완벽한 패스워드리스로 전환하는 방법

패스키를 도입하는 것은 인증 보안에서 엄청난 발전을 의미하지만, 이것으로 모든 여정이 끝나는 것은 아닙니다. 이미 패스키를 배포했다면 개선된 보안 지표를 자축하고 있을 것입니다. 하지만 어떻게 하면 패스키를 보유하는 것에서 나아가 완전한 패스워드리스 인증을 달성할 수 있을까요?

패스키는 특정 도메인에 바인딩된 공개 키 암호화를 사용하는 **피싱 방지 설계**를 통해 중요한 보안 이점을 제공합니다. 이로써 공격자가 사용자를 속여 사기 사이트에서 인증하도록 만드는 것이 불가능해집니다. 또한 각 패스키는 특정 서비스에 고유하므로 자격 증명 재사용을 없애 하나의 서비스가 침해되더라도 다른 서비스에 영향을 미치지 않습니다. 더 나아가, 외워야 하는 비밀 정보 대신 추측하거나 해독할 수 없는 암호화 키를 사용함으로써 무차별 대입 공격에 대한 면역력을 제공합니다.

하지만 사용자가 패스키 인증을 우회하고 대신 비밀번호로 로그인할 수 있는 순간, 이러한 강력한 이점들은 사라집니다. 여기서 중요한 질문이 생깁니다. 왜 패스키만으로는 완벽한 보안에 충분하지 않을까요? 그 해답은 비밀번호라는 문이 열려 있는 한 공격자들은 그 문으로 들어오려 한다는 점을 이해하는 데 있습니다. 더 중요한 질문은 왜 계정 복구가 전체 패스키 구현을 약화시킬 수 있는 숨겨진 취약점이 되는가입니다. 최근 발생한 대규모 침해 사고들은 공격자들이 기본 인증 방식보다는 복구 절차를 점점 더 많이 노린다는 것을 보여주었습니다.

이 글에서는 패스키 구현에서부터 진정한 패스워드리스 보안을 달성하기까지의 전체 여정을 안내하며, 이러한 핵심적인 질문 각각에 대해 실용적인 해결책과 실제 사례를 들어 설명합니다.

진정한 패스워드리스 인증이란 보안 아키텍처에서 비밀번호를 완전히 제거하는 것을 의미합니다. 패스워드리스 시스템에서는 사용자가 인증 과정의 어느 단계에서도 비밀번호를 설정, 재설정 또는 사용할 수 없습니다. 대신 인증은 전적으로 패스키와 같은 암호화 방식에 의존합니다.

많은 조직이 '패스워드리스'라고 주장하면서도 여전히 대체 옵션으로 비밀번호를 유지하고 있습니다. 이는 진정한 패스워드리스가 아니라 '비밀번호 선택형'에 가깝습니다. 이 차이가 중요한 이유는 복구 절차를 포함하여 시스템 어디에든 비밀번호가 존재하는 한, 이는 공격자들이 노릴 수 있는 취약점으로 남기 때문입니다.

진정한 패스워드리스 보안을 위해서는 기본 인증에서 비밀번호를 제거하는 것과 복구 과정 역시 피싱에 안전하도록 보장하는 것, 이 두 가지가 모두 필요합니다.

비밀번호를 대체 옵션으로 유지하는 것은 패스키가 제거하고자 했던 모든 공격 벡터를 그대로 남겨두는 것과 같습니다. 공격자들은 단순히 피싱 캠페인의 목표를 비밀번호 입력으로 전환할 것이며, 크리덴셜 스터핑과 패스워드 스프레이 공격은 다른 침해 사고에서 훔친 자격 증명을 사용하여 계속될 것입니다. 또한 사용자가 가짜 지원 담당자에게 속아 비밀번호를 알려줄 수 있으므로 사회 공학 기법도 여전히 효과적입니다.

비밀번호가 존재하는 한, 그것은 가장 약한 고리로 남아 패스키의 피싱 방지 보안을 완전히 우회하는 단일 진입점이 됩니다.

로그인 경험만 살펴보는 것으로는 충분하지 않습니다. 중요하지만 종종 간과되는 공격 벡터는 계정 복구 절차입니다. 패스키를 구현한 조직이라도 복구 과정이 SMS OTP나 이메일 매직 링크와 같이 피싱에 취약한 방법에 의존한다면 여전히 취약할 수 있습니다.

2023년에 발생한 대규모 MGM 리조트 침해 사고를 생각해 봅시다. 공격자들은 기본 인증 시스템을 노리지 않고 사회 공학을 통해 계정 복구 프로세스를 악용하여 모든 기본 보안 조치를 우회했습니다. 마찬가지로, Okta 지원 시스템 침해 사고는 복구 절차가 어떻게 가장 약한 고리가 될 수 있는지를 보여주었으며, 공격자들이 자격 증명을 재설정하고 고객 환경에 무단으로 접근할 수 있게 했습니다.

