“싱가포르, 피싱 방지형 인증으로 전환 중”
전문가들 “정교해진 피싱에 ‘패스키’ 해법”
[싱가포르=보안뉴스 강현주 기자] AI로 인해 고도화된 피싱에 효과적으로 대응하기 위해 설계 단계부터 보안성을 갖춘 ‘패스키’로의 전환이 필요하다는 목소리가 나왔다.
2일부터 이틀간 FIDO 얼라이언스(FIDO Alliance)가 그랜드 하얏트 싱가포르에서 개최하는 ‘어센티케이트 APAC 2026’(Authenticate APAC 2026)에서 로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA: Cyber Security Agency of Singapore) 사이버보안 엔지니어링센터 디렉터는 기조 연설을 통해 AI 시대 ‘피싱 방지형 인증’으로 ‘패스키’를 강조했다.
▲로드니 탄 싱가포르 사이버보안청 디렉터가 발표하고 있다. [출처: FIDO 얼라이언스]
인증 단계 늘면 보안성도 증가? “No”
사이버보안 업계는 사용자들에게 강력한 비밀번호 설정이나 다요소 인증(MFA) 활성화를 주요 보안 수단으로 권장해 왔다. 로드니 탄 청장은 더 이상 이 같은 방식으로는 많은 개인과 조직들이 피싱을 극복하기 어려워진 현실을 지적했다.
로드니 탄 디렉터은 “이용자가 과거보다 복잡해진 인증체계를 갖췄다 해도 공격자는 인증 과정 전체를 탈취한다”고 말했다.
그는 “단순히 인증 절차나 단계를 더 복잡하게 늘리는 게 반드시 더 높은 보안을 의미하지는 않으며, 복잡한 절차는 오히려 사용자가 실수를 할 여지를 더 많이 만들 뿐”이라며 “어떻게 사용자가 인증을 더 많이 하게 할지가 아니라, 공격자가 사용자를 속이고 가로채거나 재사용할 수 있는 입력형 인증 메커니즘에 대한 의존도를 근본적으로 낮추는 패러다임 전환이 필요하다”고 짚었다.
특히 인공지능(AI) 기술의 발전은 소셜 엔지니어링 및 피싱 공격의 장벽을 급격히 떨어뜨리고 있다고 그는 강조했다.
로드니 탄 디렉터는 “AI 덕분에 해커들이 만드는 피싱 캠페인은 전 세계 다양한 언어와 지역에서 더 정교하고 개인화돼 대규모로 복사 및 확산되고 있다”며 “공격자들은 보안 통제 장치와 사용자 행동 사이의 틈새를 노리며 실시간으로 대응 방식을 바꾼다”고 했다.
고정된 자격 증명을 훔치는 것을 넘어, 사용자가 복잡한 인증을 거치고 난 뒤의 라이브 세션을 가로채거나 이미 인증된 토큰을 탈취하는 방식으로 진화했다는 게 그의 설명이다.
AI에 보안 전문가도 반은 속아... 설계 단계부터 ‘패스키’
그는 “이에 따라 싱가포르는 문자 메시지 인증(SMS OTP) 같은 약한 방식에 대한 의존도를 줄이고 있다며 “다음 단계는 설계 단계부터 도용 가능성을 차단하는 패스키나 디바이스 바운드 자격증명(Device-bound-Credentials) 같은 ‘피싱 방지형 인증’”이라고 말했다.
패스키는 글로벌 인증 표준 기구 FIDO 얼라이언스의 표준 기술을 기반으로 하며, 생체인증 등을 통해 비밀번호를 대체한다. 디바이스 바운드 자격증명은 스마트폰이나 PC가 웹사이트 도메인의 진위 여부를 기술적으로 식별해 암호화된 토큰을 주고받는 형태로 구현된다.
인증을 위한 암호 키가 서버가 아닌 이용자의 특정 기기 내부에만 안전하게 결합돼 저장되는 구조다. 사용자가 실수로 가짜 사기 사이트에 접속하더라도 기기가 주소 검증을 거쳐 암호를 보내지 않아 피싱과 가위채기 공격을 원천 차단할 수 있다.
로드니 탄 디렉터는 “노후화된 시스템과 복잡한 기기 환경 등으로 인해 이러한 새로운 인증으로의 전환은 업계 전반에서 점진적이고 장기적으로 진행될 것”이라고 밝혔다.
이어 앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 최고경영자(CEO)도 기조 연설을 통해 AI 시대 고도화된 사이버 공격의 해법으로 패스키의 중요성을 제시했다.
앤드류 시키어 CEO는 “대형언어모델(LLM)을 통해 피싱 캠페인 자동화 비용이 95% 감소했고 개인화 수준은 200배 높아질 수 있다”며 “챗GPT 등장 이후 악성 피싱 이메일이 4151% 증가했으며 AI 기반 스피어피싱 공격이 숙련된 보안 전문가들을 대상으로 47%의 성공률을 달성했다”고 밝혔다.
그는 “인증 체계가 머리로 기억하는 비밀번호 같은 ‘지식 기반’에서 이용자 기기, 암호키 등으로 본인 여부를 ‘소지 기반’으로 전환해야 한다”며 이를 구현하는 패스키의 확산이 필요하다고 강조했다.
