--- url: 'https://www.corbado.com/ko/blog/hardware-bound-passkeys-consumer-race' title: '하드웨어 바운드 패스키: 진정한 경쟁은 도입률에 있습니다' description: '하드웨어 바운드 패스키의 소비자 시장 경쟁에서 누가 승리할까요? 보안 키, FIDO2 스마트 카드, 암호화폐 지갑을 비교하고, 왜 하드웨어 자체보다 도입률이 더 중요한지 알아봅니다.' lang: 'ko' author: 'Vincent Delitz' date: '2026-05-19T12:05:30.230Z' lastModified: '2026-05-19T12:29:02.775Z' keywords: '하드웨어 바운드 패스키, 보안 키 패스키 비교, 최고의 하드웨어 패스키, yubikey 소비자 패스키, arculus 스마트 카드 패스키, fido2 스마트 카드 뱅킹, 동기화된 패스키 디바이스 바운드 패스키 비교' category: 'Passkeys Strategy' --- # 하드웨어 바운드 패스키: 진정한 경쟁은 도입률에 있습니다 ## Key Facts - 하드웨어 바운드 패스키는 NIST AAL3을 충족합니다. 반면 동기화 패스키는 클라우드 동기화로 인해 키 내보내기가 가능하므로 AAL2가 최대치입니다. - StatCounter에 따르면 iOS와 Android는 모바일 점유율의 99% 이상을 차지합니다. 두 운영 체제 모두 하드웨어 인증기를 동기화된 자격 증명보다 1~3번 더 클릭해야 하는 하위 메뉴에 배치하고 있습니다. - Yubico는 2008년부터 3천만 개 이상의 YubiKey를 출하했습니다. CompoSecure는 연간 1억 개 이상의 메탈 카드를 출하합니다. IDEMIA는 매년 30억 개 이상의 보안 요소(secure element)를 생산합니다. - FIDO Alliance Authentication Barometer 2024에 따르면 소비자 뱅킹에서 하드웨어 바운드 패스키의 활성화율은 출시 후 몇 달이 지나도 5% 미만에 머물고 있습니다. - Ledger는 7백만 개 이상의 지갑을, Trezor는 2백만 개 이상을 출하했습니다. 암호화폐 셀프 커스터디는 소비자가 자발적으로 하드웨어를 구매하는 유일한 분야입니다. - 이 경쟁의 승자는 가장 강력한 하드웨어를 가진 회사가 아닐 것입니다. 하드웨어와 도입 엔지니어링, 그리고 패스키 관측성을 결합하는 회사가 승리할 것입니다. ## 1. 서론: 소비자 경쟁에서 누가 승리할까요? 하드웨어 바운드 패스키는 로그인할 수 있는 가장 안전한 방법이지만, 소비자 앱에서 이를 사용하는 사람은 거의 없습니다. [보안 키](https://www.corbado.com/glossary/security-key) 제조업체와 [스마트 카드](https://www.corbado.com/glossary/smart-card) 제조업체는 수년 동안 이 폼팩터를 밀어붙였습니다. 그럼에도 불구하고 [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/)에 따르면, 2025년 현재 소비자 [뱅킹](https://www.corbado.com/passkeys-for-banking)에서 하드웨어 바운드 패스키 활성화율은 여전히 5% 미만입니다. 이유는 간단합니다. [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide)에 따르면 Apple과 Google이 모바일 점유율의 99% 이상을 장악하고 있으며, 이들이 사용자가 어떤 패스키 유형을 먼저 볼지 결정하기 때문입니다. 따라서 소비자 시장에서의 승자는 가장 강력한 키를 가진 회사가 아니라, 하드웨어를 소프트웨어, 데이터 및 유통과 결합하는 회사가 될 것입니다. ### 1.1 용어: 하드웨어 바운드 vs. 동기화 패스키 하드웨어 바운드 패스키는 개인 키가 물리적 보안 요소 내부에 잠겨 있는 [FIDO2](https://www.corbado.com/glossary/fido2) 자격 증명입니다. 키는 절대 기기를 떠나지 않습니다. [동기화 패스키](https://www.corbado.com/blog/device-bound-synced-passkeys)는 동일한 [FIDO2](https://www.corbado.com/glossary/fido2) 암호화 방식을 사용하지만, [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) 또는 타사 비밀번호 관리자를 통해 여러 기기에 키를 복사합니다. [W3C WebAuthn Level 3 사양](https://www.w3.org/TR/webauthn-3/)은 두 가지 모두를 저장 정책만 다른 동일한 자격 증명 유형으로 취급합니다. 