패스키란 무엇인가? 최신 인증 기본 사항

패스키란 무엇인가?

공격자가 직원의 비밀번호를 피싱하여 SMS 2단계 인증을 우회하고, 네트워크 내에서 횡적으로 이동합니다. Verizon DBIR에 따르면, 자격 증명 기반 공격 패턴에서 발생한 침해의 88%는 도난된 자격 증명을 포함하고 있었으며, 피싱은 사회공학 사고의 57%에서 사용되었습니다.

패스키는 이러한 전체 공격 경로를 제거합니다. 패스키는 암호화 기반의 비밀번호 없는 인증을 사용하며, 개인 키는 사용자 기기를 절대 벗어나지 않아 자격 증명 탈취를 사실상 불가능하게 만듭니다.

패스키는 공개키 암호화에 기반합니다. 기기는 고유한 키 쌍을 생성하며, 개인 키는 신뢰할 수 있는 플랫폼 모듈이나 Secure Enclave와 같은 하드웨어 보호 저장소에 남아 있고, 공개 키는 서비스 제공자에게 전달됩니다. 인증 시, 서비스는 기기에 챌린지를 보내고, 기기는 개인 키로 이를 서명합니다. 비밀번호는 네트워크를 통과하지 않습니다. 이로 인해 피싱, 자격 증명 스터핑, 비밀번호 재사용 공격이 제거되며, 개인 키는 기기를 벗어나지 않고 재사용 가능한 비밀이 전송되지 않습니다.

패스키는 FIDO2 표준(WebAuthn + CTAP)을 구현하여 플랫폼, 브라우저, 서비스 전반에 걸쳐 일관된 보안을 보장합니다. 기기에 바인딩된 패스키는 하드웨어 보안 모듈에 개인 키를 저장하여 최고 수준의 신뢰성을 제공합니다. 동기화된 패스키는 키를 암호화하여 플랫폼 생태계 전반에 동기화함으로써 접근성을 높입니다.

패스키가 기존 비밀번호와 어떻게 다른지 이해하면 보안 향상이 명확해집니다.

패스키와 사이버 보안의 관계

패스키는 암호화 수준에서 피싱을 차단합니다. 공격자가 사용자를 대상으로 피싱 캠페인을 실행하더라도, WebAuthn 프로토콜의 오리진 바인딩이 스푸핑된 도메인에서의 인증을 방지합니다. 사용자가 피싱 링크를 클릭해 로그인 시도를 하더라도, 자격 증명은 합법적인 도메인에 암호화적으로 바인딩되어 있어 인증 흐름이 완료되지 않습니다.

하드웨어 보안 모듈에 저장된 개인 키는 소프트웨어 공격으로 추출될 수 없습니다. 데이터베이스 침해로 재사용 가능한 자격 증명이 노출되지 않으며, 패스키는 서비스별로 고유하므로 자격 증명 스터핑이 실패합니다.

실제 사고 사례는 이러한 점이 왜 중요한지 보여줍니다. 2023년 9월, MGM Resorts는 공격자가 IT 헬프데스크에 직원을 사칭하여 자격 증명을 획득하고  랜섬웨어를 배포해 약  1억 달러의 손실을 입었습니다. 2022년에는 주요 아이덴티티 제공업체가 타사 계약업체의 계정 탈취로 수백 개 고객사에 영향을 미쳤습니다.

패스키로 보호된 계정은 자격 증명 탈취를 초기 접근 수단에서 제거하여, 이러한 침해의 대다수를 차지하는 공격 벡터를 없앱니다. 이러한 보호의 강점은 특정 기술 구성요소의 결합에서 비롯됩니다.

패스키 vs. 비밀번호

비밀번호는 공유 비밀입니다. 사용자가 비밀번호를 생성해 서버로 전송하고, 서버는 해시된 복사본을 저장합니다. 이 과정의 모든 단계가 공격 대상이 됩니다. 사용자는 약한 비밀번호를 선택하거나 여러 서비스에서 재사용하며, 피싱 페이지에 속아 실시간으로 비밀번호를 탈취당하기도 합니다. 해시된 비밀번호 데이터베이스조차 침해되어 오프라인에서 크랙될 수 있습니다.