[강현주 기자(jjoo@boannews.com)]
전문가들 “정교해진 피싱에 ‘패스키’ 해법”
[싱가포르=보안뉴스 강현주 기자] AI로 인해 고도화된 피싱에 효과적으로 대응하기 위해 설계 단계부터 보안성을 갖춘 ‘패스키’로의 전환이 필요하다는 목소리가 나왔다.
2일부터 이틀간 FIDO 얼라이언스(FIDO Alliance)가 그랜드 하얏트 싱가포르에서 개최하는 ‘어센티케이트 APAC 2026’(Authenticate APAC 2026)에서 로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA: Cyber Security Agency of Singapore) 사이버보안 엔지니어링센터 디렉터는 기조 연설을 통해 AI 시대 ‘피싱 방지형 인증’으로 ‘패스키’를 강조했다.
▲로드니 탄 싱가포르 사이버보안청 디렉터가 발표하고 있다. [출처: FIDO 얼라이언스]
인증 단계 늘면 보안성도 증가? “No”
사이버보안 업계는 사용자들에게 강력한 비밀번호 설정이나 다요소 인증(MFA) 활성화를 주요 보안 수단으로 권장해 왔다. 로드니 탄 청장은 더 이상 이 같은 방식으로는 많은 개인과 조직들이 피싱을 극복하기 어려워진 현실을 지적했다.
로드니 탄 디렉터은 “이용자가 과거보다 복잡해진 인증체계를 갖췄다 해도 공격자는 인증 과정 전체를 탈취한다”고 말했다.
그는 “단순히 인증 절차나 단계를 더 복잡하게 늘리는 게 반드시 더 높은 보안을 의미하지는 않으며, 복잡한 절차는 오히려 사용자가 실수를 할 여지를 더 많이 만들 뿐”이라며 “어떻게 사용자가 인증을 더 많이 하게 할지가 아니라, 공격자가 사용자를 속이고 가로채거나 재사용할 수 있는 입력형 인증 메커니즘에 대한 의존도를 근본적으로 낮추는 패러다임 전환이 필요하다”고 짚었다.
특히 인공지능(AI) 기술의 발전은 소셜 엔지니어링 및 피싱 공격의 장벽을 급격히 떨어뜨리고 있다고 그는 강조했다.
로드니 탄 디렉터는 “AI 덕분에 해커들이 만드는 피싱 캠페인은 전 세계 다양한 언어와 지역에서 더 정교하고 개인화돼 대규모로 복사 및 확산되고 있다”며 “공격자들은 보안 통제 장치와 사용자 행동 사이의 틈새를 노리며 실시간으로 대응 방식을 바꾼다”고 했다.
고정된 자격 증명을 훔치는 것을 넘어, 사용자가 복잡한 인증을 거치고 난 뒤의 라이브 세션을 가로채거나 이미 인증된 토큰을 탈취하는 방식으로 진화했다는 게 그의 설명이다.
AI에 보안 전문가도 반은 속아... 설계 단계부터 ‘패스키’
그는 “이에 따라 싱가포르는 문자 메시지 인증(SMS OTP) 같은 약한 방식에 대한 의존도를 줄이고 있다며 “다음 단계는 설계 단계부터 도용 가능성을 차단하는 패스키나 디바이스 바운드 자격증명(Device-bound-Credentials) 같은 ‘피싱 방지형 인증’”이라고 말했다.
패스키는 글로벌 인증 표준 기구 FIDO 얼라이언스의 표준 기술을 기반으로 하며, 생체인증 등을 통해 비밀번호를 대체한다. 디바이스 바운드 자격증명은 스마트폰이나 PC가 웹사이트 도메인의 진위 여부를 기술적으로 식별해 암호화된 토큰을 주고받는 형태로 구현된다.
인증을 위한 암호 키가 서버가 아닌 이용자의 특정 기기 내부에만 안전하게 결합돼 저장되는 구조다. 사용자가 실수로 가짜 사기 사이트에 접속하더라도 기기가 주소 검증을 거쳐 암호를 보내지 않아 피싱과 가위채기 공격을 원천 차단할 수 있다.
로드니 탄 디렉터는 “노후화된 시스템과 복잡한 기기 환경 등으로 인해 이러한 새로운 인증으로의 전환은 업계 전반에서 점진적이고 장기적으로 진행될 것”이라고 밝혔다.
이어 앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 최고경영자(CEO)도 기조 연설을 통해 AI 시대 고도화된 사이버 공격의 해법으로 패스키의 중요성을 제시했다.
앤드류 시키어 CEO는 “대형언어모델(LLM)을 통해 피싱 캠페인 자동화 비용이 95% 감소했고 개인화 수준은 200배 높아질 수 있다”며 “챗GPT 등장 이후 악성 피싱 이메일이 4151% 증가했으며 AI 기반 스피어피싱 공격이 숙련된 보안 전문가들을 대상으로 47%의 성공률을 달성했다”고 밝혔다.
그는 “인증 체계가 머리로 기억하는 비밀번호 같은 ‘지식 기반’에서 이용자 기기, 암호키 등으로 본인 여부를 ‘소지 기반’으로 전환해야 한다”며 이를 구현하는 패스키의 확산이 필요하다고 강조했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
