

이 글도 확인해 보세요:  AES-128 암호화와 AES-256 암호화: 차이점은 무엇인가요?

예를 들어 첫째 자녀의 생일을 4자리 PIN으로 사용하여 휴대전화를 잠금 해제하고 기기를 분실하거나 도난당한 경우, 휴대전화의 잠금을 해제할 수 있는 공격자는 모든 이메일, 비밀번호, 설정한 모든 비밀번호키를 포함하여 내 Google 계정에 완전히 액세스할 수 있습니다. 또한 어떤 계정에 대한 암호키가 있는지 목록도 볼 수 있습니다.

또한 패스키를 사용하여 PC에 로그인하는 경우 블루투스를 사용하도록 설정해야 합니다. 전원을 켜두면 전력을 크게 소모할 수 있습니다.

Google 비밀번호를 계속 사용할 수 있음

Google은 궁극적으로 비밀번호 및 기타 인증 방법을 완전히 없앨 계획이지만 아직은 그럴 준비가 되어 있지 않습니다.

패스키를 등록했지만 여전히 비밀번호를 사용하려면 사용자 아이디를 입력한 후 다른 방법 사용을 클릭하세요. 이제 비밀번호 입력을 클릭합니다.

이 글을 쓰는 현재 비밀번호 인증을 완전히 비활성화하는 옵션을 찾을 수 없으므로, 적어도 현재로서는 Google에서 비밀번호를 사용하는 것이 보안보다는 편의성의 문제일 수 있습니다.

패스키는 결국 온라인 보안을 향상시킬 것입니다

패스키 사용을 장려함으로써 Google은 사용자가 계정 유출에 덜 취약해질 수 있기를 바랍니다.

그러나 비밀번호를 통한 로그인을 여전히 허용하고 이 옵션을 제거할 수 있는 방법이 없다면 사용자는 잘못된 보안 인식에 빠질 위험이 있습니다. Google이 완전한 비밀번호 없는 로그인으로 전환하는 동안에는 다단계 인증과 함께 강력하고 추측할 수 없는 비밀번호를 계속 사용해야 합니다.

By 김민수

안드로이드, 서버 개발을 시작으로 여러 분야를 넘나들고 있는 풀스택(Full-stack) 개발자입니다. 오픈소스 기술과 혁신에 큰 관심을 가지고 있고, 보다 많은 사람이 기술을 통해 꿈꾸던 일을 실현하도록 돕기를 희망하고 있습니다.