패스키는 모든 단계에서 다르게 동작합니다. 기기가 암호화 키 쌍을 생성하고, 개인 키는 절대 기기를 벗어나지 않습니다. 서버는 공개 키만 저장하며, 이는 대응되는 개인 키 없이는 공격자에게 무용지물입니다. 인증은 서명된 챌린지를 통해 이루어지므로, 재사용 가능한 정보가 네트워크를 통과하지 않습니다.

실질적인 차이도 큽니다. 비밀번호는 사용자가 복잡한 문자열을 기억하고 주기적으로 변경해야 하므로, 재사용과 약한 선택으로 이어집니다. 패스키는 생체 인증이나 기기 PIN만으로 잠금 해제할 수 있어 암기할 필요가 없습니다. 비밀번호 재설정은 기업 전체 IT 헬프데스크 문의의  20~50%를 차지하지만, 패스키는 이 문제를 완전히 제거합니다.

보안 관점에서 비밀번호는 피싱, 무차별 대입 공격, 자격 증명 스터핑, 데이터베이스 침해에 취약합니다. 패스키는 네 가지 모두에 강합니다:

• 피싱 — 도메인 바인딩으로 스푸핑 사이트에서 자격 증명 사용 불가
• 무차별 대입 및 자격 증명 스터핑 — 추측하거나 재생할 비밀번호 자체가 없음
• 데이터베이스 침해 — 서버는 공개 키만 저장하므로 개인 키 없이는 무용지물
• 자격 증명 재사용 — 서비스별 고유성으로 하나의 계정이 침해되어도 다른 계정은 안전

비밀번호는 단일 인증 요소(지식 기반)만 제공하지만, 패스키는 두 가지 요소(기기에 저장된 개인 키와 생체 인증)를 결합하여 한 번의 단계로 다중 인증을 제공합니다.

이러한 차이는 실제 공격 시나리오에서 측정 가능한 보안 결과로 이어집니다.

패스키의 핵심 구성요소

패스키 인증은 피싱 저항성을 갖춘 인증을 구현하는 다섯 가지 기술 구성요소에 기반합니다:

• 암호화 키 쌍이 기반을 이룹니다. 각 패스키는 수학적으로 연관된 공개 키와 개인 키로 구성됩니다. 공개 키는 서비스 제공자의 서버에 저장되고, 개인 키는 사용자의 기기 내 하드웨어 보호 저장소에 남아 있습니다.
• 인증자는 패스키를 생성하고 저장합니다. 플랫폼 인증자는 TPM, Secure Enclave, 신뢰 실행 환경(TEE) 등을 통해 기기에 통합되어 개인 키를 특정 하드웨어에 바인딩합니다. 이동식 인증자에는 USB 보안 키와 블루투스 토큰이 포함됩니다. 두 방식 모두 CTAP 및 WebAuthn 사양을 구현하여 도메인 바인딩, 피싱 저항성, 암호화 소유 증명을 제공합니다.
• WebAuthn API는 웹 애플리케이션과 브라우저가 인증자와 상호작용할 수 있게 합니다. 이 W3C 표준은 등록 및 인증 절차를 정의하여 플랫폼 간 일관된 구현을 보장합니다.
• 신뢰 당사자는 패스키 인증을 구현하는 서비스로, 챌린지를 생성하고 응답을 검증하며 공개 키 레지스트리를 유지합니다.
• 사용자 검증은 생체 인증, 기기 PIN, 패턴 등을 통해 합법적인 사용자가 인증자를 제어함을 확인합니다. 검증은 로컬에서 이루어지며, 생체 데이터는 기기를 벗어나지 않습니다.

이 구성요소들은 등록과 인증이라는 두 가지 핵심 프로세스를 통해 함께 동작합니다.

패스키의 동작 원리

두 프로세스 모두 자격 증명 전송을 완전히 제거하는 암호화 챌린지-응답에 기반합니다.