이러한 사건들은 중요한 사실을 강조합니다. 복구 절차를 안전하게 만들지 않고 패스키를 구현하는 것은 강철 문을 설치하고 창문은 열어두는 것과 같습니다.

진정한 패스워드리스 인증을 달성하는 것은 단 한 번에 끝나는 단계가 아니라, 신중한 계획, 점진적인 구현, 지속적인 최적화가 필요한 전략적인 여정입니다.

첫 번째 단계는 기존 옵션을 대체 수단으로 유지하면서 패스키를 추가 인증 방법으로 도입하는 것에 중점을 둡니다. 이 기반을 다지는 단계에서 사용자는 새로운 기술을 이해하고 신뢰할 시간을 갖게 되며, 마찰을 줄이기 위해 익숙한 방법도 계속 사용할 수 있습니다.

주요 구현 단계:

• 기존 인증 절차에 패스키 인증 통합하기
• 신규 및 기존 사용자를 위한 패스키 생성 활성화하기
• 비밀번호 및 기타 인증 방법을 대안으로 유지하기
• 패스키 생성 비율 및 사용 패턴 추적하기

성공 지표:

• 최소 하나의 패스키를 생성한 사용자 비율 50% 이상
• 패스키 생성 성공률 95% 이상
• 초기 인증 시 패스키 사용률 20-30% 도달

패스키가 사용 가능해지면, 이제 도입을 유도하고 패스키를 선호하는 인증 방법으로 만드는 것으로 초점이 이동합니다. 이 단계는 전략적인 사용자 참여와 최적화를 통해 패스키를 대체 옵션에서 주요 인증 선택지로 전환합니다.

주요 구현 단계:

• 로그인 절차에서 패스키 인증을 기본 옵션으로 설정하기
• 성공적인 비밀번호 로그인 후 패스키 생성을 장려하는 지능형 프롬프트 구현하기
• 인앱 메시지를 통해 사용자에게 보안 및 편의성 이점 교육하기
• 패스키 도입에 대한 인센티브 제공하기(더 빠른 결제, 독점 기능 등)
• 전환율을 극대화하기 위해 다양한 메시지와 UI 접근 방식 A/B 테스트하기
• 민감한 작업에 패스키를 요구하는 조건부 액세스 정책 구현하기

성공 지표:

• 활성 사용자 중 60% 이상이 최소 하나의 패스키 보유
• 패스키 활성화 계정의 로그인 중 80% 이상이 패스키 사용
• 패스키 생성 실패율 2% 미만

여기서 진정한 보안 혁신이 일어납니다. 패스키를 꾸준히 사용하는 사용자에 대해 비밀번호를 완전히 제거하는 것입니다. 이 단계는 성공적인 패스키 도입을 보여준 사용자의 비밀번호를 비활성화하여 주요 공격 벡터를 제거합니다.

주요 구현 단계:

• 지능형 모니터링 시스템을 사용하여 사용자 인증 패턴 분석하기
• 여러 패스키 지원 기기에서 패스키만 사용하는 사용자 식별하기
• 명확한 보안 이점 메시지와 함께 비밀번호 비활성화 제안하기
• 백업 패스키 가용성(클라우드 동기화 또는 여러 기기) 확인하기

성공 지표:

• 대상 사용자 중 30% 이상이 자발적으로 비밀번호 제거
• 계정 잠김 비율 증가 없음
• 사용자 만족도 점수 유지 또는 향상

마지막 단계는 마지막 취약점인 계정 복구를 피싱 방지 프로세스로 전환하는 것입니다. 이 단계는 복구 절차가 기본 인증의 보안 수준과 일치하도록 보장하여 백도어 공격을 방지합니다.

주요 구현 단계:

• 최소 하나 이상의 피싱 방지 요소를 포함한 다단계 인증 구현하기
• 사용 가능한 피싱 방지 요소:
  • 백업 패스키: 보조 기기나 클라우드 서비스에 저장된 복구용 패스키로, 암호학적 신원 증명을 제공합니다 (가장 널리 사용 가능한 옵션).
  • 디지털 자격증명 API: 신뢰할 수 있는 제공업체로부터 암호학적으로 검증된 신원 어설션을 위한 W3C 표준입니다 (신흥 기술로 아직 널리 보급되지 않음).
  • 하드웨어 보안 키: 피싱이나 복제가 불가능한 복구 요소로 등록된 물리적 FIDO2 토큰입니다 (사용자가 물리적 장치를 구매하고 관리해야 함).
  • 생체 감지 기능이 있는 신분증 확인: 정부 발급 신분증 스캔과 실시간 생체 인식을 결합하여 물리적 존재를 증명합니다.

