비밀번호, 2FA, Passkeys에 대한 간단한 개요 (간단한 기사)

Source: Dev.to

Introduction

지금 얘기하기엔 조금 늦은 감이 있을 수도 있지만—Passkeys를 사용하고 계신가요?

웹과 현대 기술의 역사를 살펴보면 여러 인증 방법이 등장하고 사라졌습니다. 주요 방법만 보자면, 주류 흐름은 다음과 같습니다:

Password → 2FA/MFA → Passkey

오늘날 Passkey는 가장 안전한 옵션으로 간주되며, 공식 W3C 표준으로 자리 잡아 사실상 “새로운 기본값”이 되었습니다.

그럼에도 불구하고 많은 서비스가 여전히 비밀번호 전용 또는 2FA/MFA 로그인을 사용하고 있기 때문에, 우리는 여러 인증 방법이 공존하는 세상에 살아가고 있습니다.

짧은 글이지만, 이러한 인증 방법들의 진화를 정리해 보고자 합니다.

비밀번호란?

비밀번호는 말할 필요도 없이, 사용자가 기억하고 직접 입력하는 “비밀 구문”입니다.

웹 초기에는 많은 서비스가 이 단순한 인증 방식에만 의존했습니다. 그러나 보안 취약점 때문에 비밀번호만을 이용한 인증은 점차 사라졌으며, 특히 대형 플랫폼에서 그렇습니다.

장점

• 누구나 간단하고 쉽게 사용할 수 있음

단점

• 쉽게 탈취당하고 위험도가 높음
• 여러 서비스에서 자주 재사용되어 노출 위험이 커짐
• 서버 측 데이터 유출은 사용자의 통제 밖이며 개인 노력으로 방지할 수 없음

2FA(두‑단계 인증)란 무엇인가요?

2FA는 비밀번호 기반 로그인에 한 단계 더 추가하여 보안을 강화합니다.

이 방법은 오늘날 널리 사용되고 있으며, 많은 사람들이 이미 익숙합니다. SMS 코드, 인증 앱, 이메일 인증이 전형적인 예시입니다. 이를 결합하면 시스템은 다음을 요구합니다:

“비밀번호를 알고 있다” + “디바이스에서 코드를 확인할 수 있다.”

이 두 단계 과정은 보안 수준을 크게 높입니다.

장점

• 비밀번호가 유출되더라도 공격자가 쉽게 침입할 수 없습니다.

단점

• 비밀번호만 사용하는 로그인보다 단계가 더 많음
• 모든 2FA 방법이 동일한 수준은 아님 (예: SMS는 상대적으로 약하고, TOTP 앱은 보통, FIDO2와 같은 하드웨어 키는 강함)
• 피싱 공격을 통해 코드가 탈취될 수 있음

패스키란 무엇인가?

패스키는 Apple, Google, Microsoft와 같은 주요 기술 기업들이 홍보하고 있으며, 현재 W3C 표준—비밀번호의 “후속”으로 자리매김하고 있습니다. 이 새로운 인증 방식은 최근 몇 년간 큰 주목을 받았으며, 특히 비밀번호를 완전히 없앨 수 있다는 점에서 주목받고 있습니다.

당신의 기기는 암호화 키(개인 키)를 저장하고, 로그인 시 기기가 PIN이나 생체 인증(얼굴 또는 지문)을 사용해 자동으로 신원을 증명합니다.

장점

• 비밀번호 없음 → 도난이나 데이터 유출 위험이 극히 낮음
• 빠르고 편리하며, 기기 수준 보호와 생체 인증으로 보안 강화

단점

• 아직 모든 서비스에서 지원되지 않으며, 도입이 진행 중임
• 기기를 분실하면 키를 단순히 “기억”하거나 재생성할 수 없으므로 백업 및 동기화가 필수적임

세 가지 방법에 대한 간단한 비교

결론

이 글에서는 인증 기술에 대한 제 자신의 이해를 단순히 整理했으며, 기술적인 세부 사항에 깊이 들어가지 않고 고수준 개념에만 초점을 맞췄습니다. 설명이 불완전하게 느껴진다면 양해 부탁드립니다.

세 가지 방법을 나란히 비교해 보면, Passkeys는 정말로 매우 강력한 보안을 제공하지만 완벽하지는 않습니다. 과거의 각 인증 방법도 각각의 장점과 단점이 있었습니다. 이렇게 첨단 기술이 발달한 세상에서도 아직도 “완벽한” 인증 시스템을 개발하지 못했다는 점이 흥미롭습니다.

읽어 주셔서 감사합니다!