등록 프로세스

등록 시, 신뢰 당사자는 사용자의 브라우저에 요구사항을 전송하고, 브라우저는 WebAuthn을 호출합니다. 인증자는 해당 도메인에 범위가 지정된 고유 키 쌍을 생성합니다. 이 오리진 바인딩은 자격 증명 재사용과 피싱을 방지합니다.

개인 키는 하드웨어 보호 메모리에 저장됩니다. 기기 바인딩 구현에서는 하드웨어 보안 모듈, TPM, Secure Enclave, 보안 키 칩 등이 사용됩니다. 동기화 구현에서는 내보내기 불가한 암호화된 클라우드 저장소가 사용됩니다. 인증자는 공개 키와 자격 증명 메타데이터를 신뢰 당사자에게 반환합니다. 등록은 몇 초 만에 완료되며, 비밀번호 생성 없이 비밀번호 없는 로그인 경험을 제공합니다.

인증 프로세스

사용자가 인증할 때, 신뢰 당사자는 무작위 챌린지를 생성하여 자격 증명 ID와 함께 전송합니다. 생체 인증, PIN 입력, 기기 잠금 해제 등으로 사용자 검증이 완료되면, 인증자는 개인 키로 챌린지를 서명합니다.

서명된 챌린지는 신뢰 당사자에게 반환되어 검증됩니다. 서명이 일치하면 인증이 완료됩니다. 챌린지는 수 분 내 만료되며 재사용할 수 없습니다.

기기 간 인증 시나리오

동기화된 패스키는 클라우드 키체인(iCloud Keychain 또는 Google Password Manager)에 개인 키를 암호화하여 동일 생태계 내 여러 기기에서 접근할 수 있게 합니다. 이는 편리한 접근성을 제공하지만, 조직이 사용 중인 보안 하드웨어를 암호화적으로 항상 검증할 수 없는 제한된 인증 지원을 의미합니다. 기기 바인딩 패스키는 각 로그인마다 물리적 인증자가 필요하며, 조직이 사용된 보안 키 모델이나 하드웨어 보안 모듈을 검증할 수 있는 완전한 인증 기능을 통해 더 높은 신뢰성을 제공합니다.

기업에서는 동기화와 기기 바인딩 자격 증명 중 선택이 위험 허용도에 따라 달라집니다. 특권 관리자 계정 등 고보안 환경에는 기기 바인딩 구현이 적합하며, 일반 직원 인증에는 편의성이 중요한 동기화 옵션이 적합합니다.

구현 원리를 이해했다면, 패스키가 조직에 제공하는 가치를 살펴볼 차례입니다.

패스키의 주요 이점

패스키는 보안, 운영, 컴플라이언스 전반에 걸쳐 비밀번호 기반 인증 대비 네 가지 측정 가능한 개선을 제공합니다.

1. 암호화를 통한 피싱 저항성: SMS 코드 기반 비밀번호 인증은 공격자가 스푸핑 사이트를 통해 요청을 프록시하는 실시간 피싱에 여전히 취약합니다. 패스키는 도메인 바인딩으로 이를 제거합니다. WebAuthn API는 인증 전 대상 도메인을 검증하여 도메인이 일치하지 않으면 인증이 실패합니다. SMS 코드, 푸시 알림, TOTP는 중간자 공격, SIM 스와핑, 푸시 알림 피로에 취약하지만, 암호화 자격 증명은 그렇지 않습니다.
2. 자격 증명 탈취 방지: 개인 키는 사용자 기기를 절대 벗어나지 않습니다. 서버 침해로 재사용 가능한 자격 증명이 노출되지 않으며, 서버는 공개 키만 저장합니다. 인포스틸러 악성코드도 커널 수준 접근이 있어도 하드웨어 보안 모듈에서 키를 추출할 수 없습니다. 패스키는 공격자가 가장 많이 사용하는  자격 증명 수집 기법을 차단합니다.
3. 운영 효율성 향상: 패스키 도입은 사용자가 암호화 자격 증명을 잊을 수 없으므로 비밀번호 재설정 요청을 줄입니다. 예를 들어, USDA의 FIDO 도입은 약 4만 명의 사용자가 비밀번호 없는 인증을 도입하게 하여 헬프데스크 티켓의 한 범주를 제거했습니다. SentinelOne의 Singularity Identity와 같은 아이덴티티 보안 플랫폼은 인증 인프라를 노리는 자격 증명 기반 위협에 대한 자동 대응으로 패스키 예방을 보완합니다.
4. 컴플라이언스 및 신뢰 수준 정렬: 패스키는 피싱 저항성 다중 인증에 대한 NIST SP 800-63 AAL3 요구사항과 일치합니다. CISA는 FIDO/WebAuthn 패스키를  MFA의 골드 스탠다드로 지정하며, 도메인 바인딩 자격 증명으로 스푸핑 사이트에서 사용할 수 없습니다. 앞서 언급했듯, 자격 증명 기반 침해의 대다수는 도난된 자격 증명에 해당하며, 패스키는 이 범주를 완전히 제거합니다.