복구 옵션에 대한 참고 사항: 디지털 자격증명 API와 하드웨어 보안 키는 강력한 보안을 제공하지만 아직 널리 채택되지 않았습니다. 전자는 아직 신흥 기술이며 후자는 사용자가 물리적 장치를 구매해야 합니다.

백업 패스키를 사용할 수 없을 때, 생체 감지 기능이 있는 신분증 확인은 실행 가능한 대안이 됩니다. 신분증을 물리적으로 소유하지 않고 생체 감지 확인을 우회할 수 있는 잠재적인 방법이 있기는 하지만, 이러한 방법은 피싱, SIM 스와핑 또는 중간자 공격을 통해 쉽게 가로챌 수 있는 기존 OTP보다 훨씬 더 강력한 보안을 제공합니다.

성공 지표:

• 모든 복구 절차에 피싱 방지 요소 100% 포함
• 복구 프로세스를 통한 계정 탈취 성공 사례 0건
• 복구 완료율 90% 이상 유지

패스워드리스 운동은 기술 산업 전반에 걸쳐 추진력을 얻고 있으며, 선도적인 기업들이 비밀번호에서 벗어나고 있습니다.

몇몇 회사는 이미 내부 운영에서 비밀번호를 완전히 제거했습니다. Okta, Yubico, Cloudflare는 내부적으로 비밀번호 사용을 사실상 제로(0)로 만들었으며, 이들의 로그인 절차는 비밀번호를 전혀 받지 않습니다.

기술 대기업인 Google, Apple, Microsoft, X는 적극적으로 비밀번호를 폐지하고 있지만 아직 완전히 제거하지는 않았습니다. 이들의 접근 방식은 전환 기간 동안 보안 개선과 사용자 선택권 사이의 균형을 맞추고 있습니다.

Google은 모든 계정에 대해 '가능하면 비밀번호 건너뛰기'를 기본적으로 ON으로 설정하는 공격적인 입장을 취해 패스키를 선호 인증 방법으로 만들면서도, 필요한 경우 사용자가 옵트아웃할 수 있도록 허용하고 있습니다. 이 옵트아웃 접근 방식은 아직 전환 준비가 되지 않은 사용자를 위한 유연성을 유지하면서 패스워드리스로의 강력한 추진력을 만들어냅니다.

Microsoft는 한 걸음 더 나아가 사용자가 오늘 당장 계정에서 비밀번호를 완전히 제거할 수 있도록 허용하고 있으며, 미래에는 '결국 비밀번호 지원을 완전히 제거'할 계획입니다. 이 명확한 로드맵은 사용자에게 비밀번호의 시대가 저물고 있음을 알리고, 패스워드리스 방법의 조기 도입을 장려합니다.

Apple은 생태계 전반에 패스키를 통합하고 적극적으로 사용을 장려하고 있지만, Apple ID 비밀번호는 여전히 대체 옵션으로 남아 있습니다. 이들의 접근 방식은 Apple 기기 간의 원활한 동기화를 활용하여 패스키 도입을 가능한 한 마찰 없이 만듭니다.

이 회사들은 즉각적인 변화를 강요하는 것이 아니라, 도입률이 임계점에 도달하면 비밀번호는 사라질 것이라는 분명한 메시지를 보내고 있습니다. 이들의 전략은 패스키를 기본으로 설정하고, 사용자에게 이점을 교육하며, 점진적으로 비밀번호 기능을 줄이는 것을 포함합니다.

비밀번호를 제거하는 결정은 서두르거나 일괄적으로 적용해서는 안 됩니다. 대신 사용자 행동, 기기 기능 및 위험 프로필을 고려하는 데이터 기반의 점진적인 접근 방식을 채택해야 합니다.

오늘날 심각한 피싱 공격을 겪고 있는 고위험 분야는 즉시 패스워드리스 전환을 시작해야 하지만, 여전히 점진적이고 전략적인 출시를 따라야 합니다:

• 은행 및 금융 기관: 자격 증명 도용의 주요 표적입니다. 유럽 은행의 경우, 패스키는 PSD2 강력한 고객 인증(SCA) 요구사항과도 일치하여, 규제 준수를 충족하면서 사용자 경험을 향상시키는 피싱 방지 MFA를 제공합니다.
• 결제 제공업체 및 핀테크: 고객 자금에 직접 접근할 수 있어 조직적인 사이버 범죄의 매력적인 표적이 됩니다.
• 암호화폐 거래소: 거래가 되돌릴 수 없으므로 도난당한 자격 증명은 영구적인 손실로 이어집니다.
• 의료 및 보험: 의료 신분 도용으로 인한 규정 준수 요건과 환자 안전 위험에 직면해 있습니다.
• 정부 및 중요 인프라: 정교한 스피어 피싱 캠페인을 사용하는 국가 행위자들의 표적이 됩니다.

