이 페이지는 자동 번역되었습니다. 영어 원문은 여기.
엔터프라이즈 Passkey 백서. passkey 프로그램을 위한 실무 가이드, 도입 패턴, KPI.
iOS 17 및 Android 14의 출시로 네이티브 모바일 앱의 패스키 환경이 근본적으로 변화했습니다. 처음으로 서드파티 패스워드 매니저가 패스키 제공자로 기능할 수 있게 되면서, iCloud Keychain 및 Google Password Manager의 독점적인 지위가 깨졌습니다. 이를 통해 사용자는 1Password, Bitwarden, Dashlane과 같은 신뢰할 수 있는 자체 솔루션을 네이티브 앱 인증 흐름에 도입할 수 있게 되었습니다. 이는 사용자 선택권 측면에서 큰 성과지만, 개발자에게는 상당한 복잡성을 초래합니다. 네이티브 모바일 애플리케이션에서 패스워드 매니저마다 패스키 구현이 다르게 동작할 수 있습니다. 따라서 어떤 팀이든 네이티브 앱 패스키와 서드파티 패스워드 매니저를 제대로 테스트하는 것이 중요합니다.
이 포괄적인 가이드는 서드파티 패스워드 매니저를 사용한 네이티브 앱 패스키 테스트에 대한 우리의 실전 검증된 접근 방식을 공유합니다. 2025년 들어 패스키 생태계가 크게 성숙했지만, 실제 구현 시에는 다양한 패스워드 매니저 구현에 대한 신중한 검증이 여전히 필요합니다. 우리는 그동안의 경험을 요약하여, 여러분의 네이티브 앱이 사용자가 선호하는 패스워드 매니저와 원활하게 작동하도록 보장하는 실용적인 테스트 계획을 수립했습니다.

Passkeys 치트시트. passkey 프로그램을 위한 실무 가이드, 도입 패턴, KPI.
패스워드 매니저 생태계는 플랫폼 자체 솔루션을 넘어 진화했습니다. 사용자는 크로스 플랫폼 동기화, 엔터프라이즈 기능 또는 개인 정보 보호 기본 설정과 같은 특정 요구 사항에 따라 1Password, Bitwarden, Dashlane, Proton Pass 및 NordPass와 같은 서드파티 패스워드 매니저를 적극적으로 선택합니다. 네이티브 iOS/Android 앱은 사용자가 신뢰하는 패스워드 관리 솔루션을 강제로 변경하지 않으면서도 이러한 다양성을 수용해야 합니다.
Corbado 페이지 전체에서 측정된 데이터에 따르면 일반 사용자의 5-10%만이 서드파티 패스워드 매니저를 사용합니다. 이 수치가 낮게 들릴 수 있지만, 대규모 환경에서 작업하는 경우 패스키 구현에 대한 인식과 지원 티켓 수에 큰 영향을 미칠 것입니다. 일부 패스워드 매니저가 WebAuthn 사양을 약간 다르게 구현하여 사용자 경험에 미묘한 차이나 심지어 버그를 유발하는 것을 확인했습니다.
네이티브 iOS 및 Android 앱은 패스키 사용에 대해 다른 방식을 제공합니다. Android에서는 패스키 오버레이와 패스키 의식을 트리거하는 수동 텍스트 필드 입력을 접하게 됩니다(웹 앱의 경우 Android는 Conditional UI도 지원합니다). iOS는 Conditional UI 및 수동 텍스트 필드 입력과 함께 고유한 패스키 오버레이 세트를 제공합니다. 또한 확인해야 할 다른 엣지 케이스도 있습니다. 종합하면, 네이티브 애플리케이션은 다음을 원활하게 처리해야 합니다.
올바른 플래그 구성은 패스키가 기기 및 플랫폼 전체에서 예상대로 작동하는지 여부를 결정합니다. 중요한 값은 다음과 같습니다.
잘못 구성된 플래그가 항상 즉각적인 실패를 일으키는 것은 아닙니다. 그러나 두 기기에 동일한 서드파티 패스워드 매니저가 사용 가능하더라도, 한 기기에서는 패스키를 사용할 수 있지만 다른 기기 간에는 동기화되지 않는 등 미묘한 문제와 불일치를 유발할 수 있습니다. 테스트 중 발견된 사항 중 하나는 일부 서드파티 패스워드 매니저가 BE/BS 플래그를 잘못 설정하여 패스키 문제의 큰 부분을 차지했다는 것입니다.
단일 액티비티(Android) 및 단일 씬(iOS) 아키텍처는 세심한 수명 주기 관리가 필요합니다.
패스워드 매니저 시트가 나타났다가 사라질 때 앱은 상태를 유지하고 콜백을 처리하며 올바르게
다시 시작해야 합니다. 이는 launchMode 구성으로 인해 예기치 않은 동작이 발생할 수 있는
Android에서 특히 중요합니다.