공개키 암호화는 또한 비밀번호 정책이 제공할 수 없는 감사 가능한 보안 속성을 제공합니다: 도메인별 인증의 암호화 증거, 네트워크 상에 공유 비밀이 없음, 하드웨어 기반 키 생성 등입니다. 이러한 속성은 감사 시 검증 가능한 증거를 제공하며, SOC 2, HIPAA, PCI DSS 등 다양한 프레임워크의 컴플라이언스 문서화도 단순화합니다.

이러한 보안 및 운영상의 이점은 플랫폼과 산업 전반에 걸친 빠른 도입을 이끌고 있습니다.

패스키 플랫폼 지원 및 산업 도입 현황

Apple, Google, Microsoft는 모두 자사 운영체제와 브라우저에서 패스키를 기본 지원하여, 대부분의 엔터프라이즈 기기 환경에서 조직이 교차 플랫폼 커버리지를 확보할 수 있습니다:

• Apple은 iOS, iPadOS, macOS 전반에 iCloud Keychain을 통해 패스키를 통합합니다.
• Google은 Android와 Chrome에서 Google Password Manager를 통해 지원합니다.
• Microsoft는 Windows Hello와 Entra ID를 통해 패스키 인증을 제공합니다.

플랫폼 벤더 외에도, 주요 소비자 및 엔터프라이즈 서비스가 패스키 로그인을 도입했습니다. Amazon, PayPal, GitHub, Shopify, eBay는 고객 인증에 패스키를 지원합니다. FIDO Alliance Passkey Directory는 은행, 의료, 정부 부문 등에서의 도입 증가를 추적합니다. FIDO Alliance에 따르면, 53%의 사용자가 최소 한 계정에서 패스키를 활성화했습니다.

엔터프라이즈 보안팀에게 이 도입 추세는 비밀번호 없는 인증이 더 이상 미래의 고려사항이 아님을 의미합니다. Microsoft Entra ID, Okta, Ping Identity 등 아이덴티티 제공업체는 FIDO2/WebAuthn 통합을 기본 제공하여 조직의 도입이 오늘날에도 가능합니다.

그러나 플랫폼 지원 확대만으로 배포 복잡성이 사라지는 것은 아닙니다.

패스키의 도전과 한계

엔터프라이즈 패스키 도입은 해결을 위한 계획과 투자가 필요한 네 가지 주요 장애물을 마주합니다.

