[콕스 백과사전] 패스키(Passkey)

비밀번호 방식을 대체하는 '패스키'에 대해 소개하는 이미지 / 사진 챗GPT로 생성

보안 위협이 갈수록 고도화되는 가운데, 글로벌 IT 업계가 차세대 인증 기술 ‘패스키(Passkey)’에 주목한다. 소프트웨어 방식의 패스키가 기존 비밀번호 체계를 대체할 핵심 기술로 뜬다.

패스키는 말 그대로 비밀번호(Password)를 대체하는 새로운 로그인 방식이다. 사용자가 외울 필요도, 입력할 필요도 없다. 대신 지문·얼굴·PIN 등 기기 기반 인증으로 로그인하며, 실제 인증 정보는 사용자 기기 내부에 암호화된 형태로 저장된다. 서버에 비밀번호를 보관하지 않기 때문에 유출 위험도 크게 줄어든다.

패스키는 공개키-비공개키(Public/Private Key) 기반의 FIDO 인증 기술을 사용한다. 서비스는 공개키를 보관하고, 사용자는 비공개키를 스마트폰·PC 등 자신의 기기에 저장한다.

로그인 시 서비스가 ‘챌린지' 호출을 보면, 사용자의 기기가 비공개키로 이를 인증해 본인임을 증명한다. 이 과정에서 비밀키가 외부로 유출되는 일은 없다.

패스키 방식이 기존 비밀번호 입력 방식보다 우수한 점은 사용자가 입력해야 하는 비밀번호 자체가 없기 때문에 도난이나 피싱 위험이 거의 없다는 점이다. 사이트별로 유사한 비밀번호를 사용하던 패턴 문제도 해결할 수 있다. 

글로벌 업계의 패스키 도입은 거의 일반화됐다. 애플은 iOS·macOS 전반에 패스키를 적용했고, 구글과 마이크로소프트도 자사 서비스와 브라우저에서 패스키 기반 로그인을 도입했다. 국내 금융·포털 서비스에서도 채택 움직임이 계속되고 있어 비밀번호 없는 인증 시대가 가속화될 것으로 전망된다.