Finom 패스키: 뱅킹 보안의 혁신

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

현대 뱅킹은 최고 수준의 보안을 요구하는 동시에 고객의 삶을 더 편리하게 만들어야 합니다. 이것이 바로 암스테르담에 본사를 둔 선구적인 핀테크 기업 Finom이 웹 앱의 새로운 기본 인증 방식으로 패스키를 도입하며 큰 도약을 이룬 이유입니다. 혁신의 증거로서, Finom의 패스키 구현은 기존의 비밀번호 패러다임(+ SMS OTP를 통한 전통적인 MFA)에 도전할 뿐만 아니라, 더 안전하고 편리하며 개인정보 보호에 중점을 둔 사용자 경험에 대한 증가하는 요구에 부응합니다. 이 블로그 게시물에서는 Finom의 패스키 구현에 대한 기술적 설정과 최종 사용자 혜택을 자세히 살펴보고, 이 접근 방식이 뱅킹 및 금융 서비스 분야에서 패스키의 새로운 시대를 열 수 있는 이유에 대한 통찰력을 제공합니다.

패스키는 취약한 비밀번호 기반 시스템에서 벗어나 더 안전하고 피싱에 강한 인증으로 나아가는 인증 패러다임의 전환을 의미합니다. Finom의 웹 애플리케이션은 이 기술을 채택하여 사용자가 컴퓨터, 스마트폰 또는 하드웨어 보안 키(예: YubiKeys)와 같은 다양한 기기를 통해 인증할 수 있도록 하며, 이를 통해 크로스플랫폼/로밍 인증자도 지원합니다.

Finom has introduced passkeys

Join them

Finom은 브라우저 및 운영 체제 호환성에 대한 업계 표준을 준수하여 폭넓은 접근성을 보장합니다. 다음 브라우저 버전에서 패스키를 지원합니다(Finom 공식 패스키 FAQ에 따름):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Finom 공식 패스키 FAQ와는 달리, 저희가 Windows 11 23H2 및 macOS Sonoma 14.2.1에서 최신 Firefox 버전(v122)으로 테스트했을 때 패스키 인증이 작동했습니다.

일반적인 운영 체제 지원과 관련하여, 데스크톱 기기에서는 Windows 11 및 macOS Sonoma에서 패스키 인증을 성공적으로 테스트했습니다(FAQ에는 공식적인 최소 OS 버전이 명시되어 있지 않습니다).

모바일 기기 사용자는 완전한 패스키 지원을 위해 시스템을 iOS 16+ 또는 Android 9+로 업데이트해야 합니다. 다행히도 대부분의 모바일 기기(94% 이상)는 이미 패스키를 지원합니다.

Finom의 패스키 생성 프로세스는 USB, NFC, BLE, 하이브리드 및 내부 옵션을 포함한 다양한 전송 모드를 사용하여 패스키의 모든 대역폭을 지원합니다. 이러한 유연성 덕분에 사용자는 개인적인 선호나 상황에 맞는 다양한 인증 옵션을 가질 수 있습니다.

WebAuthn 서버 설정 및 PublicKeyCredentialCreationOptions에 대한 심층 분석에서 강조할 몇 가지 측면은 다음과 같습니다.

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• excludeCredentials 매개변수를 사용하여 기존 패스키가 있는 기기에서 새 패스키가 생성되는 것을 방지합니다.
• 안전한 도메인별 인증을 보장하기 위해 Relying Party ID를 app.finom.co로 설정합니다.
• 직접 증명(Direct attestation)은 기기가 증명(attestation) 문을 제공하도록 요구하여 인증 자격 증명의 진위성을 증명합니다.
• userVerification이 필수로 설정되어 있어 올바른 사용자만이 인증 프로세스를 시작할 수 있도록 보장합니다.
• Conditional UI가 아직 출시되지 않았기 때문에 residentKeys 사용을 권장하지 않습니다. 하지만 패스키 생성 동작은 인증자가 residentKeys 값을 고려하는지에 따라 크게 달라집니다. 또한, Finom은 향후 Conditional UI 지원을 위해 미리 상주 키를 생성하는 것이 실제로 이득이 될 수 있습니다. 반면에 이 결정은 하드웨어 보안 키(예: YubiKeys)의 저장 공간을 절약해 줍니다. 이러한 키는 종종 상주 키에 대한 용량이 제한적이기 때문입니다.