1. 레거시 시스템 통합 제약: 최신 인증 서비스와 통합할 수 없는 레거시 애플리케이션이 주요 배포 장벽입니다. 많은 조직이 레거시 제약으로 인해 비밀번호와 암호화 자격 증명을 혼합 사용하는 하이브리드 시스템에 의존하며, 이로 인해 여러 인증 인프라 구성요소를 동시에 유지해야 하는 운영 복잡성이 발생합니다. 메인프레임, 산업 제어 시스템, 임베디드 기기는 WebAuthn 프로토콜 구현에 필요한 리소스가 부족한 경우가 많습니다. 비밀번호 인증 섬을 유지할지, 인증 게이트웨이에 투자할지, 일부 시스템이 패스키 적용 범위 밖에 남는 것을 수용할지 결정해야 합니다. 이러한 격차를 조기에 계획하면 도입 중 보안 사각지대를 예방할 수 있습니다.
2. 교차 플랫폼 구현 불일치: WebAuthn 표준화에도 불구하고 플랫폼과 브라우저별 구현이 상이합니다. 동기화된 패스키는 단일 플랫폼 생태계 내에서만 동작합니다. 예를 들어, iCloud Keychain을 통한 개인 키는 Google Password Manager를 사용하는 Android 기기에서 접근할 수 없으며, 그 반대도 마찬가지입니다. 이러한 불일치는 예측 불가능한 인증 흐름을 만들어 엔터프라이즈 도입을 복잡하게 만듭니다.
3. 계정 복구 복잡성: 기기 분실 또는 하드웨어 고장은 계정 잠금 시나리오를 초래하며, 견고한 복구 메커니즘이 필요합니다. 사용자는 접근 권한 상실을 두려워하며, 이 두려움이 도입의 심리적 장벽이 됩니다. 복구를 사후적으로 다루는 조직은 지원 티켓이 증가하고 도입률이 낮아지므로, 복구 메커니즘 설계는 초기 계획 단계에서 우선적으로 고려해야 합니다.
4. 조직 변화 관리: 사용자는 보안 이점을 이해하지 못하면 익숙하지 않은 인증 흐름에 저항할 수 있습니다. 지원 인력은 배포 전 문제 해결, 복구 절차, 플랫폼별 동작에 대한 교육이 필요합니다. UX, 개발, 제품팀 간의 교차 기능 협업이 패스키를 순수 기술 과제가 아닌 조직 변화로 접근할 때 도입 장벽을 더 효과적으로 해소할 수 있습니다.

이러한 과제를 인지하면 가장 흔한 도입 실수를 피할 수 있습니다.

패스키 구현의 일반적인 실수

잘 계획된 패스키 도입도 사용자 경험, 오류 처리, 대체 인증 보안을 간과하면 실패할 수 있습니다. 다음 네 가지 실수가 가장 자주 나타납니다.

• 사전 사용자 교육 생략: 사용자 우려를 해소하지 않고 도입을 공지하면 혼란과 저항이 발생합니다. 사용자는 맥락 없는 낯선 인증 프롬프트를 접하고, 대부분 비밀번호 재설정 요청이나 지원 문의로 이어집니다. 교육은 기기 분실 시나리오와 복구 절차를 사전에 설명하고, iOS, Android, Windows 등 플랫폼별 워크플로우를 안내해야 합니다.
• 일반적인 오류 메시지 사용: "문제가 발생했습니다"와 같은 비구체적 메시지는 사용자 신뢰를 저하시킵니다. "이 자격 증명은 다른 계정에 속합니다" 또는 "기기 정책 업데이트가 필요합니다"와 같이 구체적인 메시지는 사용자가 문제를 해결하도록 안내하고, 실패 시에도 신뢰를 유지합니다.
• 복구 테스트 부족: 충분한 복구 테스트 없이 패스키를 배포하면 사용자가 잠금에 노출됩니다. 사용자는 예고 없이 기기를 분실하고, 백업 인증자가 오작동하며, 클라우드 동기화가 중단될 수 있습니다. 실제 실패 시나리오에 대한 단계별 지침과 시각적 안내로 복구 절차를 테스트해야 합니다.
• 취약한 대체 인증 유지: 이메일 또는 SMS OTP 단독 등 약한 단일 인증 방식으로 대체하면, 패스키가 차단하려는 동일한 공격에 여전히 취약합니다. 대체 인증은 다중 인증 요건을 갖추고, 복구 워크플로우는 기본 인증보다 의도적으로 덜 편리하게 설계하여 일상적 대체 사용을 억제하면서도 비상 접근은 보장해야 합니다.

검증된 모범 사례를 따르면 이러한 함정을 피하고 견고한 도입을 구축할 수 있습니다.

패스키 모범 사례

성공적인 엔터프라이즈 도입은 도입 단계, 사용자 타겟팅, 복구 설계, 플랫폼 통합 등에서 공통된 패턴을 보입니다.

