패스워드 없애는 3단계 전략 제시
상호 운용성 강화해 구글 등 파트너 생태계 확대
[싱가포르=보안뉴스 강현주 기자] “패스키를 도입했다 해도 패스워드 로그인 기능이 남아있다면 튼튼한 앞문을 두고 차고 문을 열어 둔 것과 같습니다. 패스워드를 완전히 제거해 온전한 피싱 저항성을 갖추길 권합니다.”
2일부터 FIDO 얼라이언스(FIDO Alliance) 개최로 그랜드 하얏트 싱가포르에서 열리고 있는 ‘어센티케이트 APAC 2026’(Authenticate APAC 2026)에서 리치 몬델로(Richy Mondello) 애플 수석 소프트웨어 엔지니어는 ‘패스키 최대한 활용하기’(Getting the Most out of Passkeys)를 주제로 기조연설을 하며 이 같이 밝혔다.
▲리치 몬델로 애플 수석 소프트웨어 엔지니어가 발표하고 있다. [출처: FIDO 얼라이언스]
“궁극적으로 패스워드 없는 걸 ‘기본 값’으로
몬델로 수석은 패스워드의 한계를 극복하기 위한 단계적 전략과 함께 구글 등 글로벌 테크 생태계와의 협력 성과를 공유했다.
몬델로 수석은 “인류가 온라인 계정의 피싱 위협에 노출되고, 패스워드 재설정이나 번거로운 다중 요소 인증(MFA)을 처리하느라 낭비한 시간은 천문학적”이라며 “패스워드는 설계 단계부터 안전하지 않으며, 인간에게 복잡하고 고유한 비밀번호를 생성하고 기억하도록 요구하는 것 자체가 실패할 수밖에 없는 가혹한 과제”라고 말했다.
그는 “패스키를 도입하더라도 우회할 수 있는 패스워드 로그인 메커니즘이 남아있다면, 이는 튼튼한 앞문을 두고 차고 문을 열어둔 것과 같아 온전한 피싱 저항성을 누릴 수 없다”고 강조했다. 이어 패스워드를 완전히 제거하기 위한 전략을 제시했다.
몬델로 수석은 △옵션 제공 △넛지 발송 △기본값 전환 등 3단계 전략을 소개했다.
옵션 제공은 사용자가 서비스 설정에 수동으로 진입해 기존 패스워드를 직접 삭제할 수 있도록 선택(Opt-in)을 제공하는 것이다. 넛지 발송은 패스키를 반복적으로 성공적으로 사용하면서 패스워드는 더 이상 사용하지 않는 이용자들을 대상으로 패스워드를 완전히 삭제하도록 유도하는 알림(넛지) 목표일을 설정해 실행하는 단계다. 마지막 단계인 기본값 전환은 패스워드 없는 계정을 기본값으로 제공하고 원치 않는 사람만 유지하도록 하는 방식(Opt-out)으로 전환하는 단계다.
몬텔로 수석은 “애플은 아이폰, 아이패드, 맥 등 자사 플랫폼에 사용자 편의성과 보안성을 모두 잡은 혁신적인 패스키 API 기술들을 성공적으로 적용했다”며 “FIDO 얼라이언스의 최신 통계에 따르면 패스키 적용 시 로그인 성공률은 30% 증가했으며, 로그인 소요 시간은 평균 73% 감소했다”고 밝혔다.
애플 이용자는 패스키가 계정 생성 API를 통해 회원가입 시 애플 계정이나 SIM 카드 등 신뢰할 수 있는 소스에서 이메일, 전화번호 등의 정보를 자동으로 채워주는 편리함을 누린다. 사용자는 패스워드를 만들 필요 없이 페이스 ID 인증 등 단 한 단계만으로 안전한 패스키 기반 새 계정을 생성할 수 있다.
몬델로 수석은 ‘자동 패스키 업그레이드’의 이점을 강조했다. 그는 “기존 패스워드 사용자가 로그인할 때 서비스를 가로막는 유도 화면 없이, 신뢰할 수 있는 자격 증명 관리자와 연동해 뒷단에서 자동 업그레이드 해준다”고 설명했다.
페이스 ID로 구글도 연동... “패스키 생태계 확대”
몬델로 수석은 특히 패스키가 진정한 가치는 특정 플랫폼에 종속되지 않고 사용자가 원하는 소프트웨어와 기기로 자격 증명을 자유롭게 이동할 수 있는 ‘데이터 상호 운용성’에 있다고 강조했다.
그는 “자격 증명을 전송하기 위해 과거에는 위험한 텍스트 파일을 수동으로 내보내고 가져와야 했으나, 이는 해커가 데이터를 탈취할 수 있는 취약점이 있었다”며 “이를 해결하기 위해 애플은 FIDO 얼라이언스 내부의 다양한 기업들과 긴밀히 협력해 왔으며, 2024년 오픈 스펙인 ‘자격 증명 교환 포맷’(Credential Exchange Format)을 발표했다”고 말했다.
이어 “이 협업을 바탕으로 사용자가 아이폰에서 안드로이드 기기로 전환할 때 어떠한 중간 파일도 생성하지 않고 페이스 ID 인증을 통해 애플 패스키 데이터를 구글로 직접적이고 안전하게 전송할 수 있게 됐다”며 “이 외에도 애플은 다양한 제 3자 앱들과 연동을 완벽히 보장하며, 마이크로소프트와 틱톡 등과 함께 초기 계정 생성 단계부터 패스워드를 배제하는 흐름을 주도하며 글로벌 피싱 저항성 생태계를 견고히 구축해 나가고 있다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
상호 운용성 강화해 구글 등 파트너 생태계 확대
[싱가포르=보안뉴스 강현주 기자] “패스키를 도입했다 해도 패스워드 로그인 기능이 남아있다면 튼튼한 앞문을 두고 차고 문을 열어 둔 것과 같습니다. 패스워드를 완전히 제거해 온전한 피싱 저항성을 갖추길 권합니다.”