업계에서는 하드웨어 바운드 패스키를 "[디바이스 바운드 패스키](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)" 또는 "하드웨어 바운드 WebAuthn 자격 증명"이라고 부르기도 합니다. 이 글에서는 이 세 가지 용어를 동의어로 사용합니다. 흔히 오해하는 것 중 하나는 스마트폰이나 노트북의 보안 요소가 지원하는 모든 패스키가 하드웨어 바운드라는 생각입니다. 실제로 [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) 및 [Android StrongBox](https://source.android.com/docs/security/features/keystore)는 기본적으로 [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)이나 [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)를 통해 동기화되는 패스키를 호스팅하므로 클라우드에서 개인 키를 복구할 수 있습니다. 오늘날 키를 엄격하게 로컬에 보관하는 유일한 소비자용 보안 요소는 [Windows Hello](https://www.corbado.com/glossary/windows-hello) TPM뿐이며, 심지어 Microsoft조차도 Edge 내에서 동기화를 지원하는 방향으로 나아가고 있습니다. [Windows Hello](https://www.corbado.com/glossary/windows-hello)는 추가 하드웨어 구매가 필요 없고 노트북에 내장되어 있으므로, 이 글에서는 하드웨어 바운드 소비자 경쟁에서 이를 제외하고 전용 보안 키, FIDO2 스마트 카드, 암호화폐 지갑에 초점을 맞춥니다. 키가 하드웨어를 떠날 수 있는지 여부라는 단일 차이점이 [NIST](https://www.corbado.com/blog/nist-passkeys) 보증 수준부터 복구 흐름에 이르기까지 거의 모든 후속 속성을 결정합니다. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption)는 하드웨어 바운드 패스키를 최고 수준인 [AAL3](https://www.corbado.com/blog/nist-passkeys)로 분류하는 반면, 동기화 패스키는 [AAL2](https://www.corbado.com/blog/nist-passkeys)로 제한합니다. 이 한 단계의 차이는 소유 기반(possession-factor) 바인딩을 요구하는 [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), 인도 RBI 2024, 호주 APRA CPS 234 등의 규제 당국에게 매우 중요합니다. ### 1.2 동기화 패스키가 기본 옵션이 된 이유 동기화 패스키가 기본 옵션 자리를 차지한 이유는 Apple과 Google이 이를 먼저 출시했고 프롬프트를 통제하기 때문입니다. Apple은 2021년에 [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) 패스키 지원을 추가했고, 2022년에는 Google [Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers)가 그 뒤를 이었으며, 두 기업 모두 자동 완성 막대 바로 안에 동기화된 자격 증명을 표시하기 위해 WebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui)를 사용했습니다. 하드웨어 [인증기](https://www.corbado.com/glossary/authenticator)는 모든 기본 흐름에서 한 번에서 세 번 정도 더 클릭해야 나타납니다. [FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/)에 따르면 전 세계 소비자의 64%가 패스키를 인지하고 있으며 53%가 최소 하나의 계정에서 패스키를 활성화했습니다. 이러한 등록의 대부분은 동기화된 패스키입니다. ### 1.3 소비자 경쟁이 실제로 일어나는 곳 이 글에서 "소비자"는 CIAM(고객 아이덴티티 및 액세스 관리)을 의미합니다. 