패스워드리스 인증이란?
패스워드리스 인증을 구현함으로써 상당수 침해 사고의 주요 원인이 되는 공격을 제거할 수 있습니다. Verizon 2024 DBIR에 따르면, 도난된 자격 증명이 가장 주요한 초기 공격 벡터로 나타났습니다. 패스워드리스 인증은 기존의 비밀번호 기반 로그인을 FIDO2/WebAuthn 표준 기반의 암호화 키, 생체 인식, 하드웨어 토큰으로 대체합니다.
기본적인 아키텍처 변화는 공유 비밀에서 비대칭 암호화로 이동합니다. IBM의 문서에 따르면, 서버는 인증에 사용할 수 없는 공개 키만 저장하며, 해당 공개 키와 쌍을 이루는 개인 키는 오직 사용자의 디바이스에만 존재합니다.
기업 요구 사항을 충족하는 주요 방식은 생체 인증, 하드웨어 보안 키, 패스키입니다. 이들 모두의 공통점은 인증 과정에서 재사용 가능한 자격 증명이 전송되지 않는다는 점입니다. 이러한 근본적인 변화는 비밀번호가 가장 많이 악용되는 공격 벡터가 되는 취약점을 해결합니다.
패스워드리스 인증과 사이버 보안의 관계
비밀번호 기반 인증은 최신 공격 기법에 취약하여, 조직 보안을 위해 패스워드리스 방식이 필수적입니다. Verizon의 2025 분석에 따르면, 피해자의 54%가 정보 탈취 악성코드 로그에서 이미 노출된 자격 증명을 사용한 것으로 나타났습니다. CISA의 지침은 연방 기관이 제로 트러스트 아키텍처 구현의 일환으로 클라우드 기반 패스워드리스 인증으로 전환할 것을 명확히 지시합니다.
2023년 MGM 리조트 침해 사고는 공격자가 사회공학 기법을 이용해 인증 통제를 우회하면서 비밀번호의 취약성이 드러났으며, 1억 달러의 피해를 초래하고 슬롯머신 및 호텔 시스템이 수일간 중단되었습니다. 2021년 Colonial Pipeline 랜섬웨어 공격 역시 단일 VPN 비밀번호 탈취로 시작되어 440만 달러의 몸값과 미국 동부 전역의 연료 부족 사태로 이어졌습니다. CISA의 권고에 따르면, 피싱은 사이버 스파이 활동 및 데이터 유출의 상당 부분을 유발합니다. 크리덴셜 스터핑은 도난된 비밀번호를 수백 개의 서비스에 시도하고, 키로거는 비밀번호 입력 문자를 기록하며, 데이터베이스 침해는 중앙 집중식 비밀번호 저장소를 노출시킵니다.
패스워드리스 인증은 암호화 바인딩을 통해 각 공격 유형을 방어합니다. CISA의 피싱 저항 MFA 가이드에 따르면, FIDO/WebAuthn은 인증이 특정 도메인에 암호화적으로 바인딩되어 자격 증명 탈취 공격을 방지하므로 피싱 저항 다중 인증의 표준으로 간주됩니다.
이러한 보안상의 이점을 이해하려면 패스워드리스 방식과 기존 방식의 차이를 살펴봐야 합니다.
패스워드리스 vs. 기존 인증
기존 비밀번호 인증은 데이터베이스에 저장된 공유 비밀에 의존합니다. 계정을 생성하면 서버는 비밀번호의 해시 값을 저장합니다. 로그인 시 비밀번호를 전송하면 서버가 이를 해시하여 저장된 값과 비교합니다. 이 구조는 비밀번호 데이터베이스가 공격 대상이 되고, 전송 중 자격 증명이 탈취될 수 있으며, 사용자가 여러 서비스에서 비밀번호를 재사용하는 등 여러 취약점을 만듭니다.