2일부터 FIDO 얼라이언스(FIDO Alliance) 개최로 그랜드 하얏트 싱가포르에서 열리고 있는 ‘어센티케이트 APAC 2026’(Authenticate APAC 2026)에서 리치 몬델로(Richy Mondello) 애플 수석 소프트웨어 엔지니어는 ‘패스키 최대한 활용하기’(Getting the Most out of Passkeys)를 주제로 기조연설을 하며 이 같이 밝혔다.
▲리치 몬델로 애플 수석 소프트웨어 엔지니어가 발표하고 있다. [출처: FIDO 얼라이언스]
“궁극적으로 패스워드 없는 걸 ‘기본 값’으로
몬델로 수석은 패스워드의 한계를 극복하기 위한 단계적 전략과 함께 구글 등 글로벌 테크 생태계와의 협력 성과를 공유했다.
몬델로 수석은 “인류가 온라인 계정의 피싱 위협에 노출되고, 패스워드 재설정이나 번거로운 다중 요소 인증(MFA)을 처리하느라 낭비한 시간은 천문학적”이라며 “패스워드는 설계 단계부터 안전하지 않으며, 인간에게 복잡하고 고유한 비밀번호를 생성하고 기억하도록 요구하는 것 자체가 실패할 수밖에 없는 가혹한 과제”라고 말했다.
그는 “패스키를 도입하더라도 우회할 수 있는 패스워드 로그인 메커니즘이 남아있다면, 이는 튼튼한 앞문을 두고 차고 문을 열어둔 것과 같아 온전한 피싱 저항성을 누릴 수 없다”고 강조했다. 이어 패스워드를 완전히 제거하기 위한 전략을 제시했다.
몬델로 수석은 △옵션 제공 △넛지 발송 △기본값 전환 등 3단계 전략을 소개했다.
옵션 제공은 사용자가 서비스 설정에 수동으로 진입해 기존 패스워드를 직접 삭제할 수 있도록 선택(Opt-in)을 제공하는 것이다. 넛지 발송은 패스키를 반복적으로 성공적으로 사용하면서 패스워드는 더 이상 사용하지 않는 이용자들을 대상으로 패스워드를 완전히 삭제하도록 유도하는 알림(넛지) 목표일을 설정해 실행하는 단계다. 마지막 단계인 기본값 전환은 패스워드 없는 계정을 기본값으로 제공하고 원치 않는 사람만 유지하도록 하는 방식(Opt-out)으로 전환하는 단계다.
몬텔로 수석은 “애플은 아이폰, 아이패드, 맥 등 자사 플랫폼에 사용자 편의성과 보안성을 모두 잡은 혁신적인 패스키 API 기술들을 성공적으로 적용했다”며 “FIDO 얼라이언스의 최신 통계에 따르면 패스키 적용 시 로그인 성공률은 30% 증가했으며, 로그인 소요 시간은 평균 73% 감소했다”고 밝혔다.
애플 이용자는 패스키가 계정 생성 API를 통해 회원가입 시 애플 계정이나 SIM 카드 등 신뢰할 수 있는 소스에서 이메일, 전화번호 등의 정보를 자동으로 채워주는 편리함을 누린다. 사용자는 패스워드를 만들 필요 없이 페이스 ID 인증 등 단 한 단계만으로 안전한 패스키 기반 새 계정을 생성할 수 있다.
몬델로 수석은 ‘자동 패스키 업그레이드’의 이점을 강조했다. 그는 “기존 패스워드 사용자가 로그인할 때 서비스를 가로막는 유도 화면 없이, 신뢰할 수 있는 자격 증명 관리자와 연동해 뒷단에서 자동 업그레이드 해준다”고 설명했다.
페이스 ID로 구글도 연동... “패스키 생태계 확대”
몬델로 수석은 특히 패스키가 진정한 가치는 특정 플랫폼에 종속되지 않고 사용자가 원하는 소프트웨어와 기기로 자격 증명을 자유롭게 이동할 수 있는 ‘데이터 상호 운용성’에 있다고 강조했다.
그는 “자격 증명을 전송하기 위해 과거에는 위험한 텍스트 파일을 수동으로 내보내고 가져와야 했으나, 이는 해커가 데이터를 탈취할 수 있는 취약점이 있었다”며 “이를 해결하기 위해 애플은 FIDO 얼라이언스 내부의 다양한 기업들과 긴밀히 협력해 왔으며, 2024년 오픈 스펙인 ‘자격 증명 교환 포맷’(Credential Exchange Format)을 발표했다”고 말했다.
이어 “이 협업을 바탕으로 사용자가 아이폰에서 안드로이드 기기로 전환할 때 어떠한 중간 파일도 생성하지 않고 페이스 ID 인증을 통해 애플 패스키 데이터를 구글로 직접적이고 안전하게 전송할 수 있게 됐다”며 “이 외에도 애플은 다양한 제 3자 앱들과 연동을 완벽히 보장하며, 마이크로소프트와 틱톡 등과 함께 초기 계정 생성 단계부터 패스워드를 배제하는 흐름을 주도하며 글로벌 피싱 저항성 생태계를 견고히 구축해 나가고 있다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
