비번 없이 로그인…지문·얼굴인증 급증

편하고 보안성 높은 패스키
올해 전세계 사용자 4배 늘어
삼성·구글·MS 도입 이어
엑스, 이달 안드로이드 지원

비밀번호를 외우지 않아도 지문·얼굴 인식과 같은 생체 인증이나 핀(PIN) 번호로 로그인할 수 있는 암호 대체 수단인 '패스키'가 확산되고 있다. 구글, 마이크로소프트(MS), 삼성전자, 애플에 이어 엑스(X) 등 주요 서비스에 연이어 도입되면서다. 사용자 입장에서는 복잡한 암호를 외우지 않아도 편리하게 로그인할 수 있는 서비스가 늘어나는 모양새다.

20일 정보기술(IT)업계에 따르면 엑스는 지난 4월 iOS 사용자를 대상으로 패스키 지원을 시작한 데 이어 지난 15일부터 안드로이드 이용자로도 범위를 확대했다.

패스키 방식은 온라인 인증 분야 국제표준단체인 FIDO 얼라이언스에서 표준을 마련한 새로운 디지털 신원 인증이다. 비밀번호 대신 사용자 단말에 저장된 패스키를 활용해 생체 인증 등으로 로그인하는 것이 골자다.

패스키를 생성하려면, 사용자들은 구글처럼 패스키가 적용된 서비스의 계정 관리 메뉴에 들어가 설정하면 된다. 계정 관리의 보안 메뉴에서 로그인 방식으로 '패스키' 항목을 클릭하면 기존 비밀번호로 한 번 인증한 후 패스키가 활성화된다. 이후부터는 비밀번호 대신 생체 인증이나 PIN 번호로 로그인하면 된다.

갤럭시 스마트폰 사용자라면 이렇게 생성한 패스키가 갤럭시의 인증 플랫폼인 '삼성 패스' 애플리케이션(앱)에 저장돼 관리할 수 있으며, 아이폰은 아이클라우드 키체인에 저장된다. 한국에서도 KT가 자사 고객들이 이용하는 앱인 '마이 KT'에 패스키 기반 생체 인증 적용을 추진하고 있으며, 자사 패스(PASS) 앱에는 유사한 생체 인증 로그인 방식을 적용했다. LG유플러스도 패스키 도입을 검토 중이다. 앞서 SK텔레콤도 지난해 3월 패스키 인증 시스템을 자사 고객용 PASS 앱에 적용한 바 있다. 삼성전자는 지난해부터 디지털 인증 서비스 '삼성 패스'에 패스키를 적용했다.

패스키 방식 매커니즘은 다음과 같다. 우선 기존 암호 대신 암호화 키 한 쌍을 생성한다. 그다음 공개 키는 해당 서비스의 서버에 두고 비공개 키는 사용자의 단말에 저장한다. 로그인 시에 서버에 있는 키와 사용자 단말에 있는 키를 대조해 신원을 확인하는 방식이다. 패스키를 사용하면 얼굴 인식이나 지문 인식, PIN 번호로 계정에 로그인할 수 있어 계정 비밀번호를 사용자가 기억하지 못해도 이용 가능한 것이 장점이다.

패스키 표준을 수립한 FIDO 얼라이언스의 지난해 조사에 따르면 전 세계 사용자들은 비밀번호를 기억하지 못해 월평균 4회 가까이 서비스 로그인을 포기하는 것으로 나타나기도 했다. 또한 보안 측면에서도 패스키가 보다 안전하다. 기존 비밀번호 방식에서는 해당 서비스의 서버가 해킹돼 계정 아이디와 비밀번호가 유출될 경우 계정 탈취에 속수무책이다. 패스키 방식에서는 만약 서버가 해킹돼도, 공개 키만 노출되고 이를 풀 수 있는 비공개 키는 사용자 단말에 남아 있기에 상대적으로 덜 위험하다는 것이 특징이다.

이러한 장점으로 인해 패스키 방식은 2022년께부터 구글, 애플, 삼성전자 등 주요 기업들에 의해 빠르게 도입되는 추세다.

비밀번호 관리 솔루션을 제공하는 기업 대시레인에 따르면 전 세계에서 패스키를 활용한 인증 건수가 올해 초 대비 지난달 약 400% 증가한 것으로 나타났다.

패스키도 보안 위협에서 완전히 안전한 것은 아니기에 기본 보안 수칙 준수가 중요하다. 박태환 안랩 사이버시큐리티센터 본부장은 "사용자는 공식 앱스토어를 사용해 앱을 내려받고, 디바이스의 운영체제 및 앱을 최신 버전으로 유지하는 것을 권장한다"고 말했다.

[정호준 기자]