비밀번호와 기존 MFA 조합은 보안을 강화하지만, 사용자 불편을 초래하고 취약점도 남아 있습니다. SMS 코드는 SIM 스와핑 공격에 노출될 수 있습니다. 시간 기반 일회용 비밀번호는 수동 입력이 필요하고, 실시간 피싱 프록시가 만료 전 코드를 탈취·재사용할 수 있습니다. 푸시 알림은 공격자가 반복적으로 인증 요청을 보내 MFA 피로도를 유발합니다.
패스워드리스 인증은 공유 비밀 모델을 완전히 제거합니다. 개인 키는 디바이스를 벗어나지 않으므로 자격 증명 데이터베이스 침해 위험이 없습니다. 인증은 특정 도메인에 암호화적으로 바인딩되어 피싱 사이트가 재사용 가능한 자격 증명을 탈취할 수 없습니다. 사용자 경험도 생체 인증으로 비밀번호 입력과 코드 전송을 대체해 개선됩니다.
운영 측면의 차이도 중요합니다. 비밀번호 재설정은 헬프데스크 리소스를 소모하고 사회공학 공격 기회를 만듭니다. 패스워드리스 인증은 암호화 키가 기억을 요구하지 않으므로 재설정 절차 자체가 필요 없습니다. 비밀번호 분실로 인한 계정 잠금이 사라지고, 사용자는 비밀번호 입력보다 생체 인증으로 더 빠르게 인증할 수 있습니다.
이러한 이점을 바탕으로, 조직의 보안 요구와 사용자 워크플로우에 따라 적합한 패스워드리스 방식을 선택해야 합니다.
패스워드리스 인증 방식의 유형
조직은 각각의 사용 사례와 보안 특성을 가진 다양한 방식으로 패스워드리스 인증을 구현할 수 있습니다.
- 생체 인증은 신체적 특성을 통해 신원을 확인합니다. 지문 스캐너, 얼굴 인식, 홍채 인식 시스템은 생체 정보를 수학적 템플릿으로 변환해 디바이스에 로컬 저장합니다. Windows Hello, Apple Face ID 및 Touch ID, Android 생체 인증 시스템이 대표적입니다. 생체 인증은 편리하지만 센서 오류 시 대체 방법이 필요합니다.
- 하드웨어 보안 키는 전용 암호화 장치로 동작합니다. YubiKey, Google Titan Key 등은 변조 방지 하드웨어에 개인 키를 생성·저장합니다. 이 이동형 인증기는 USB, NFC, Bluetooth를 통해 여러 디바이스에서 사용할 수 있습니다. 보안 키는 물리적 소지와 도메인 바인딩 자동 검증이 필요하므로 피싱 방어에 가장 강력합니다.
- 패스키는 최근 빠르게 도입되는 최신 방식입니다. Apple, Google, Microsoft는 각 플랫폼에서 패스키를 지원하며, iCloud Keychain, Google Password Manager, Microsoft 계정을 통해 자격 증명을 안전하게 동기화합니다. 패스키는 하드웨어 기반 보안과 자동 동기화의 편의성을 결합합니다.
- 매직 링크는 이메일로 일회성 인증 URL을 제공합니다. 접근 요청 시 서비스가 고유하고 시간 제한이 있는 링크를 생성합니다. 링크 클릭으로 해당 이메일 계정의 소유를 증명합니다. 매직 링크는 드문 접근 시나리오에 적합하지만 이메일 보안에 의존합니다.
- 스마트카드 및 PIV 자격 증명은 정부 및 기업 환경에서 널리 사용됩니다. 이 물리적 카드는 인증서와 개인 키를 저장하는 내장 암호화 칩을 포함합니다. 연방 기관은 HSPD-12 요건에 따라 PIV 자격 증명을 의무화합니다. 스마트카드는 카드 리더기가 필요하지만 높은 신뢰도의 인증을 제공합니다.
각 방식은 기술 아키텍처에서 정의된 FIDO2 구성 요소 및 보안 요구 사항에 매핑됩니다.
패스워드리스 인증의 핵심 구성 요소
FIDO2는 기업용 패스워드리스 인증의 기술적 기반을 형성합니다. FIDO Alliance 명세에 따르면, WebAuthn은 웹 애플리케이션과 인증기 간 통신을 정의하고, CTAP2는 플랫폼과 외부 보안 키 간 통신을 담당합니다.
