패스키(Passkey)

"비밀번호를 잊어버렸나요?"라는 메시지를 본 것이 마지막이 되는 날이 오고 있다. 패스키(Passkey)는 수십 년간 인터넷 보안의 근간이었던 비밀번호 체계를 근본부터 바꾸는 인증 기술이다. 비밀번호가 없으면 해킹될 게 없다는 논리. 단순하지만 강력한 이 원리가 이미 구글, 애플, 마이크로소프트, 아마존 등 전 세계 주요 서비스에 도입되기 시작했다.

패스키란 무엇인가

패스키는 공개 키 암호화(Public Key Cryptography)를 기반으로 한 비밀번호 없는 인증 방식이다. FIDO(Fast IDentity Online) 얼라이언스와 W3C(월드 와이드 웹 컨소시엄)가 공동으로 개발한 FIDO2/WebAuthn 표준을 따른다.

작동 방식은 다음과 같다. 사용자가 서비스에 처음 패스키를 등록할 때, 기기 내부에서 공개 키(Public Key)와 개인 키(Private Key) 쌍이 생성된다. 공개 키는 서비스 서버에 저장되고, 개인 키는 절대 기기 밖으로 나가지 않는다. 이후 로그인할 때는 서버가 공개 키로 생성한 '챌린지(Challenge, 일종의 암호화된 문제)'를 사용자 기기에 보내고, 기기가 개인 키로 챌린지에 서명(Sign)해 돌려보내는 방식으로 신원을 증명한다.

사용자는 이 과정에서 기기 잠금 해제 방식(지문, 얼굴 인식, PIN 등)만 사용하면 된다. 비밀번호를 기억하거나 입력할 필요가 없다.

보안 원리: 왜 비밀번호보다 안전한가

패스키가 비밀번호보다 근본적으로 안전한 이유는 구조적인 차이에 있다.

서버 해킹에 강함

비밀번호 기반 시스템에서는 서버가 사용자 비밀번호(또는 해시값)를 저장한다. 서버가 해킹당하면 수백만 명의 비밀번호가 한꺼번에 유출된다. 패스키에서 서버는 공개 키만 저장한다. 공개 키가 유출돼도 개인 키 없이는 아무것도 할 수 없다.

피싱(Phishing) 완벽 차단

비밀번호 피싱의 핵심은 가짜 사이트에 비밀번호를 입력하게 유도하는 것이다. 패스키는 도메인에 묶여 있어 특정 도메인에서 생성된 패스키는 다른 도메인에서 절대 작동하지 않는다. 가짜 사이트에서는 패스키 로그인 자체가 불가능하다.

자격증명 재사용 공격 차단

많은 사람들이 여러 사이트에 같은 비밀번호를 쓴다. 한 사이트에서 유출되면 연쇄적으로 다른 계정도 털린다. 패스키는 각 서비스마다 별도의 키 쌍이 생성되므로 이 문제 자체가 존재하지 않는다.

기술 표준: FIDO2와 WebAuthn

패스키는 FIDO2 표준에 기반한다. FIDO2는 WebAuthn(Web Authentication API)과 CTAP(Client-to-Authenticator Protocol) 두 가지 프로토콜로 구성된다.

WebAuthn은 브라우저와 웹 서버 간의 통신을 정의하고, CTAP는 브라우저와 외부 인증기(스마트폰, USB 보안 키 등) 간의 통신을 담당한다. 애플, 구글, 마이크로소프트 등 주요 플랫폼이 모두 이 표준을 지원하면서 기기 간 호환성 문제가 크게 해소됐다.

동기화 패스키(Synced Passkey)는 클라우드를 통해 같은 계정의 여러 기기에서 패스키를 공유할 수 있게 한다. 애플은 iCloud 키체인, 구글은 Google Password Manager, 마이크로소프트는 Windows Hello를 통해 각각 동기화를 지원한다.

적용 현황

FIDO 얼라이언스 기준, Amazon, Google, Nintendo, Intuit, Mercari, Microsoft 등 수십 개의 글로벌 주요 서비스가 패스키를 지원한다. 국내에서도 네이버, 카카오 등이 패스키 도입을 진행하거나 완료했다.

마이크로소프트는 2025년부터 Windows 로그인에서 비밀번호를 아예 기본 옵션에서 제거하는 방향으로 나아가고 있다(디지털포커스, 2025). 구글도 구글 계정의 기본 로그인 방식으로 패스키를 우선 제공하고 있다.

속도 면에서도 우수하다. FIDO 얼라이언스의 연구에 따르면 패스키 인증은 비밀번호+기존 MFA(다중 인증) 조합보다 14배 빠르다.

한계와 과제

아직 해결되지 않은 과제도 있다.

기기 분실 시 복구 문제가 대표적이다. 스마트폰을 잃어버리거나 기기가 고장났을 때 패스키에 어떻게 접근할지는 플랫폼마다 복구 절차가 다르고 아직 표준화되지 않은 부분이 있다.

기업용 환경에서의 관리도 과제다. 직원이 퇴사했을 때 해당 직원의 패스키를 어떻게 폐기하고 계정 접근을 차단하는지, 여러 기기를 쓰는 직원의 패스키를 중앙에서 어떻게 관리할지는 아직 표준이 정립 중이다.

그럼에도 불구하고 패스키는 '비밀번호의 종말'을 현실로 만들 가장 유력한 기술로 평가받는다. 이미 수십억 명이 사용하는 플랫폼들이 일제히 도입을 서두르고 있다는 사실이 이를 방증한다.

패스키가 뭔데

비밀번호 대신 지문이나 얼굴 인식으로 로그인하는 방식인데, 그냥 생체 인증이랑 다름. 뒤에 공개 키 암호화라는 수학적 원리가 있음.