단계적 도입 전략 구현

점진적 단계를 통해 배포합니다. 앱 기반 인증자로 다중 인증 기준선을 먼저 구축하여 조직 역량을 확보한 후, 패스키를 도입합니다. 이후, 민감한 애플리케이션에 피싱 저항성 MFA로 패스키를 도입하고, 전환 기간 동안 비밀번호 대체 인증을 유지합니다.

도입이 성숙해지면 라이프사이클 및 복구 프로세스를 공식화합니다:

• 원격 기기 잠금 해제 및 자격 증명 발급
• 컴플라이언스용 전체 감사 추적이 포함된 폐기 절차
• 조직 전체의 중앙 집중식 자격 증명 관리
• 비밀번호 기반 인증은 비상 대체 용도로만 전환

각 단계는 다음 단계로 진행하기 전 명확한 성공 기준을 포함해야 합니다.

고위험 사용자 그룹 우선 타겟팅

특권 사용자, IT 관리자, 임원 등 고가치 대상을 우선 배포합니다. 이들은 자격 증명 탈취 위험이 가장 높으며,  Verizon DBIR에 따르면 사회공학 사고의 57%가 피싱과 관련되고, 전체 침해의 16%에서 피싱이 초기 접근 수단으로 사용됩니다. 이메일, VPN, HR 시스템, 금융 도구 등 비즈니스 핵심 애플리케이션을 우선 보호합니다.

견고한 복구 인프라 구축

비밀번호 백도어 없이 복수의 복구 메커니즘을 구현합니다. 사용자가 기본 플랫폼 인증자 외에 백업 하드웨어 보안 키를 등록하도록 요구하여, 한 기기를 분실해도 완전 잠금이 발생하지 않게 합니다.

관리자 복구는 사진 신분증 확인, 관리자 승인, 보안 질문 검증 등 다중 채널을 통해 신원을 확인해야 합니다. 클라우드 동기화 패스키는 동일 플랫폼 계정으로 교체 기기 로그인 시 자동 복구를 제공합니다. 기기 바인딩 패스키는 하드웨어 인증이 필요한 특권 접근에 사용합니다.

아이덴티티 플랫폼과 통합

Microsoft Entra ID 등 엔터프라이즈 아이덴티티 플랫폼과 조건부 접근 정책을 통해 연동합니다. 위험 기반 인증은 위험이 높은 상황에서 피싱 저항성 패스키 인증을 강제하고, 저위험 상황에서는 간소화된 인증을 허용할 수 있습니다. 아이덴티티 플랫폼 통합은 패스키 인증과 애플리케이션 접근, 사용자 행동을 연계한 중앙 감사 추적도 제공합니다.

지속적 개선 프로세스 수립

도입 지표(등록률, 인증 성공률, 복구 빈도, 헬프데스크 이관 등)를 추적합니다. 플랫폼 지원과 조직 성숙도가 발전함에 따라 운영 데이터와 사용자 피드백을 바탕으로 인증 흐름을 반복 개선합니다.

패스키는 인증 경계를 강화하지만, 공격자는 도난된 자격 증명에만 머물지 않습니다.

핵심 요약

패스키는 개인 키가 사용자 기기를 절대 벗어나지 않는 암호화 인증을 통해 자격 증명 탈취와 피싱을 제거합니다. 비밀번호가 네트워크를 통과하지 않아 공격자가 악용하는 가장 흔한 초기 접근 수단이 사라집니다. 엔터프라이즈 도입은 고위험 사용자와 비즈니스 핵심 애플리케이션부터 단계적으로 시작하며, 레거시 시스템 제약, 교차 플랫폼 불일치, 사용자 도입 장벽에 대한 신중한 계획이 필요합니다.

사용자 교육 생략, 일반적인 오류 메시지 사용, 취약한 대체 인증 유지 등은 패스키 보안 효과를 약화시킬 수 있습니다. 아이덴티티 보안 플랫폼은 패스키 예방을 보완하여, 자격 증명 계층을 넘어 인증 인프라를 노리는 공격(Active Directory 침해, 권한 상승, 횡적 이동 등)을 탐지합니다.