- WebAuthn은 W3C에서 표준화한 브라우저 네이티브 API입니다. 브라우저는
navigator.credentials.create()로 등록,navigator.credentials.get()로 인증을 제공합니다. 이 API는 서버가 비밀번호 대신 공개 키 암호화를 사용해 사용자를 등록할 수 있게 하며, FIDO2 명세를 따릅니다. - 인증기는 두 가지 유형으로 구분됩니다. 플랫폼 인증기는 Windows Hello, Apple Touch ID, Android 생체 인증 등 디바이스에 직접 통합됩니다. 이들은 암호화 연산에 신뢰 플랫폼 모듈을 사용합니다. FIDO Alliance에 따르면, 개인 키는 소프트웨어 추출이 불가능한 하드웨어 보안 모듈에 저장됩니다. 이동형 인증기는 USB, NFC, Bluetooth를 통해 여러 디바이스에서 사용할 수 있는 휴대용 보안 키입니다.
- 공개 키 암호화가 암호화 기반을 제공합니다. 등록 시 인증기는 서비스별로 고유한 키 쌍을 생성합니다. IBM 문서에 따르면, 개인 키는 디바이스의 보안 하드웨어에 영구 저장되고, 공개 키만 인증 서버로 전송되어 중앙 집중식 비밀번호 데이터베이스를 제거합니다.
- 생체 인증은 오직 로컬 디바이스에서만 수행됩니다. FIDO Alliance의 아키텍처 설계는 생체 정보 템플릿이 인증기를 벗어나지 않도록 보장합니다. 디바이스는 실시간 생체 샘플을 로컬에 저장된 템플릿과 비교한 후, 인증에 성공해야만 개인 서명 키를 해제합니다.
이 구성 요소들은 비밀번호 전송을 제거하는 정밀한 인증 흐름에서 함께 작동합니다.
패스워드리스 인증의 동작 방식
패스워드리스 인증은 암호화 신원을 설정하는 초기 등록과, 등록된 자격 증명 소유를 증명하는 이후 인증의 두 가지 절차에 의존합니다. 두 흐름을 이해하면 이 방식이 비밀번호 취약점을 어떻게 제거하는지 알 수 있습니다.
등록 흐름
등록 흐름은 암호화 신원을 설정합니다. 계정 생성 페이지로 이동해 패스워드리스 인증을 선택하면, 서버가 등록 챌린지를 생성합니다.
브라우저가 navigator.credentials.create()를 챌린지 파라미터와 함께 호출합니다. 사용자는 생체 인증 또는 PIN으로 사용자 검증을 제공합니다. 인증기는 보안 하드웨어 내에서 새로운 공개-개인 키 쌍을 생성합니다. 신원 검증에 공유 비밀이 사용되지 않아 비밀번호 취약점이 완전히 제거됩니다.
개인 키는 보안 요소를 벗어나지 않으며, 공개 키, 자격 증명 ID, 인증 진술이 서버로 반환됩니다. 서버는 인증 진술을 검증하고, 챌린지를 확인하며, 출처를 확인한 후 공개 키와 자격 증명 ID를 저장합니다.
인증 흐름
인증 요청은 로그인 페이지로 이동할 때 시작됩니다. 서버가 암호화 챌린지를 생성하고 등록된 공개 키를 조회합니다. 브라우저가 navigator.credentials.get()을 호출해 챌린지를 제시합니다. 사용자는 생체 인증 또는 PIN으로 검증을 거쳐 개인 키를 해제합니다.
인증기는 챌린지에 서명하고 자격 증명 ID, 서명된 챌린지, 인증기 데이터를 포함한 어설션을 반환합니다. 서버는 공개 키를 조회해 수학적으로 서명을 검증하고, 챌린지가 일치하는지, 신뢰 당사자 ID를 확인합니다. 검증에 성공하면 서버가 접근을 허용합니다.