PublicKeyCredentialRequestOptions는 유연성과 보안을 보장하는 구성으로 인증 프로세스를 용이하게 하므로 똑같이 중요합니다.

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• allowCredentials가 설정되어(사용자가 클라이언트로 사용하는 기기와 무관하게 모든 자격 증명이 설정됨) 등록된 패스키만 사용할 수 있도록 합니다.
• userVerification은 권장되지 않는데, 이는 패스키 생성 절차에서는 필수였기 때문에 로그인 절차에서는 흥미로운 점입니다.

Finom의 패스키 구현에서 미래 지향적인 측면은 기기 간 패스키 공유의 가능성입니다. Android용 https://app.finom.co/.well-known/assetlinks.json 및 iOS용 https://app.finom.co/.well-known/apple-app-site-association에서 제공되는 연결 파일을 분석하면, Finom이 웹과 네이티브 모바일 애플리케이션 간의 원활한 패스키 통합을 위한 기반을 마련하고 있음을 알 수 있습니다. 예를 들어, iCloud Keychain 동기화를 통해 웹 애플리케이션의 macOS 패스키를 네이티브 iOS 앱에서도 사용하는 등 기기 간 공유 지원을 추가하면 신속하게 적용할 수 있습니다. 이 이니셔티브는 다양한 플랫폼과 기기에서 손쉬운 인증을 가능하게 하여 사용자 경험을 더욱 향상시킬 것을 약속합니다.

Finom의 패스키 구현의 핵심에는 타의 추종을 불허하는 보안, 비할 데 없는 단순성, 타협 없는 데이터 프라이버시라는 세 가지 기본 측면을 우선시하겠다는 약속이 있습니다.

• 보안: Finom의 패스키 시스템은 사이버 위협에 대한 장벽을 구축하도록 설계되었습니다. 기존 비밀번호와 달리 패스키는 사용자의 기기와 Finom의 검증된 도메인에 안전하게 연결되어 피싱 및 사기성 접근의 위험을 사실상 제거합니다.
• 단순성: Finom의 패스키 인증의 단순성은 즉각적인 로그인 프로세스를 통해 구현됩니다. Face ID, Touch ID 또는 Windows Hello를 사용하여 사용자는 복잡한 비밀번호를 입력하는 번거로움 없이 단 몇 초 만에 계정에 액세스할 수 있습니다. 이 간소화된 인증 프로세스는 사용자 편의성을 향상시킬 뿐만 아니라 로그인 시간을 크게 단축하여 뱅킹 업계의 접근 용이성에 대한 새로운 표준을 제시합니다.
• 데이터 프라이버시: Finom은 사용자 데이터의 프라이버시와 보안을 최우선으로 생각합니다. 패스키가 사용자의 기기에 연결된 상태로 유지되는 시스템을 사용하여 Finom은 생체 인식 데이터를 포함한 개인 정보가 사용자의 통제 하에 있고 서버와 절대 공유되지 않도록 보장합니다. 이 접근 방식은 사용자의 프라이버시를 보호할 뿐만 아니라 개인 및 금융 정보가 무단 접근 및 침해로부터 보호된다는 확신을 줍니다.

새 기기에서는 네이티브 Finom iOS/Android 앱의 푸시 알림이나 이메일 매직 링크를 통해 패스키 생성을 확인해야 합니다. 확인이 완료될 때까지 사용자는 패스키를 생성할 수 없습니다.

이메일을 통해 패스키 생성 요청을 확인합니다:

또는 푸시 알림(여기서는 네이티브 Android 앱)을 통해 패스키 생성 요청을 확인할 수 있습니다:

패스키가 성공적으로 생성되면 다음 팝업이 표시됩니다:

Finom은 사용자가 이메일 주소를 입력하고 '계속'을 클릭하면 패스키를 기본 인증 방법(패스키 우선)으로 만들어 로그인 경험을 단순화합니다(기본적으로 비밀번호 필드는 표시되지 않음). 이 직접적인 접근 방식은 불필요한 선택을 제거하고 비밀번호의 우선순위를 낮춤으로써 사용자 경험을 향상시킵니다. 그러나 Conditional UI의 부재는 향후 개선의 여지가 있는 부분입니다.