이러한 조직들에게는 즉각적인 조치가 중요하지만, 성공을 위해서는 여전히 체계적이고 점진적인 출시 접근 방식이 필요합니다. 오늘 시작하되, 높은 도입률을 보장하고 사용자 잠김을 피하기 위해 전략적으로 출시해야 합니다.

더 작은 하위 그룹부터 시작하세요: 일관되게 패스키를 사용하는 사용자들부터 패스워드리스 전환을 시작하세요. 이러한 얼리어답터들은 더 광범위한 배포 전에 잠재적인 문제를 식별하는 데 도움을 줄 것입니다.

사용자 행동 패턴 분석:

• 로그인 빈도 및 사용된 방법
• 기기 유형 및 패스키 호환성
• 실패한 인증 시도
• 복구 절차 사용
• 기기 간 인증 패턴

이러한 패턴을 기반으로 비밀번호 비활성화 대상이 되는 사용자:

• 지속적으로 패스키를 통해 인증하는 사용자 - 기술에 익숙함을 보여줍니다.
• 여러 기기에서 패스키를 사용하는 사용자 - 백업 접근 방법이 있음을 나타냅니다.
• 지난 30-60일 동안 비밀번호나 복구 절차를 사용하지 않은 사용자 - 비밀번호 기반 인증에 의존하지 않음을 보여줍니다.

Corbado는 조직이 위에서 설명한 패스워드리스 여정의 네 가지 단계를 모두 통과할 수 있도록 포괄적인 플랫폼을 제공합니다. 초기 패스키 구현에서 완전한 비밀번호 제거에 이르기까지, Corbado의 솔루션은 기술적 복잡성을 처리하는 동시에 성공적인 사용자 도입에 필요한 도구를 제공합니다.

1단계 및 2단계 지원: Corbado는 기존 인증 스택과의 원활한 패스키 통합, 도입률을 극대화하는 지능형 프롬프트, 패스키 생성 및 사용 패턴을 추적하기 위한 상세 분석을 제공합니다. 플랫폼의 Passkey Intelligence 기능은 기기 기능과 사용자 행동을 기반으로 사용자 경험을 자동으로 최적화하여 원활한 온보딩을 보장합니다.

3단계 및 4단계 구현: 비밀번호를 완전히 제거할 준비가 된 조직을 위해, Corbado는 안전하고 피싱에 강한 복구 흐름을 유지하면서 사용자 준비 상태에 따라 점진적인 비밀번호 비활성화를 가능하게 합니다.

플랫폼 간 호환성, 대체 메커니즘 및 사용자 경험 최적화를 처리함으로써 Corbado는 패스워드리스 전환을 수년에서 수개월로 단축하여 조직이 핵심 비즈니스에 집중하면서 피싱 방지 인증을 달성할 수 있도록 합니다.

진정한 패스워드리스 인증으로의 여정은 우리가 처음에 제기했던 두 가지 중요한 질문에 답을 줍니다.

왜 패스키만으로는 완벽한 보안에 충분하지 않을까요? 보안은 가장 약한 고리만큼만 강하기 때문입니다. 비밀번호가 대체 수단으로라도 남아 있는 한, 공격자들은 피싱, 크리덴셜 스터핑 또는 다운그레이드 공격을 통해 단순히 그것을 목표로 삼을 것입니다. 시스템에 있는 모든 비밀번호는 패스키의 피싱 방지 이점을 약화시킵니다.

무엇이 계정 복구를 숨겨진 취약점으로 만드는가? 복구 절차는 종종 잊혀진 뒷문입니다. MGM 리조트와 Okta 침해 사고가 보여주었듯이, 공격자들은 SMS OTP나 이메일 매직 링크와 같은 약한 복구 방법을 악용하여 강력한 패스키 구현을 점점 더 우회하고 있습니다. 이는 강철 문을 설치하고 창문은 열어두는 것과 같습니다.

진정한 패스워드리스 보안은 패스키 구현, 도입 촉진, 비밀번호 완전 제거, 그리고 피싱 방지 방법으로 복구 절차를 보호하는 전체 여정을 완료해야 합니다. 복구 과정에 숨겨진 문을 포함한 모든 비밀번호의 문을 닫아야만 조직은 진정으로 안전한 인증을 달성할 수 있습니다.