내장 보안 보호
암호화 바인딩은 본질적인 피싱 저항성을 제공합니다. 자격 증명은 합법적인 서비스 도메인에 암호화적으로 바인딩됩니다. 피싱 사이트를 방문해도 브라우저는 출처가 일치하지 않으면 인증기를 호출하지 않습니다. 자격 증명은 공격자 도메인에서 사용할 수 없습니다.
디바이스 도난 방지는 필수 사용자 검증에 의존합니다. 디바이스를 탈취해도 인증기 하드웨어에 물리적으로 접근할 수 있을 뿐, 개인 키는 획득할 수 없습니다. 해당 키는 생체 인증 또는 PIN 입력에 성공해야만 해제되므로, 사용자가 소유한 것과 알고 있거나 본인임을 모두 요구합니다.
이러한 보안 메커니즘은 측정 가능한 운영 및 보안 이점을 제공합니다.
패스워드리스 인증의 주요 이점
침해 사고의 상당 부분을 유발하는 공격 벡터를 제거할 수 있습니다. FIDO Alliance 설문조사에 따르면, 500명 이상의 직원을 둔 400개 기업 임원의 90%가 패스키 도입 후 보안이 향상되었으며, 77%가 헬프데스크 문의가 감소했다고 답했습니다. 조직은 일반적으로 비밀번호 관련 지원 요청이 크게 줄어 연간 헬프데스크 비용 절감 효과를 경험합니다.
인증 성능도 눈에 띄게 향상됩니다. FIDO Alliance 사례 연구에 따르면, 패스워드리스 인증은 기존 비밀번호 인증 대비 95~97%의 성공률과 더 빠른 로그인 속도를 달성했습니다.
크리덴셜 스터핑 공격은 패스워드리스 시스템에서 실패합니다. Verizon 2025 분석에 따르면, 많은 랜섬웨어 피해자가 정보 탈취 악성코드 로그에서 이미 노출된 자격 증명을 사용했습니다. 패스워드리스 인증은 서비스별로 고유한 암호화 자격 증명을 생성하며, 개인 키는 사용자 디바이스를 벗어나지 않습니다. 하나의 서비스가 침해되어도 다른 곳에서 사용할 수 있는 자격 증명이 없으므로, 공유 비밀번호 비밀이 노출될 위험이 없습니다.
컴플라이언스 및 아키텍처 관점에서도 추가 이점이 있습니다:
- 제로 트러스트 아키텍처의 기본 인증 통제로 자리잡으며, CISA의 성숙도 모델은 피싱 저항 방식을 특권 접근 제한의 필수 요소로 규정합니다
- NIST SP 800-63B 인증기 보증 수준이 패스워드리스 방식과 직접적으로 일치하여 컴플라이언스 요건을 단순화합니다
이러한 이점에도 불구하고, 조직은 도입 전 과제를 이해해야 합니다.
패스워드리스 인증의 과제 및 한계
레거시 시스템 통합이 주요 기술적 장애물입니다. ACM Communications에 게재된 동료 검토 연구에 따르면, 레거시 시스템은 인증 코드를 핵심 기능에 내장하고 FIDO2/WebAuthn 프로토콜용 API가 없습니다. 많은 조직이 이 복잡성을 과소평가합니다. 사용자는 패스워드리스 인증을 제공하면서 백엔드와는 비밀번호 기반 통신을 유지하는 게이트웨이 아키텍처가 필요하며, FIDO2를 직접 지원할 수 없는 시스템은 초기부터 아키텍처 계획이 필요합니다.
- 모니터링 인프라를 배포 전 반드시 업데이트해야 합니다. 사고 대응은 불완전한 로그, 문서화되지 않은 오류 코드, 누락된 포렌식 정보로 인해 복잡해집니다. 위협 헌팅 쿼리와 SIEM 상관 규칙을 먼저 업데이트하지 않고 패스워드리스 인증을 도입하면, 인증 실패를 조사할 수 없는 보안 블라인드 스팟이 생깁니다.