패스키 팝업에서 패스키 로그인 흐름을 취소하면 사용자는 다음과 같은 경고를 받게 됩니다:

사용자가 '재시도'를 클릭하면 패스키 로그인 흐름이 다시 시작되고 패스키 팝업(예: Face ID, Touch ID, Windows Hello)이 나타나 사용자가 생체 인식을 다시 스캔할 수 있습니다.

사용자가 '다른 방법 시도'를 클릭하면 이메일 주소와 비밀번호 입력 필드가 있는 기존 로그인 화면으로 이동합니다:

Finom은 공용 도서관 등 비개인적이거나 공개적으로 접근 가능한 기기에서 패스키 인증을 사용하는 것을 강력히 권장하지 않습니다. 이러한 기기의 내재된 위험은 접근성에 있습니다. 기기를 잠금 해제할 수 있는 사람(비밀번호, 화면 잠금 또는 기기에 등록된 지문이나 얼굴 인식과 같은 생체 인식 데이터를 통해)은 누구나 사용자로 인증하여 계정에 접근할 수 있는 잠재력을 가집니다.

오늘날 사용자의 다중 기기 현실을 수용하여 Finom은 QR 코드 스캔 및 블루투스 근접 확인을 사용한 기기 간 인증(하이브리드 전송)을 지원합니다. 이 기능은 모바일 기기에 저장된 패스키로 데스크톱 환경에서 Finom에 액세스하려 할 때와 같이 여러 기기에서 유연한 인증 경험을 가능하게 합니다(패스키를 사용한 기기 간 인증에 대한 자세한 내용은 이 기사를 참조하세요).

Finom은 사용자가 인증 방법을 맞춤 설정하고 제어할 수 있는 직관적인 패스키 관리 기능을 도입했습니다. 패스키 이름 변경 및 제거 기능을 포함한 이러한 기능들은 디지털 액세스 관리에 있어 유연성과 보안의 필요성에 대한 깊은 이해를 반영합니다.

• 다른 기기를 위한 여러 패스키: Finom은 사용자의 여러 기기에 걸쳐 여러 패스키를 생성할 것을 권장합니다. 이 접근 방식은 패스키를 통해 Finom 서비스에 중단 없이 액세스할 수 있도록 보장하여 원활한 다중 기기 경험을 제공합니다.
• 스마트 중복 방지: PublicKeyCredentialCreationOptions의 excludeCredentials 매개변수를 활용하여 Finom은 동일한 기기에서 중복 패스키가 생성되는 것을 방지합니다. 이 조치는 보안을 강화할 뿐만 아니라 각 기기가 고유한 패스키를 갖도록 하여 사용자 경험을 간소화합니다.
• 패스키 삭제 시 패스키 인증 필요: 패스키를 제거하기 전에 사용자는 패스키를 사용하여 해당 작업을 인증해야 합니다. 이 추가된 보안 계층은 Finom이 사용자 액세스 보호에 두는 중요성을 강조하며, 정당한 소유자만이 이러한 중요한 변경을 할 수 있도록 보장합니다.

참고로, 아이콘 감지 로직은 처음 보이는 것만큼 스마트하지 않습니다. 필자는 Android의 Google 비밀번호 관리자에 패스키를 저장했지만 Windows로 표시되었습니다. 이는 본질적으로 특정 운영 체제에 묶여 있지 않은 YubiKeys와 같은 크로스플랫폼/로밍 인증자에도 동일하게 적용됩니다.

패스키가 성공적으로 생성되면 사용자는 이메일 알림을 받게 됩니다:

사용자가 비밀번호를 재설정해야 하는 경우, 네이티브 iOS/Android의 기기 바인딩이 삭제될 뿐만 아니라 모든 패스키도 삭제됩니다. 더 정확히 말하면, 패스키의 공개 키가 서버 측에서 삭제되어 패스키를 사용한 로그인이 불가능해집니다(기기 바인딩을 복원한 후에도). 패스키의 개인 키는 기기에 남아 있지만 이후의 로그인 시도에는 쓸모가 없습니다.

