비밀번호 수시로 바꾸라고 할게요. 어떤 웹사이트는 비밀번호에 숫자를 섞으라고 하고 어떤 곳은 거기에 더해 특수기호도 넣어서 만들라고 합니다. 여기 비밀번호를 8자 이상, 어떤 곳은 10자 이상 등 웹사이트나 앱 서비스에서 요구하는 비밀번호 규정이 제각각이기 때문에 수시로 비밀번호 찾기로 찾고 있죠. 잘 들리는 곳은 상관 없지만 한 달에 한 번, 1년에 한 번 정도 들리는 곳의 비밀번호 찾기는 이제 일상이 되었습니다. 이처럼 비밀번호 요구 조건이 복잡해진 이유는 수없이 발생한 웹사이트 앱 서비스 해킹 사건 때문입니다. 그럼에도 지금은 많은 해킹 사건 이후 불필요한 개인정보를 요구하지 않고 개인정보도 장기 미접속하면 계정 삭제를 하거나 잠가버리는 방식으로 대처하고 있습니다. 쉽게 접속이 안 돼요? 예를 들어 지문인증을 통해 서비스에 쉽게 접근하면 얼마나 좋을까요? 이에 보안이 강한 아이폰을 만드는 애플이 나섰습니다.
6월 7일, 애플은 매년 연례 개발자 이벤트 「WWDC22」를 개최했습니다. 여기서 애플은 터치ID와 페이스ID라는 지문인식과 얼굴인식을 사용해 비밀번호 없이 신분을 인식하는 새로운 서비스 ‘패스키(Passkeys) 데모’를 공개했습니다.
패스키를 사용하면 아이디 입력 자리에 이메일 주소를 입력하고 페이스ID나 터치ID로 인증하면 로그인할 수 있습니다. 아이폰은 지문인식이나 얼굴인증이 가능하다고 해도 맥북은 전면 카메라로 인증하는 것 같습니다.
인기글
웹사이트에서 패스키를 작성하면 해상 사이트에서만 사용할 수 있는 전자키를 만듭니다. 이 전자 키는 아이폰과 맥북 장치 내부에 저장됩니다. 따라서 기존 아이디 비밀번호 형식의 접속 방법은 해커가 피싱을 통해 아이디와 비밀번호를 추출해 나갑니다. 예를 들어 네이버가 해킹당하거나 외부에서 접속하려고 한 적이 있다며 비밀번호를 바꾸라는 메일을 보냅니다. 그런데 이 메일이 해커가 보낸 메일에서 링크를 눌러 네이버 아이디와 비밀번호를 입력하면 실시간으로 해커 서버에 저장돼 자신의 아이디와 비밀번호가 해킹됩니다. 하지만 패스키는 아이폰과 맥북 내부에 전자키 형태로 저장되기 때문에 비밀번호 자체가 없습니다. 따라서 내 신체 정보를 이용하기 위해 친구들에게 아이디와 비밀번호를 알려주고 나 대신 접속하라고 말할 수도 없습니다. 오로지 자신의 지문이나 얼굴만으로 잠금 해제가 가능합니다.
정확하게 패스키는 아이폰, 맥북, 아이패드에 저장되지만 iCloud 키체인에 백업되며 엔드 투 엔드 암호화를 통해 맥북, 아이패드, 아이폰, 애플 TV와 동기화할 수 있습니다. 이 동기화가 애플 제품의 매력입니다. 삼성전자가 끊임없이 노력하고 있지만 아직 애플을 따라가지 못하고 있네요.
이 패스키는 새로운 인증 기술 표준화 단체인 FIDO 얼라이언스에 참여하는 구글과 MS와의 협력을 통해 개발되었습니다. 그렇기 때문에 패스키는 아이폰에서만 사용할 수 있는 것이 아니라 안드로이드 폰이나 PC에서도 사용할 수 있습니다. 이 패스키는 웹사이트나 앱을 인증할 때 비밀번호가 아닌 공개키 암호화를 사용하는 규격인 웹인증 API인 WebAuthn을 기반으로 합니다. 따라서 비밀번호 유출 사고나 해킹 가능성은 매우 낮습니다.기존에는 ID 비밀번호를 입력하였으나 패스키가 적용된 웹사이트는 위와 같이 QR코드가 표시되며, 이를 스마트폰으로 촬영하면 지문인증이나 얼굴인증을 요구합니다. 따라서 비밀번호를 기억할 필요는 없습니다. 오히려 이게 더 불편할 수도 있어요. 다만 자주 접속하는 웹사이트는 저희가 더 불편하지만 가끔 접속해서 비밀번호를 잊어버리고 비밀번호를 찾는 곳은 이게 좋을 거예요. 애플, 구글, MS사는 2023년 각 회사 플랫폼에 새로운 비밀번호가 없는 인증 표준 도입을 목표로 하고 있습니다. 하루빨리 왔으면 좋겠네요.