㈜소프트이천

피싱, 무차별 대입공격, 크리덴셜 스터핑과 같은 계정 탈취 시도가 갈수록 교묘해지면서, 기존의 비밀번호 기반 보안 방식은 한계에 부딪히고 있다. 실제로 많은 보안 사고가 ‘약하거나 재사용된 비밀번호’에서 비롯되며, 개인 사용자와 기업 모두에게 큰 피해를 끼친다. 이런 위협을 근본적으로 차단하기 위한 대안으로 비밀번호를 입력하지 않고 본인을 인증하는 ‘패스워드리스(Passwordless) 인증’이 주목 받고 있다. 이번 글에서는 패스워드리스 인증의 개념과 원리, 그리고 향후 보안 환경에서의 전망을 살펴본다.

국내 보안 업계가 주도해 마련한 글로벌 국제 표준 패스워드리스 기술 ‘Passwordless X1280’을 소개하는 행사가 2025년 8월 27일 서울 강남구 코엑스에서 성황리에 개최됐다. 이번 행사는 한국정보통신기술협회(TTA)가 주최하고 개인정보보호협회와 패스워드리스 얼라이언스 포럼이 공동으로 주관했으며, 국내 기술의 국제적 확산과 실무 적용 사례가 집중적으로 논의됐다.

패스워드리스 얼라이언스는 ESCOM과 협력해 2025년 4월부터 X.1280 기반 교육 과정을 운영했다. 해당 과정은 표준 이해, 무료 인증 소프트웨어 설치·구성, 주요 이슈 진단과 해결 전략 등을 중심으로 3일 간 원격 화상 방식으로 진행됐다. 강의는 얼라이언스의 테크 멤버인 듀얼오스가 맡았으며, 에콰도르의 사이버 보안 전문가 20명이 참여해 국제적 관심을 입증했다.

비밀번호 이후를 준비하는 표준화 노력
비밀번호는 오랫동안 디지털 보안의 핵심 인증 수단이었지만, 관리 부담과 유출, 피싱, 재사용에 매우 취약하다는 근본적 한계로 인해 미래의 인증 방식으로 적합하지 않다는 공감대가 넓게 형성되고 있다.

이런 문제를 대체할 방안으로 패스워드리스 인증과 생체인식 기술이 떠오르고 있으며, X.1280과 같은 국제 표준화 작업은 기술의 상호 운용성과 보급을 촉진하는 열쇠로 꼽힌다.

패스워드리스 인증은 국제 표준인 FIDO2와 WebAuthn(WebAuthentication) 기반으로 구현되며, 비밀번호 유출 및 재사용 문제를 해결하고, 피싱이나 무차별 대입 공격 위험을 줄일 수 있다는 점에서 주목 받고 있다.

패스워드리스 인증은 다양한 방식으로 사용자를 확인하며, 비밀번호의 취약점을 극복하는 핵심 인증 기술이다.

주요 패스워드리스 인증 절차를 소개하면 다음과 같다.

• 생체인식: 지문, 얼굴, 홍채 등 고유한 신체 정보를 스마트폰이나 노트북의 센서로 확인해 인증
• 푸시 알림 승인: 로그인 시 스마트폰·기기에 전송된 알림을 사용자가 승인하면 인증 완료
• 일회용 비밀번호(OTP): SMS, 이메일, 인증 앱을 통해 전송된 시간 제한이 있는 코드를 입력해 인증
• 매직 링크: 로그인 요청 시 이메일이나 문자 메시지로 전송된 일회용 링크를 클릭하면 인증 완료
• 하드웨어 보안키: USB, NFC, 블루투스 방식의 물리적 장치를 PC나 모바일에 연결하거나 내장 센서로 인증한다. 대표적으로 YubiKey, Google Titan, Security Key 등이 있다.

패스워드리스 인증은 비대칭키 암호화를 기반으로 하며, 사용자의 편의성과 보안성을 동시에 강화한 것이 특징이다. 사용자가 로그인 시도 시 서버가 기기에 인증을 요청하면, 기기는 생체인식이나 보안키로 사용자를 확인한다. 기기는 등록된 개인키로 인증에 대한 암호화된 서명을 생성해 서버에 전송하며, 서버는 저장된 공개키로 서명의 진위성을 검증한다. 이 방식은 서버가 비밀번호와 개인키를 보유하지 않고, 기존 인증 방식이 안고 있던 정보 유출 및 피싱, 재사용 공격 등의 발생 가능성을 줄인다는 점에서 보안성을 대폭 향상할 수 있다.