Finom의 패스키 구현은 단순히 보안과 사용자 경험을 향상시키는 것만이 아닙니다. 이는 기존 SMS OTP 시스템에서 비용을 절감하고, 기존 은행 및 금융 기관과 경쟁할 자신감이 있는 현대적이고 디지털 우선적인 핀테크 기업으로 자리매김하려는 전략적 움직임입니다. 시스템의 현재 설계는 네이티브 앱 지원, Conditional UI 출시 및 패스키를 통한 거래 확인으로 확장할 여지가 있어 유망해 보입니다.

역사적으로 보안 격차로 얼룩졌던 SMS OTP 방식에서 벗어남으로써 Finom은 인증 및 MFA 전략에서 주요 이점을 위한 기반을 마련합니다. 이 전환은 SMS OTP와 관련된 위험을 완화할 뿐만 아니라, 최첨단 기술을 활용하여 사용자 데이터를 보호하고, 뱅킹 사용자 경험을 향상시키며, SMS OTP를 통한 MFA 비용을 대폭 절감하려는 Finom의 사명과도 일치합니다.

테스트 중에 우리는 몇 가지 주요 개선 영역을 확인했습니다.

• 네이티브 앱으로 패스키 지원 확장: 모바일 뱅킹의 보편성을 인식하여 Finom이 곧 네이티브 iOS 및 Android 애플리케이션에 패스키 지원을 출시하기를 바랍니다. 이는 그들의 모바일 우선 전략에도 부합할 것입니다. 특히 macOS 데스크톱 기기에서 온 사용자로서, 동일한 iCloud Keychain에 연결된 iPhone의 iOS 앱에서의 로그인은 오늘날의 로그인 경험에 비해 상당히 단순화될 수 있습니다.
• 패스키 전용 인증: 시간이 지남에 따라 Finom이 패스키 지원 기기에서 패스키를 첫 번째이자 유일한 인증 요소로 홍보할 것으로 기대합니다. 여기에는 패스키를 유일한 인증 형식으로 하는 새 계정 생성(백업으로 일부 대체 수단 포함)도 포함됩니다.
• Conditional UI 구현: Conditional UI의 도입은 다른 기업에서 패스키 채택에 큰 성공을 거둔 것으로 입증된 사용자 경험을 위한 또 다른 주요 최적화가 될 것입니다.
• 결제 확인에 패스키 사용: 테스트 중에 우리는 결제 확인이 패스키로도 작동하는지 확인하기 위해 테스트 결제를 진행했습니다. 그러나 Finom은 여전히 확인을 위해 네이티브 앱 푸시 알림과 SMS OTP를 사용하고 있습니다(후자는 상당한 비용 요인임). 이는 규제상의 이유일 수 있지만, 앞으로는 여기에서도 패스키가 사용될 수 있기를 바랍니다.

Become part of our Passkeys Community for updates & support.

Join

Finom의 패스키 전략에서 아직 답이 없는 한 가지 질문이 남아 있습니다: PSD2 및 SCA 준수에 대한 Finom의 입장은 무엇인가? 이 문제는 일반적으로 완전히 다루어지지 않았지만, 이 문제에 대한 Finom의 관점을 더 자세히 알 수 있었다면 흥미로웠을 것입니다. 패스키의 PSD2 준수에 대한 더 많은 통찰력과 생각은 이 블로그 게시물을 참조하세요.

Finom의 패스키 출시는 뱅킹 및 금융 서비스 부문의 대표적인 사례로, 핀테크 기업이 현대 사용자의 요구에 부응하는 고급 보안 조치를 채택하는 데 어떻게 앞장설 수 있는지를 보여줍니다. Finom의 패스키 시스템에 대한 상세한 분석을 제공함으로써, 이 블로그 게시물은 다른 소프트웨어 개발자, 제품 관리자 및 보안 전문가들이 금융 및 뱅킹 부문에서 패스키를 구현하는 방법에 대해 배우는 데 도움이 되고자 합니다.