예를 들어, MainActivity를 launchMode="singleInstance"로 설정하면 문제가 발생한다는
것을 발견했습니다. 일부 Android 버전 및 OEM 맞춤 설정에서 이 모드는 Passkey Credential
Manager UI를 별도의 작업으로 열게 합니다. 이는 "최근 앱" 화면에 혼란스러운 추가 앱 항목을
추가할 뿐만 아니라 패스키 대화 상자가 열려 있는 동안 백그라운드로 전환될 경우 앱이 중단될
수 있습니다.
권장되는 해결 방법은 구성을 launchMode="singleTask"로 변경하는 것입니다. 이렇게 하면
Credential Manager가 별도의 작업을 생성하는 것을 방지하여 다양한 OEM(Samsung, Google, Vivo
등)에서 수명 주기를 더 예측 가능하게 만들고 공급업체별 버그 위험을 줄일 수 있습니다. 이는
내비게이션, 오버레이 및 딥링크를 테스트하기 위한 더 안정적인 기반을 제공합니다.
우리는 이러한 수명 주기 문제가 실제로는 애플리케이션 수준의 문제임에도 "패스워드 매니저 버그"로 위장되는 것을 자주 관찰했습니다. 적절한 계측과 다양한 제공업체에 대한 테스트를 통해 이러한 패턴을 조기에 식별할 수 있습니다.
가장 널리 채택된 서드파티 패스워드 매니저에 네이티브 앱 패스키 테스트를 집중하세요.
주요 대상(필수 커버리지):
보조 대상(사용자 기반에 따라 다름):
사용 가능한 모든 패스워드 매니저를 테스트하려는 유혹을 피하세요. 사용자 기반의 90%를 차지하는 제공업체에 집중하세요. 우리의 분석에 따르면 다섯 가지 주요 대상이 EU/미국/영국/호주/뉴질랜드에서 서드파티 패스워드 매니저 사용자의 85%를 커버했습니다.
각 테스트 실행을 시작하기 전에 깨끗하고 재현 가능한 환경을 확인하세요.
1. 깨끗한 자격 증명 상태:
2. 테스트 환경 안정화:
각 테스트는 패스키 기능의 특정 측면을 검증합니다. 합격/불합격 상태와 예외 사항에 대한 자세한 참고 사항을 사용하여 결과를 체계적으로 문서화하세요.
정상적인 취소 처리 검증
✓ 패스워드 매니저 시트가 올바르게 열림
✓ 사용자가 패스키를 생성하지 않고 취소
✓ 앱이 로그인 화면으로 돌아감 ✓ 패스워드 매니저에 고립된 자격 증명이 없음
✓ UI에 적절한 재시도 옵션이 표시됨
인증 흐름 후 패스키 생성 확인
✓ 로컬 인증이 안정적으로 시작됨
✓ 생체 인증이 성공적으로 완료됨
✓ 올바른 RP ID로 자격 증명 생성됨
✓ 앱이 루프 없이 인증된 상태로 전환됨
표준 인증 시나리오 테스트
✓ 패스키 오버레이 UI가 나타나거나 사용자가 텍스트 필드 시나리오에서 사용자 이름을 제공함 ✓
생체 스캔 및 단일 생체 인식 프롬프트로 인해 성공적으로 인증됨
✓ 선택 루프나 시트 재등장이 없음
✓ 인증 후 세션이 안정적으로 유지됨
앱 내 패스키 관리 검증
✓ 올바른 RP ID, 검색 가능성 및 BE/BS 플래그
✓ 생성 후 앱이 인증된 상태로 유지됨
✓ 패스워드 매니저가 올바른 레이블로 즉시 업데이트됨
자격 증명 수명 주기 관리 테스트
✓ 설정에서 패스키 삭제 ✓ 패스키 로그인이 불가능함
✓ 적절한 대체 옵션이 제공됨
앱에서 웹으로의 이동성 검증
✓ 브라우저가 앱에서 생성된 패스키를 인식함
✓ 선택 시트에 올바른 RP 연결이 표시됨
✓ QR/CDA 우회 없이 인증이 완료됨
웹에서 앱으로의 자격 증명 공유 테스트
✓ 앱이 선택 영역에 웹에서 생성된 자격 증명을 표시함
✓ 첫 번째 시도 인증이 성공함
✓ 강제 패스워드 대체가 없음
네이티브 앱에서 데스크톱 브라우저로의 패스키 동기화 확인
✓ 앱에서 생성된 패스키가 데스크톱 패스워드 매니저에 동기화됨 ✓ 동기화된 패스키가 데스크톱 브라우저에서 원활하게 작동함 ✓ QR 코드/기기 간 흐름이 트리거되지 않음 ✓ 루프나 오류 없이 인증이 완료됨
데스크톱 브라우저에서 네이티브 앱으로의 패스키 동기화 확인
✓ 데스크톱에서 생성된 패스키가 모바일 패스워드 매니저에 동기화됨 ✓ 네이티브 앱이 동기화된 패스키를 올바르게 표시함 ✓ 패스워드 대체 없이 인증이 성공함 ✓ 로그가 올바른 자격 증명 ID에 대한 어설션을 연결함
웹 CDA 시나리오에 대해 휴대전화를 보안 키로 사용하는 경우 검증
✓ 휴대전화가 웹 CDA를 위해 앱에서 생성된 자격 증명을 제공함
✓ "사용 가능한 패스키 없음"이라는 잘못된 오류가 발생하지 않음
✓ 모바일 생체 인식 후 웹 세션이 완료됨
당사의 광범위한 테스트를 통해 서드파티 패스워드 매니저 패스키 통합에 영향을 미치는 여러 반복적인 패턴이 밝혀졌습니다.