전문가들은 패스워드리스 인증이 보안성과 사용자 경험을 동시에 향상시킬 수 있다는 점에서 긍정적이라고 평가한다. 비밀번호를 기억하거나 주기적으로 변경할 필요가 없어 사용자 편의성이 높고, 피싱이나 재사용 공격에도 강력한 방어력을 갖췄다는 분석이다.

대표적인 대체 표준인 FIDO2/WebAuthn이 보급됨에 따라, 사용자들은 디바이스 기반 생체인식 인증이 웹·앱 로그인 경험을 혁신하고 있다. 예를 들어, 애플의 Face ID와 Touch ID, 삼성의 지문·홍채 인식, 윈도우의 Windows Hello 모두 FIDO2/WebAuthn 표준을 기반으로 하며, 이미 일상에서 널리 사용되는 생체인식 인증 수단이다. 또한, Yubico의 YubiKey Bio와 같은 하드웨어 생체 보안키 제품도 하드웨어 수준에서 강력한 보안을 제공하며 시장에 출시돼 있다.

기업 차원에서도 패스워드리스로의 전환이 가속화되고 있다. 구글·애플·마이크로소프트 등 주요 플랫폼 사업자들이 패스키(Passkey)를 기본 인증 수단으로 사용됐으며, 국내에서는 SK텔레콤이 지난 2023년 자체 개발한 패스키 기반 인증 시스템을 본인확인 서비스 앱 ‘PASS’에 적용했다. 또한, 다른 기업들이 자사 서비스에 손쉽고 빠르게 패스키를 도입할 수 있도록 패스키 인증 시스템을 SaaS 형태로 제공하고 있다.

기존 ID/PW에 다단계 인증(MFA)을 더해도 비밀번호가 남아있는 한 근본적인 취약성은 완전히 해소되지 않는다는 지적이 있다. 가트너는 패스워드리스를 선택함으로써 보안성과 사용자 경험을 동시에 개선할 수 있다고 평가하며, 2027년까지 직원 인증의 75%, 고객 인증의 40% 이상이 패스워드리스를 통해 이뤄질 것으로 내다봤다.

기회와 남은 과제
패스워드리스와 생체인식은 사용자의 편의성을 획기적으로 높이고 피싱·비밀번호 유출과 같은 공격을 원천적으로 차단할 수 있다. 하지만 다음과 같은 현실적인 과제도 남아있다.

• 프라이버시와 데이터 보호: 생체정보 유출 시 회복이 불가능한 피해가 발생할 수 있어 생체 데이터의 저장·처리 방식 및 법적 보호가 중요하다.
• 인프라 비용과 전환 부담: 초기 인프라 구축 비용, 레거시 시스템의 호환성 문제, 사용자 교육 비용 등이 전환 장벽으로 작용한다.
• 접근성·대체 수단: 모든 사용자가 생체인식·스마트폰을 이용할 수 있는 것은 아니므로 장애인·노년층 등을 위한 대체 인증 수단 마련이 필요하다.
• 운영 안정성: 푸시 알람·일회용 코드 등 대체 수단의 통신·서비스 장애는 접근성 차단으로 이어질 수 있다.

이 밖에, 일부 방식(SMS 기반 OTP를 자동 입력하는 형태)은 간편하지만 기존 OTP의 취약성을 그대로 안고 있어 패스워드리스로 보기 어렵다는 점도 있다.

이번 ‘패스워드리스 얼라이언스 포럼 컨퍼런스’는 국내 보안 업계가 국제 표준(X.1280)을 기반으로 한 패스워드리스 기술을 적극적으로 실무에 적용하고, 이를 글로벌 무대에 전파하고 있음을 보여줬다. 국제 협력과 교육을 통한 표준 확산이 가시적 성과로 이어지고 있는 만큼, 앞으로는 기업과 서비스 제공자의 적극적인 도입, 그리고 정부와 규제 기관의 제도적 지원이 함께할 때 패스워드리스 전환은 한층 더 빠르게 현실화될 것으로 전망된다.

출처 : AhnLab