- 계정 복구 및 백업 인증은 신중한 계획이 필요합니다. FIDO Alliance 가이드라인에 따르면, 패스워드리스 인증 도입 전 사용자당 최소 2개 이상의 인증기를 등록해야 합니다. 백업 방식도 기본 방식과 동일한 보안 수준을 충족해야 합니다. NIST 가이드라인은 연방 시스템에서 SMS 기반 인증을 금지하고, FIDO2 호환 하드웨어 키, 시간 기반 일회용 비밀번호, 추가 등록 인증기를 권장합니다.
- 푸시 알림 공격 및 MFA 피로도 공격은 남은 취약점입니다. 공격자는 반복적으로 인증 요청을 보내 사용자가 정당성 확인 없이 승인하도록 유도합니다. 사용자가 인증 요청이 실제 로그인 시도와 일치하는지 확인하도록 교육하고, 인증 승인에 대한 속도 제한을 구현해야 합니다. 가장 위험한 실수는 배포 전 로깅 기능을 업데이트하지 않는 것입니다.
- 구현 일정이 예상보다 길어집니다. FIDO Alliance에 따르면, 대부분의 조직은 1~2년에 걸친 단계적 배포가 필요합니다. 즉각적인 전환 시도는 실패로 이어질 수 있습니다. 성공적인 기업은 민감 데이터 접근 권한이 있는 사용자부터 우선 배포하고, 타겟 커뮤니케이션 전략을 사용해 점진적으로 확장합니다.
이러한 과제는 성공적인 도입을 위한 모범 사례 수립에 참고가 됩니다.
패스워드리스 인증 모범 사례
NIST 및 CISA 프레임워크 정렬로 시작하십시오. NIST SP 800-63B는 인증 강도 요건을 정의하는 인증기 보증 수준을 제시합니다. CISA의 제로 트러스트 성숙도 모델을 검토해 패스워드리스 인증을 기본 신원 통제로 위치시키십시오.
위험도가 높은 사용자부터 단계적으로 배포하십시오. FIDO Alliance 연구에 따르면, 성공적인 기업은 민감 데이터 접근 권한이 있는 사용자를 우선 배포 대상으로 선정하고, 기술 구현을 검증하며, 피드백을 수집하고 절차를 개선한 후 확장합니다. 파일럿 단계에서 위협 헌팅 기능을 구축해 운영 환경에서 즉시 모니터링을 시작하십시오.
인프라 및 사용자 등록 준비 시 다음 핵심 요건에 집중하십시오:
- 운영 배포 전 패스워드리스 인증 이벤트(이상 오류 코드, 실패 시도 포함)에 대한 SIEM 상관 규칙을 업데이트하십시오
- 등록 시 사용자당 최소 2개 이상의 인증기 등록을 의무화해 이중화 및 복구 경로를 확보하십시오
- NIST SP 800-63B 기준에 따라 여러 인증기 유형(플랫폼 인증기, 이동형 인증기) 지원을 보장하십시오
- 백업 인증은 FIDO2 호환 하드웨어 키 또는 시간 기반 일회용 비밀번호로 구축하고, SMS는 사용하지 마십시오
- 신원 보안을 SIEM 시스템 및 사고 대응 절차 등 보안 운영 전반과 통합하십시오
- 모든 인증기 하드웨어의 FIDO2 인증을 FIDO Alliance 인증 프로그램을 통해 검증하십시오
장기적인 구현 일정을 계획하십시오. 레거시 시스템 통합을 위한 게이트웨이 아키텍처, 모니터링 인프라 업데이트, 사용자 도입 요건 등은 지속적이고 단계적인 노력이 필요합니다. 조직 전체 적용을 위해 경영진의 다년간 지원을 확보하십시오.
견고한 패스워드리스 인증이 구축되어도 보안은 로그인 시점에서 끝나지 않습니다. 인증 이후 활동에 대한 지속적 모니터링이 신원 보안 전략을 완성합니다.
