패스키, 온라인 보안에 대한 생각의 진화에 따른 미래 인증 방식
2022년 4분기 전세계 이용자 계정 탈취 공격 전년동기 대비 967% 증가
생성형 AI 이용한 피싱 메일 등 해킹 공격, 더욱 정교해져

[쿠알라룸푸르= 보안뉴스 엄호식 기자] 패스키는 비밀번호 대신 공개키 암호화 알고리즘을 통해 인증 및 로그인을 가능하게 하는 글로벌 표준(Fido Alliance) 기술로 비밀번호를 설정하거나 외울 필요 없이 이용하는 디바이스가 지원하는 인증방식(생체인증, 핀 번호 등)을 통해 간편하게 로그인할 수 있다.

구글(Google)의 크리스티안 브랜드 프로덕트 매니저는 FIDO APAC 2024 서밋에서 4억개 이상의 구글 계정에서 10억회 이상 패스키 인증 방식으로 통해 접속했으며, 이를 통해 이용자들은 다양한 플랫폼을 넘나들며 더 간편하고 빠르게 로그인하고 있다고 전했다. 또한 피싱(Phshing)이 여전히 계정을 손상시키는 가장 큰 방법이며 이를 해결하는 훌륭한 기술적 솔루션이 바로 ‘패스키’라고 강조하는 그를 만나 구글의 패스키 도입과 패스키에 대해 궁금한 점을 물어봤다.


▲크리스티안 브랜드(Christiaan Brand) 구글(Google) 프로덕트 매니저[사진=보안뉴스]

구글은 패스키 도입과 확산에 힘을 쏟고 있습니다. 이유가 궁금합니다.
우리의 목표는 세상은 더 안전하게 만드는 것이고 우리는 그것을 인증이나 서명이라고 부릅니다. 사용자가 안전하다고 느끼게 되면 온라인에서 더 많은 비즈니스를 수행할 수 있고 이는 구글을 포함한 모든 온라인 서비스 회사에 좋은 일입니다. 구글을 통해 패스키(Passkey)가 보안이나 사용성에 있어 비밀번호보다 뛰어나다는 것을 경험한다면, 정부와 은행을 비롯한 다양한 온라인 서비스와 조직에서도 패스키를 적용할 것으로 예상합니다.

구글이 패스키를 사용하라고 강요하는 것이 아니라 온라인 보안에 대한 생각의 진화에서 패스키가 미래의 인증 방식임을 사용자에게 보여주고 느끼게 하고 싶습니다.

구글 이용자 모두 패스키를 사용하나요? 패스키 외에 보안 강화를 위해 무엇을 사용하고 있나요?
전 세계적으로 패스키를 얼마나 사용하고 있는지 정확하게 알 수 없지만, 현재 4억명 이상의 사용자가 구글을 이용하고 있습니다. 또한 패스키가 일반 사용자를 위한 사용자 편의성과 보안 사이에 가장 좋은 절충안이라고 생각하지만, 패스키보다 보안성이 낮은 SMS 인증이나 비밀번호 인증 등도 제공하고 있습니다. 바라기는 모든 사용자가 보안성이 높은 패스키로 전환해 사용했으면 하는 바람입니다.

지난해 행사뿐만 아니라 올해에도 FIDO는 피싱에 대해 굉장히 강조하고 있습니다. 특별한 이유가 있나요?
피싱의 증가는 생성형 AI와 밀접한 관계가 있습니다. 앤드류 시키어 FIDO Alliance CEO & Executive Director의 프레젠테이션에서 보았던 슬래시넥스트의 자료에 따르면 2022년 4분기 전세계 이용자 계정 탈취 공격은 전년동기 대비 967% 증가했으며, 피싱메일 발송 건수도 1,265% 늘었습니다. 그 이유는 생성형 AI가 공격적인 방향으로도 사용될 수 있으며, 이를 이용한 해킹이 더욱 정교해졌기 때문입니다.

기업의 패스키 도입에 가장 큰 걸림돌은 무엇이라고 생각하나요?
우리는 패스키 채택을 확산하기 위해 많은 회사와 협력하고 있습니다. 여기에는 아마존(Amazon)이나 메타(Meta) 등도 포함됩니다. 하지만 은형 결제 등의 분야는 규제가 있는 분야에서는 패스키 도입이 쉽지 않습니다. 빅테크 분야도 마찬가지입니다.

이러한 장벽을 낮추는 방법은 우리가 먼저 도입해 문제가 없이 사용할 수 있다는 사례를 만드는 것이라고 생각합니다. 또한 결제나 빅테크 등에는 각 대륙이나 나라별로 반드시 적용돼야 하는 표준이 있습니다. 이러한 표준이 FIDO와 패스키도 지원되도록 협력하는 것이 우리의 일입니다.

패스키 도입이 가장 활발한 지역은 어디인가요?
미국을 중심으로 한 북미 지역이 가장 활발하다고 생각합니다. 그리고 일본과 한국을 중심으로 한 아시아를 꼽을 수 있으며, 다음으로는 유럽이라고 생각합니다.


▲발표자로 나선 크리스티안 브랜드[사진=보안뉴스]

구글과 본인에게 FIDO는 어떤 존재인지 간단하게 정의를 내려볼 수 있을까요?
아주 간단하게 정의한다면 편의성이라고 하고 싶습니다. 이는 저와 구글의 생각이 그리 다르지 않을 것으로 생각합니다.

패스키는 사용자가 원하는 편의성과 그들이 마땅히 누리고 보장받아야 하는 보안을 제공합니다. 그리고 패스키는 인증을 함과 더불어 로깅을 간소화하는데 중점을 두는 동시에 보안을 강화하는 것이 핵심입니다.

사용자에게 가장 우려하는 부분을 묻는다면 보안이라고 말할 수 있겠지만, 사용자에게 자신을 보호하기 위해 더 많은 절차와 작업을 요청하면 그렇게 하지 않을 가능성이 높습니다. 패스키는 이러한 번거로움을 줄이고 보안 수준은 높이는 황금 경로와 같습니다.

또한 한 사람이 여러 개의 구글 계정을 이용하는 경우라도 서로 패스키를 연결하지 않습니다. 모두 별도로 취급하며 실제로는 같은 사용자인지도 알 수 없습니다. 물론 사용자가 원하는 경우 연결할 수 있지만 권하고 싶지 않습니다.

일각에서는 패스키가 클라우드에 저장되기 때문에 해커의 공격을 받으면 위험할 수 있지 않느냐는 우려의 목소리가 있습니다. 이것이 패스키의 유일한 약점이며 이를 보완하기 위해 다중인증 체계를 거치도록 해 보안성을 높이고 있습니다.

보안 강화를 위한 구글만의 정책이나 문화가 있다면?
구글은 2013년부터 모든 직원에게 회사 인증 프로세스의 일부로 물리적 보안 키를 사용하도록 하고 있습니다. 이 때문에 메일에 로그인하거나 구글 기기 또는 노트북 등의 장치를 사용하고 싶다면 물리적 보안 키를 이용해 인증해야 합니다.

문제는 오랫동안 물리적 보안 키를 사용하다 보니 패스키가 물리적 보안키만큼 안전하다고 확신을 주는 것이 더 어려웠습니다. 그래서 패스키와 물리적 보안키 중 원하는 것을 사용하도록 하고 있습니다.
[말레이시아 쿠알라룸푸르= 엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>