계정에 로그인하거나 기기의 잠금을 해제할 때마다, 해당 계정이나 기기에 접근할 권한이 있음을 증명해야 합니다. 역사적으로 그 증명은 비밀번호의 형태를 띠었습니다. 즉, 기억하거나 비밀번호 관리자에 저장해 두어야 하는 비밀 문자열입니다.
패스키는 접근을 귀하가 실제로 소유한 것, 즉 휴대전화, 노트북 또는 보안 키에 저장된 암호화 토큰과 지문 또는 얼굴 스캔 같은 생체 인식 요소에 연결한다는 점에서 비밀번호와 다릅니다.
이 차이를 설명하는 일반적인 방법은 다음과 같습니다:
- 비밀번호 = 알고 있는 것
- 패스키 = 가지고 있는 것 + 본인임을 증명하는 요소
두 방법 모두 접근을 허용하지만, 그 목표를 달성하는 방식은 서로 다르며 보안과 사용성에 큰 영향을 미칠 수 있습니다.
패스키란 무엇인가요?
패스키는 기기에 저장되며, 귀하가 로그인하는 계정이 암호화를 사용해 확인할 수 있는 비밀번호와 같은 것입니다. 패스키는 FIDO2 표준(FIDO Alliance(새 창)에서 정의)과 WebAuthn API를 기반으로 합니다.
작동 방식은 다음과 같습니다:
패스키가 생성되면 비밀번호 관리자는 공개 키와 비밀 키로 이루어진 한 쌍의 암호화 키를 생성합니다.
- 공개 키는 귀하가 등록하는 서비스와 공유됩니다.
- 비밀 키는 귀하의 비밀번호 관리자 또는 기기에 남아 있으며, 절대 그 밖으로 나가지 않습니다.
로그인 시도 중 서비스는 무작위 챌린지를 발급합니다. 귀하의 기기는 기기에 있는 비밀 키를 사용해 그 챌린지에 서명하며, 일치하는 비밀 키만 생성할 수 있는 응답을 만들어 냅니다. 그러면 서비스는 이전에 저장된 공개 키로 그 서명을 검증하여 귀하가 정당한 계정 소유자임을 확인합니다.
비밀 키는 절대 귀하의 기기를 떠나지 않으므로, 피싱 사이트가 귀하를 속여 이를 넘기게 만들 수 없습니다. 따라서 패스키는 본질적으로 피싱에 강합니다.
보안 비교: 패스키와 비밀번호
비밀번호를 사용할지 패스키를 사용할지는 다양한 요인에 따라 달라집니다. 모든 웹사이트가 패스키를 옵션으로 제공하는 것은 아닙니다. 하지만 이를 제공하는 웹사이트라면 전환을 고려할 만한 이유가 몇 가지 있습니다.
패스키는 비밀 키가 절대 귀하의 기기를 떠나지 않기 때문에 비밀번호보다 더 안전한 것으로 여겨집니다. 누군가 가짜 사이트로 귀하를 속이거나, 네트워크 트래픽을 가로채거나, 무차별 대입 공격을 시도하더라도 비밀 키를 얻을 수 없습니다. 비밀 키는 휴대전화, 컴퓨터 또는 보안 키 동글 내부에 보관되기 때문입니다. 귀하가 PIN, 지문 또는 다른 형태의 2단계 인증으로 기기를 보호하고 신뢰할 수 있는 복구 방법을 갖추고 있다면, 패스키는 일반 비밀번호보다 더 강력하고 피싱에 더 강한 보안 설정을 제공합니다.
| 기능 | 패스키 | 비밀번호 |
| 인증 방식 | 공개 키 암호화(비밀 키는 기기에 저장됨) | 사용자가 기억하는 비밀 문자열 |
| 피싱 저항성 | 높음 | 낮음 |
| 복구 옵션 | 기기 백업, 계정 복구 절차 | 이메일을 통한 재설정, 보안 질문 |
| 사용자 경험 | 생체 인식 또는 PIN | 직접 입력 또는 자동완성 |
| 호환성 | 확대 중 | 범용 지원 |
| 재사용 취약성 | 사이트마다 항상 고유함 | 흔한 문제 |
패스키의 사용성과 사용자 경험
패스키 사용의 보안상 이점 외에도 다른 장점이 있습니다:
- 패스키는 인증 절차를 한 번의 누르기 또는 한 번의 보기로 줄여 로그인 속도를 높여 주며, 비밀번호를 수동으로 입력하거나 잊어버린 비밀번호를 재설정해야 하는 번거로움을 없애 줍니다.
- 많은 비밀번호 관리자는 패스키를 여러 기기에서 안전하게 동기화할 수 있습니다. 그 결과 스마트폰에서 생성한 패스키를 새로 등록하지 않고도 노트북, 태블릿 또는 다른 휴대전화에서 사용할 수 있습니다. Proton Pass는 모든 플랫폼과 기기에서 작동하므로, 이를 지원하는 모든 웹사이트에서 패스키를 사용할 수 있습니다.
패스키의 단점과 예외 사례
패스키는 강력한 보안과 매끄러운 로그인 경험을 제공하지만, 만능 해결책은 아닙니다. 여전히 패스키 사용이 어려울 수 있는 상황이 일부 있습니다.
기기 분실 및 복구
패스키가 저장된 기기를 분실, 도난 또는 손상된 경우 접근 권한을 되찾기 위해 백업 메커니즘에 의존해야 합니다. 패스키 복구에는 보통 보조 기기 또는 복구 키가 필요하므로, 잘 설계된 복구 절차가 없다면 계정에 대한 접근을 잃을 위험이 있습니다.
