패스워스리스, 비밀번호없이 로그인 하자

여러분은 비밀번호를 얼마나 신뢰하나요?

우리는 수많은 서비스를 이용하기 위해서는 로그인이라는 인증 단계를 거치는 경우가 많습니다.
이때, 항상 작성하게 되는 것이 바로 비밀번호 입니다. 비밀번호는 나를 증명하고, 보호할 수 있는 가장 중요한 요소 중 하나죠.
하지만 요즘과 같은 IT 서비스의 출시가 많아지면서 이용자들의 비밀번호 보안이 취약해지고 있습니다.

해외 시장조사기관 FMI에 따르면 비밀번호 해킹 피해 중 90% 이상은 재사용된 비밀번호 이거나, 동일한 비밀번호를 대부분의 계정에서 사용중 이었다는 것이죠. 때문에 향상된 보안이 더욱 중요해진 시점에서 글로벌 IT 기업들은 비밀번호 없이 인증과 보안을 유지할 수 있는 방법을 개발하게 되었습니다.

 

패스워드리스란 말 그대로 ‘~없는’ 이라는 less를 붙여 패스워드 없이 이용자의 신원을 확인 할 수 있는 기술입니다. 이는 생체인증, PIN 번호 등으로 이용자의 신원 확인하며, 1차 로그인 후 2차 로그인이 필요하지 않을뿐더러, 복잡한 비밀번호를 기억하지 않아도 되는 편리함이 있습니다.
다시 말해, 1차 보안이 강화된 인증 방식이며 흔히 우리가 사용하는 페이스ID가 대표적인 패스워드리스의 인증 단계 중 하나입니다.

그렇다면 패스워드리스의 동작 원리는 무엇일까?

앞서 이야기했듯이 패스워드리스는 1차 보안이 강화된 인증 방식이라고 했습니다.
패스워드리스를 가능하게 할 수 있는 것은 바로 패스키라는 인증 기법에 있습니다.

패스키는 사용자의 기기에서 다양한 인증 요소(생체정보,PIN,토큰 등)를 활용해 이용자가 사용하는 모든 웹사이트, 앱 등에 대해 한 쌍의 비대칭 암호키를 생성하게 됩니다. 이렇게 생성된 개인 키는 실물 기기 혹은 저장장치(USB)에 저장되고, 공개키는 인증 앱에 보관되게 되는 방식입니다. 이런 절차를 통해 개인 키가 없는 공개키는 공격자들로부터 안전한 상태가 되어 비밀번호의 노출 위험도를 크게 낮출 수 있게 됩니다.

즉, 실물 기기를 사용한다는 점에서 패스키의 기본적인 보안을 강화할 수 있게 되는 것입니다.

이외에도 브라우저와 OS에서도 패스키를 반영할 수 있도록 패스키를 연결하는 표준 메커니즘에 대한 개발과 연구를 진행 중이라고 합니다.

패스워드리스를 적용한 사례 몇 가지를 소개해 보겠습니다.

WebAuthn(웹 생체 인증 표준)
W3C에서 표준으로 제정한 웹 생체 인증 표준으로, 패스워드 대신 생체인증 장치를 사용하여 웹사이트에 로그인 할 수 있도록 지원합니다. 즉, 브라우저를 통한 패스워드리스를 가능하게 해줍니다.

AppleID 및 iCloud Keychain
Apple은 Face ID, Touch ID, 그리고 iCloud Keychain 을 통해 사용자에게 패스워드리스 경험을 제공합니다.
앱 및 웹 사이트에서 자동으로 로그인 정보를 입력하거나, Face ID 및 Touch ID로 사용자를 인증하여 계정에 접근할 수 있습니다.

네이버 - 간편하게 로그인 서비스 출시
네이버는 23년 1월 패스워드리스 방식을 적용하였습니다. 네이버 앱을 실행할 때 설정한 패스키를 통해 로그인 할 수 있으며, 이는 2차 인증을 요구하지 않는다는 점에서 UX의 향상과 보안 강화까지 이끌어내며, 해킹 피해를 줄이고자 시도하고 있습니다.
이 외에도 애플, 구글 또한 패스워드리스의 대중화를 위해 공동성명서를 발표하며, 더욱 강화된 패스워드리스를 도입할 계획이라고 합니다.

패스워드리스는 기존의 비밀번호 기반 인증 방법과 비교하면 여러 이점이 존재합니다.
사용자와 조직 모두에게 강화된 보안, 개선된 사용자 경험, 향상된 개인 정보 보호, 규정 준수 및 미래 지향성을 고려해 본다면 인증 방식 및 접근 제어에 있어 필수 불가결한 미래의 보안기술로 이목을 집중시키기에 충분할 것으로 보입니다.

IT의 세계는 빠르게 급변함과 동시에 보안의 더 많은 허점을 노출하고 있을지도 모릅니다.
이는 더 나아가 서비스를 이용하는 사용자들의 개인정보까지 위협받고 있는 상황이라면 패스워드리스의 기술은 반드시 확립되고, 더욱 견고해져야 할 것입니다.