핵심 요약
패스워드리스 인증은 비밀번호를 디바이스를 벗어나지 않는 암호화 키로 대체해 주요 공격 벡터를 제거합니다. FIDO2 표준은 피싱 저항성, 크리덴셜 스터핑 방지 기능을 제공하며, FIDO Alliance 설문조사에 따르면 패스워드리스 도입 조직은 보안 향상과 헬프데스크 문의 감소 효과를 보고했습니다.
위험도가 높은 사용자부터 단계적으로 배포하고, 운영 환경 적용 전 모니터링 인프라를 업데이트하며, 제로 트러스트 아키텍처와 통합하십시오. 레거시 시스템 통합은 게이트웨이 솔루션과 장기적 구현 일정이 필요한 주요 기술적 장애물로 남아 있습니다.
자주 묻는 질문
패스워드리스 인증은 기존 비밀번호 없이 사용자 신원을 검증하는 보안 방식입니다. FIDO2/WebAuthn 표준 기반의 암호화 키, 생체 인식, 하드웨어 토큰을 사용합니다.
인증 과정에서 사용자의 디바이스는 보안 하드웨어에 저장된 개인 키로 암호화 챌린지에 서명합니다. 서버는 등록된 공개 키로 서명을 검증합니다. 이 방식은 비밀번호 데이터베이스를 제거하고 자격 증명 기반 공격을 차단합니다.
비밀번호 없는 인증은 특정 도메인에 바인딩된 암호화 챌린지를 사용합니다. 브라우저는 인증 요청이 합법적인 서비스에서 발생했는지 확인한 후 인증기를 호출합니다.
피싱 사이트를 방문하더라도 도메인이 일치하지 않기 때문에 자격 증명이 작동하지 않습니다. CISA에 따르면, 이러한 암호화 바인딩으로 인해 FIDO2는 피싱 저항 인증의 표준으로 간주됩니다.
조직은 패스워드리스 인증을 배포하기 전에 계정 복구 절차를 마련해야 합니다. 모범 사례로는 사용자가 등록 시 최소 두 개의 인증자를 등록하도록 요구하며, 일반적으로 하나의 플랫폼 인증자와 하나의 이동식 보안 키를 사용합니다.
주 인증자를 분실한 경우, 사용자는 백업 장치로 인증합니다. 헬프데스크 절차에서는 새로운 인증자를 등록하기 전에 대체 채널을 통해 사용자 신원을 확인하여 보안 기준을 유지해야 합니다.
네, 게이트웨이 아키텍처를 통해 가능합니다. 레거시 시스템 통합이 필요한 조직은 게이트웨이 솔루션을 도입하여 사용자는 패스워드리스 인증을 이용하고, 백엔드 레거시 시스템과는 비밀번호 기반 통신을 유지할 수 있습니다.
게이트웨이는 사용자와 암호화 인증을 처리한 후, 레거시 시스템이 기대하는 비밀번호 기반 인증으로 변환합니다. 이를 통해 레거시 애플리케이션의 즉각적인 현대화 없이도 패스워드리스 사용자 경험을 제공합니다.
조직 전체 도입에는 1~2년을 계획해야 합니다. 단계적 도입 전략은 민감 데이터 접근 권한이 있는 사용자를 우선 적용한 후, 점차 범위를 확대해야 합니다. 초기 파일럿 단계에서는 기술 검증이 필요하며, 이후 단계별로 확장 배포합니다.
조직은 도입 전 레거시 시스템 통합 장애 요인 해결, 모니터링 인프라 업데이트, 백업 절차 수립이 필요합니다.
비밀번호 없는 인증은 일반적으로 헬프데스크 비용 절감과 침해 방지를 통해 총 비용을 줄입니다. 조직은 도입 후 비밀번호 재설정 요청이 크게 감소하는 것을 경험합니다.
도난된 자격 증명이 전체 침해의 상당 부분을 차지한다는 점을 고려할 때, 자격 증명 기반 사고를 방지하는 것은 상당한 위험 감소 가치를 제공합니다. 운영 비용 절감과 위험 감소는 일반적으로 도입 후 첫 2년 이내에 긍정적인 투자 수익률을 제공합니다.
