SW 방식 '패스키' 확산 가속…클라우드 해킹 주의해야

가상으로 만든 해커 모습 / 사진 뤼튼으로 생성

최근 온라인 보안 분야에서 ‘패스키(passkey)’가 차세대 인증 수단으로 부상하면서, 많은 사용자들이 암호 대신 패스키를 이용한 로그인을 하고 있다. 하지만 패스키 인증이 실제로는 하드웨어 기반이 아닌 ‘소프트웨어 전용’ 방식으로 구현되는 경우가 다수라는 점에 주목해야 한다.

미 IT 전문매체 ZDNet은 15일(현지시각) 많은 사용자가 자신이 인지하지 못하는 사이 소프트웨어 전용 방식의 패스키를 사용하고 있다고 보도했다.

새로운 패스키 방식은 운영체제나 브라우저 내에서 패스키가 생성되고 저장되며, 별도의 물리적 보안 장치 없이 클라우드 동기화를 통해 여러 기기 간 인증 정보를 공유하는 형태다.

소프트웨어 전용 패스키는 사용성과 복구 측면에서 큰 장점을 지닌다. 예를 들어, 애플의 아이클라우드 패스키는 사용자가 새로운 애플 기기를 사용할 때 자동으로 패스키가 동기화된다. 구글과 마이크로소프트 역시 각각 자사 클라우드 서비스로 유사한 기능을 제공한다. 이로 인해 사용자는 별도의 보안 키를 휴대하지 않아도 되고, 로그인 절차가 대폭 간소화된다.

FIDO 얼라이언스가 11일 발표한 자료에 따르면, 현재 패스키 사용자 중 53%가 하나 이상의 계정에 패스키를 활성화해 쓰고 있다. 22%는 가능한 모든 계정에서 패스키를 사용 중이다. 이는 패스키가 생체 인식이나 PIN 입력과 결합돼 간편하고 빠른 인증을 가능케 하는 강점 덕이다.

반면, 소프트웨어 전용 패스키가 클라우드 기반 동기화를 사용하는 만큼, 클라우드 계정 탈취와 복구 과정의 위험이 높아진다는 점도 지적된다. 해커가 클라우드 계정에 접근할 경우, 복수 기기의 인증 정보가 노출될 수 있어 공격 표면이 넓어진다. 또한 악성 브라우저 확장 프로그램을 통한 탈취 시도도 보고되고 있다.

10월 14일 해커뉴스는 패스키 시스템이 클라우드 계정 탈취와 복구 절차 악용으로 인해 기업 보안에 새로운 리스크를 가져오고 있다고 경고했다.

일부 보안 전문가들은 매우 민감한 환경에서의 물리적 보안 키 등 하드웨어 기반 인증을 권장한다는 의견도 내고 있다.

보안업계 한 관계자는 "해커의 공격에서 100% 완벽한 시스템을 만드는 것은 어렵다"면서도 "기존 물리적 비밀번호 방식의 보안 보다는 패스키가 안전한 것은 맞다"고 말했다.