도입 격차
일부 웹사이트와 애플리케이션은 패스키를 구동하는 WebAuthn/FIDO2 표준을 아직 구현하지 않았습니다. 이를 구현한 경우에도 패스키 지원이 특정 생태계나 운영 체제에만 제한될 수 있습니다.
구형 하드웨어의 한계
구형 스마트폰, 생체 인식 센서가 없는 노트북 또는 WebAuthn 지원이 없는 브라우저 같은 이전 기기는 패스키를 생성하거나 저장할 수 없습니다.
언제 여전히 비밀번호가 필요할까요?
예비 수단으로 비밀번호를 설정해 두는 것 외에도, 기본 접근 방식으로 전통적인 비밀번호가 필요한 상황이 일부 있습니다.
1. 패스키 지원이 없는 사이트
패스키 도입이 널리 확산되기 전까지는 일부 사이트에서 여전히 비밀번호에 의존해야 할 수 있습니다. 이 경우 보안을 강화하기 위해 OTP와 같은 2단계 인증 방법을 설정할 수 있습니다.
2. 공용 또는 공유 컴퓨터 환경
귀하 자신의 기기를 사용하지 않는 경우, 비밀번호를 입력하면(이상적으로는 2단계 인증과 함께) 지속적으로 남는 자격 증명을 남기지 않고도 일시적인 접근이 가능합니다.
3. 조직 정책 및 규정 준수 요구 사항
정부 또는 금융 표준을 포함한 회사 규정은 여전히 비밀번호 요소를 포함하는 다중 요소 설정을 요구하거나, 감사 목적으로 정기적인 비밀번호 교체를 의무화할 수 있습니다. 또한 기업용 싱글 사인온(SSO) 솔루션은 때때로 패스키를 선택적 요소로만 통합하고, 비밀번호는 기본 자격 증명으로 유지합니다.
패스키 도입 방법
패스키로 전환하는 것은 비교적 간단합니다.
- 운영 체제에서 패스키 지원을 활성화
- 비밀번호 관리자 다운로드
- Proton Pass와 같이 패스키 저장공간을 지원하는 비밀번호 관리자를 선택합니다.
- 비밀번호 관리자에 패스키 추가
- 앱에서 기존 패스키를 불러오거나 새 패스키를 직접 생성합니다.
- 지원되는 서비스에 패스키 등록
- “Sign in with Passkey”를 제공하는 사이트에서 가입하기 또는 로그인할 때 해당 옵션을 선택합니다.
- 복구 방법 설정
- 패스키 사본을 저장할 보조 기기를 활성화하고, 서비스가 제공하는 복구 키가 있다면 기록해 둡니다.
FAQ
비밀번호 관리자 없이도 패스키를 사용할 수 있나요?
네, 가능합니다. 대부분의 최신 운영 체제는 패스키를 로컬에 저장합니다(Apple 기기의 iCloud Keychain, Android의 Google Password Manager, Windows의 Windows Hello). 전용 비밀번호 관리자는 기기 간 동기화를 더 쉽게 하고 추가 백업 계층을 제공할 수 있지만, 패스키 사용에 필수는 아닙니다.
구형 기기에서도 패스키를 사용할 수 있나요?
패스키를 사용하려면 운영 체제와 브라우저가 WebAuthn/FIDO2 표준을 지원해야 합니다. 최신 플랫폼(iOS 15+, Android 14+, 최신 macOS, Windows 10 1903+, 그리고 최신 Chrome/Edge/Firefox/Safari)은 별도 설정 없이 작동합니다. 구형 휴대전화, 이전 브라우저 또는 iOS 15/Android 13 이전 기기에는 이러한 지원이 없으므로 해당 기기에서는 패스키를 사용할 수 없습니다.
패스키와 물리적 토큰의 차이는 무엇인가요?
패스키는 기기 또는 비밀번호 관리자에 저장되는 자격 증명이며, 여러 기기 간에 안전하게 동기화됩니다. 물리적 토큰(예: YubiKey)은 기기에 삽입해야 하는 독립형 하드웨어 키입니다. 물리적 토큰은 비밀 키를 호스트 기기에 저장하지 않으므로 격리를 제공하지만, 토큰을 휴대하고 백업을 관리해야 합니다. 두 옵션 모두 비밀번호 없는 피싱 저항성 인증을 제공하지만, 패스키는 편의성과 동기화를 우선시하고 물리적 토큰은 하드웨어 격리를 우선시합니다.
Windows PC에서 패스키를 사용할 수 있나요?
네, 최신 Windows 10/11 빌드는 Windows Hello를 통해 패스키를 지원합니다. 설정에서 “Passwordless sign-in”을 활성화한 후에는 지문, 얼굴 인식 또는 신뢰할 수 있는 플랫폼 모듈(TPM)에 저장된 비밀 키의 잠금을 해제하는 PIN으로 등록하고 인증할 수 있습니다. TPM은 대부분의 최신 PC, 노트북, 일부 태블릿에 내장된 작고 변조 방지 기능을 갖춘 칩입니다. 그 목적은 보안상 중요한 작업을 위한 하드웨어 신뢰 루트를 제공하는 것입니다.
휴대전화를 잃어버리면 어떻게 되나요?
휴대전화에 패스키의 유일한 사본만 있다면, 접근을 복구하기 위해 미리 구성된 백업 방법이 필요합니다. 보통 이는 다른 기기, 비밀번호 관리자 또는 서비스가 제공하는 복구 키입니다. 백업이 없다면 서비스의 계정 복구 절차를 따라야 합니다.
