영국 사이버 책임자들, 비밀번호 대신 패스키를 도입할 때가 됐다고 말한다 - 패스키가 무엇인가?

Source: BBC Technology

영국, 비밀번호 대신 패스키 사용 촉구

영국 사람들은 가능한 경우 비밀번호 대신 패스키를 사용해 온라인 계정을 보호하라는 권고를 받았습니다.

비밀번호는 오랫동안 디지털 서비스 계정을 설정하고 로그인하는 기본 방식이었습니다. 그러나 국가 사이버 보안 센터(NCSC)는 목요일에 “수십 년에 걸친 보안 관행을 전면 개편”하고 가장 안전한 옵션으로 패스키를 권장한다고 밝혔습니다.

Apple, Google, X와 같은 플랫폼은 이미 비밀번호 대신 패스키를 사용할 수 있게 했지만, 패스키가 무엇이며 어떻게 작동할까요?

데이터 유출이 증가하는 상황 속에서 NCSC는 서로 다른 사이트에 동일한 비밀번호를 재사용하지 말라는 경고를 다시 한 번 강조했습니다. 비밀번호 관리자와 다중 인증(MFA) 방법은 로그인 자격 증명을 강화하고 저장하는 방법으로 사용이 늘어나고 있습니다.

NCSC는 패스키가 해킹 및 인간 실수에 덜 취약할 수 있다고 보지만, 일부 전문가들은 여전히 “만능 해결책은 아니다”라고 말합니다. 비밀번호와 마찬가지로 패스키도 사용자가 계정에 접근하려는 사람임을 확인하는 인증 수단입니다. 하지만 비밀번호와 달리 문자, 숫자, 기호 조합을 기억할 필요가 없습니다.

패스키는 사용자의 계정에 연결된 디지털 정보이며, 사용자가 이용하는 각 사이트나 앱마다 고유합니다. 암호화를 사용해 장치 수준에서 검증을 수행하며, 일반적으로 스마트폰에 이미 내장된 기술(예: iPhone의 Face ID와 Touch ID, Google Pixel의 Face Unlock)과 함께 작동합니다.

Google과 iPhone 제조사인 Apple은 사용자들이 계정에 로그인할 수 있는 대안으로 패스키를 제공하는 운영 체제 개발자 중 하나입니다. NCSC에 따르면, 패스키는 사용자가 등록한 각 웹사이트마다 고유하기 때문에 더 큰 보호를 제공하며, 공유되는 비밀 정보가 없습니다.

NCSC의 국가 복원력 담당 이사인 Jonathan Ellison은 패스키를 “보다 사용자 친화적이며 전반적인 복원력을 강화하는 대안”이라고 부르며, “수십 년 동안 비밀번호를 기억하는 데서 오는 골칫거리를 완화할 수 있다”고 덧붙였습니다.

어떻게 작동하나요?

Passkeys는 공개키 암호화(public‑key cryptography) 라는 기술을 통해 활성화됩니다.

“비밀번호처럼 공유 비밀을 만들고 기억하는 대신, 기기가 보안 키 쌍을 생성합니다 – 한 부분은 기기에 남아 있고, 다른 부분은 로그인하려는 서비스에 저장됩니다,” 라고 BCS(영국 정보기술 공인 협회)의 다니엘 카드(Daniel Card)가 말합니다.

이 과정은 대부분 기기의 잠금을 해제할 때와 같은 방법을 사용합니다 – 예를 들어, 내장된 바이오메트릭 센서를 이용해 지문이나 얼굴을 스캔하거나 PIN 코드를 입력하는 방식입니다. 교환되는 것은 체크를 완료했다는 사실이며, 실제 정보 자체는 전송되지 않습니다.

“이러한 물리적 보안 키는 피싱 시도에 완전히 저항하며 원격 공격자에 의해 가로채이거나 도난당할 수 없기 때문에, 키 보유자만이 자신의 계정에 접근할 수 있습니다,” 라고 사이버 보안 기업 Yubico의 지역 이사인 니알 맥코네이(Niall McConachie)가 말합니다.

“은탄환이 아니다”

NCSC와 많은 사이버 전문가들은 패스키가 강력한 비밀번호와 사용자가 다른 기기에서 계정에 로그인하려는지를 확인하는 절차와 같은 MFA 방법만큼, 혹은 그보다 더 안전할 수 있다고 보고 있습니다. 하지만 Card는 다른 사람들과 마찬가지로 패스키는 “은탄환이 아니다”라고 지적합니다.

기기를 분실하거나 완전히 접근할 수 없게 되면 패스키를 설정하는 것이 까다로울 수 있습니다. NCSC는 과거에 채택이 느리고 지원이 고르지 않은 “구현상의 어려움” 때문에 패스키로 전환을 권장하지 않았다고 말합니다. 아직도 많은 플랫폼이 사용자가 비밀번호 대신 혹은 비밀번호와 함께 패스키를 사용하는 것을 허용하지 않습니다.

지원되지 않는 경우, NCSC는 강력한 비밀번호를 생성하고 여러 인증 방법을 사용하는 비밀번호 관리자를 사용할 것을 권고합니다.

FIDO Alliance에 따르면, “비밀번호 없는 미래”를 열기 위해 패스키를 추진하는 산업 협회인 이 기술은 현재 모든 주요 운영 체제, 인터넷 브라우저 및 제3자 제공업체에서 지원됩니다. McConachie는 패스키에 대한 지원이 확대되고 있으며, 지난해 영국 정부가 디지털 서비스 전반에 걸쳐 이를 채택한 사례도 포함해 “이것이 단순히 틈새 트렌드가 아니다”라고 말합니다.

“비밀번호에서 비밀번호 관리자, 앱 기반 MFA, 그리고 이제 패스키로 이동하는 것은 위험을 감소시키는 획기적인 변화입니다,” Card는 덧붙입니다. “그래서 NCSC와 같은 조직이 이를 지원하고, 보안 커뮤니티 내 많은 이들이 사용 가능한 곳에서는 이미 채택하고 있는 것입니다.”