로그인할 때 서버가 암호화된 문제(챌린지)를 보내면, 내 기기가 지문이나 얼굴 인식으로 잠금 해제하고 개인 키로 그 문제에 서명해서 돌려보내는 식으로 작동함. 비밀번호 자체가 서버에도, 인터넷에도 전달되지 않음.

비밀번호보다 뭐가 나음

피싱 사이트에서 비밀번호 털리는 거 원천 차단: 패스키는 특정 도메인에만 작동해서 가짜 사이트에선 아예 로그인이 안 됨
서버 해킹당해도 안전: 서버엔 공개 키만 있고, 진짜 키는 내 폰 안에만 있음
다른 사이트 비밀번호 같이 쓰다가 연쇄 털리는 것도 없음
인증 속도가 비밀번호+OTP 조합보다 14배 빠름 (FIDO 얼라이언스 연구)

어디서 쓸 수 있냐

구글, 아마존, 닌텐도, 마이크로소프트, 네이버, 카카오 등에서 이미 지원함. 마이크로소프트는 2025년부터 Windows 로그인에서 비밀번호를 기본 옵션에서 아예 빼는 방향으로 가고 있음.

단점은 없냐

폰 잃어버리면 복구가 귀찮을 수 있음. 아직 플랫폼마다 복구 방법이 달라서 표준화가 진행 중임.

패스키는 어떻게 작동하나요?

패스키를 쓰면 지문이나 얼굴 인식만으로 로그인할 수 있어요. 마치 스마트폰 잠금 해제하듯이요. 비밀번호를 기억하거나 입력할 필요가 없어서 훨씬 편리해요.

왜 더 안전한가요?

비밀번호는 나쁜 사람이 훔쳐갈 수 있어요. 하지만 패스키는 내 스마트폰 안에만 있어서 인터넷으로 전달되지 않아요. 그래서 훔쳐갈 수가 없답니다.

어디서 쓸 수 있나요?

구글, 아마존, 닌텐도 같은 세계적으로 유명한 서비스들에서 이미 패스키를 쓸 수 있어요. 앞으로는 더 많은 곳에서 비밀번호 대신 패스키를 쓰게 될 거예요.

더 알아보기: 지문은 왜 사람마다 다를까요?

Passkey

The era may arrive where encountering the message "Forgot Your Password?" marks your last interaction with passwords online. Passkeys represent a revolutionary authentication technology poised to fundamentally transform the long-standing password system that has underpinned internet security for decades. By eliminating passwords entirely, this approach promises robust security, already gaining traction among leading global platforms like Google, Apple, Microsoft, and Amazon.

What is Passkey?

Passkeys leverage public key cryptography to enable password-less authentication, adhering to standards developed by the FIDO (Fast IDentity Online) Alliance and W3C (World Wide Web Consortium), specifically FIDO2/WebAuthn protocols. Here’s how it works:

When a user initially registers a passkey with a service, their device generates a pair of cryptographic keys—a public key stored on the service server and a private key retained solely within the device. During subsequent logins, the server sends a cryptographic challenge to the user’s device, which responds using the private key to authenticate without needing to remember or input a password. Authentication relies solely on device biometric methods like fingerprint or facial recognition, PINs, etc.

Security Principles: Why is Passkey More Secure Than Passwords?

The inherent security advantage of passkeys over traditional passwords stems from fundamental structural differences:

Robust Against Server Hacks

In password-based systems, servers store user passwords or their hash values, making them vulnerable to large-scale breaches if compromised. Passkeys, however, store only public keys on servers; private keys remain device-specific, rendering them impervious to key exposure threats.

Eliminates Phishing Vulnerabilities

Phishing attacks often exploit users entering passwords on fake sites. Passkeys are domain-bound, meaning a passkey generated for one domain cannot authenticate on another, effectively thwarting phishing attempts entirely.

Prevents Credential Reuse Attacks

Common practice involves using identical passwords across multiple sites, risking widespread compromise if one password leaks. Passkeys generate unique key pairs for each service, eliminating this vulnerability entirely.

Technical Standards: FIDO2 and WebAuthn

Passkeys are grounded in the FIDO2 standard, encompassing two core protocols: WebAuthn (Web Authentication API) and CTAP (Client-to-Authenticator Protocol). WebAuthn defines communication between browsers and web servers, while CTAP manages interactions between browsers and external authenticators like smartphones or USB security keys. Major platforms such as Apple, Google, and Microsoft support this standard, significantly enhancing cross-device compatibility.

Synchronized Passkeys (Synced Passkeys) enable sharing of passkeys across multiple devices linked by the same account via cloud services. Apple’s iCloud Keychain, Google’s Google Password Manager, and Microsoft’s Windows Hello facilitate this synchronization.

Current Adoption

According to FIDO Alliance metrics, numerous major global services including Amazon, Google, Nintendo, Intuit, Mercari, and Microsoft have adopted passkeys. In Korea, platforms like Naver and Kakao are also implementing or have completed passkey integration. Microsoft aims to phase out password requirements entirely for Windows logins by 2025, while Google prioritizes passkeys as the default login method for Google accounts.

Performance evaluations by FIDO Alliance indicate that passkey authentication is up to 14 times faster than traditional password methods combined with multi-factor authentication (MFA).

Challenges and Future Tasks

Despite its promise, passkey technology faces unresolved challenges:

Device Loss Recovery

Recovery procedures for lost devices remain inconsistent across platforms, posing a significant hurdle.

Enterprise Management

Effective management of passkeys in corporate environments, particularly concerning employee turnover and centralized device control, remains an evolving area requiring standardized protocols.

Nevertheless, passkeys stand as the most promising technology to herald the end of traditional passwords, evidenced by widespread adoption across major platforms globally.