문제: 한 기기에서 생성된 자격 증명이 다른 기기에 즉시 나타나지 않을 수 있습니다.
해결책: 지수 백오프를 사용하여 재시도 논리를 구현하세요. 동기화 지연을 겪는 사용자에게 수동 새로 고침 옵션을 제공하세요.
문제: 패스워드 매니저 동작은 OS 버전 간에, 특히 Android 14+ 및 iOS 17+에서 크게 다릅니다.
해결책: 호환성 매트릭스를 유지하고 감지된 OS 버전에 따라 흐름을 조정하세요. 최적의 경험을 위해 최소 버전 요구 사항을 고려하세요.
네이티브 앱에서 서드파티 패스워드 매니저 패스키 지원을 성공적으로 구현하려면 체계적인 테스트와 세부 사항에 대한 주의가 필요합니다. 실제 테스트를 통해 다듬어진 당사의 포괄적인 테스트 계획은 패스키 통합을 검증하기 위한 견고한 기반을 제공합니다.
프로덕션 배포를 위한 주요 시사점:
패스키 생태계는 계속해서 빠르게 진화하고 있습니다. 패스워드 매니저는 정기적으로 구현을 업데이트하고, 운영 체제는 새로운 기능을 도입하며, WebAuthn 사양 자체도 발전합니다. 지금 견고한 테스트 프레임워크를 확립하면 기술이 성숙함에 따라 적응할 준비를 갖출 수 있습니다.
새로운 패턴이 등장함에 따라 SDK와 테스트 방법론을 계속 업데이트할 것입니다. 포괄적인 서드파티 패스워드 매니저 테스트에 투자하면 지원 부담이 줄어들고 사용자 만족도가 향상되는 결과를 얻을 수 있습니다. 결국 인증은 사용자가 어떤 패스워드 매니저를 선택하든 원활하게 작동해야 합니다.
Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Authentication Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →
1Password, Bitwarden, Dashlane, Proton Pass 및 NordPass를 기본 대상으로 우선시하세요. 이 다섯 가지 제공업체는 EU, 미국, 영국, 호주, 뉴질랜드 시장에서 서드파티 패스워드 매니저 사용자의 85%를 차지하므로, 잘 사용되지 않는 제공업체에 과도하게 투자하지 않으면서도 광범위한 커버리지를 제공합니다.
잘못된 백업 자격(BE) 및 백업 상태(BS) 플래그 구성은 기기 간 동기화 실패의 주요 원인입니다. 일부 서드파티 패스워드 매니저는 이러한 플래그를 잘못 설정하여, 두 기기 모두에 동일한 패스워드 매니저가 설치되어 있더라도 패스키가 한 기기에는 존재하지만 다른 기기로 동기화되지 않습니다.
MainActivity의 launchMode를 singleInstance로 설정하면 Credential Manager UI가 별도의 작업으로 생성되어 혼란스러운 최근 앱 항목이 생성되고, 백그라운드에 있을 때 앱이 중단될 수 있습니다. 구성을 launchMode singleTask로 변경하면 Samsung, Google 및 Vivo를 포함한 여러 OEM에서 이 문제가 해결됩니다.
포괄적인 테스트 계획은 패스키 생성 및 정상적인 취소, 오버레이 및 텍스트 필드 인증, 앱 내 자격 증명 관리, 대체 수단이 포함된 자격 증명 삭제, 양방향 기기 간 동기화 등 10가지 시나리오를 다룹니다. 크로스 플랫폼 테스트는 앱에서 생성된 패스키가 브라우저에서 인증되고, 웹에서 생성된 패스키가 네이티브 앱에서 인증되는지도 확인해야 합니다.
관련 글
목차