은행, 암호화폐 거래소, [정부](https://www.corbado.com/passkeys-for-public-sector) [지갑](https://www.corbado.com/blog/digital-wallet-assurance) 또는 크리에이터 플랫폼에 로그인하는 외부 고객을 말하는 것입니다. 하드웨어 바운드 패스키가 이미 우위를 점하고 있는 기업용 로그인(workforce login)을 이야기하는 것이 아닙니다. 흥미로운 질문은 다음 번에 열릴 소비자 여정은 무엇이며, 어떤 플레이어가 먼저 그곳에 도달할 것인가 하는 것입니다. 이 경쟁은 소비자가 실제로 확보해야 하는 두 가지 폼팩터와 세 가지 배포 경로를 포괄합니다. - **폼팩터**: USB 또는 [NFC 보안 키](https://www.corbado.com/blog/best-fido2-hardware-security-keys), 그리고 [결제](https://www.corbado.com/passkeys-for-payment) 카드에 내장된 FIDO2 [스마트 카드](https://www.corbado.com/blog/best-fido2-smartcards). 암호화폐 하드웨어 [지갑](https://www.corbado.com/blog/digital-wallet-assurance)은 제3의 틈새 카테고리로 두 가지 옆에 자리 잡고 있습니다. - **배포 경로**: 소비자 직접 판매, 은행이나 [정부](https://www.corbado.com/passkeys-for-public-sector)가 사용자에게 배송하는 디바이스, 사용자가 직접 구매하는 암호화폐 셀프 커스터디 지갑. ### 1.4 이 글의 핵심 주장 좋은 하드웨어는 필수적이지만 더 이상 그것만으로는 충분하지 않습니다. 가장 강력한 칩을 보유한 공급업체가 자동으로 소비자 도입을 이끌어내지는 못합니다. 진정한 병목 현상은 실리콘 그 이상에 있습니다. 즉 브라우저 프롬프트, 다양한 [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 휴대폰의 NFC 스택 차이, 기기 분실 후의 까다로운 복구 과정, 소비자 배포 방식 등이 문제입니다. 결국 승자는 하드웨어를 도입 엔지니어링 및 [패스키 관측성](https://www.corbado.com/blog/authentication-observability)과 성공적으로 결합하는 회사가 될 것입니다. 이 글의 나머지 부분에서는 역사, 주요 기업들, 장애물, 실제 사용 사례, 그리고 엔터프라이즈를 넘어 소비자 시장으로 진출하고자 하는 모든 회사를 위한 실용적인 플레이북을 살펴봅니다. ## 2. 하드웨어 인증기는 어떻게 여기까지 왔을까요? 하드웨어 바운드 자격 증명은 전혀 새로운 것이 아닙니다. 이는 FIDO보다 약 30년 더 오래되었습니다. PKI 스마트 카드는 1990년대에 [정부](https://www.corbado.com/passkeys-for-public-sector) 기관에 도입되었으며, [NIST FIPS 201 PIV 표준](https://csrc.nist.gov/publications/detail/fips/201/3/final)으로 성문화되었습니다. 그 후 엔터프라이즈 VPN에서 RSA SecurID 토큰이 사용되었습니다. EMV 칩 앤 핀(chip-and-PIN) 카드는 2002년에 [결제](https://www.corbado.com/passkeys-for-payment) 부문에 등장했습니다. [EMVCo](https://www.emvco.com/about/)는 현재 유통 중인 EMV 카드가 120억 개 이상이라고 보고하며, 이는 [결제](https://www.corbado.com/passkeys-for-payment) 카드의 칩이 역사상 가장 널리 배포된 하드웨어 암호화 플랫폼임을 의미합니다. IDEMIA, Thales, Infineon이 주도하며 연간 30억 개 이상의 칩을 생산하는 동일한 보안 요소 공급망이 이제 FIDO2 스마트 카드 내부의 실리콘을 생산합니다. 하드웨어 [인증기](https://www.corbado.com/glossary/authenticator)를 FIDO2로 편입시킨 세 가지 주요 업계 변화는 2014년에서 2018년 사이, 불과 4년 만에 일어났습니다. ### 2.1 U2F에서 FIDO2로 (2014 ~ 2018) [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)는 2014년에 FIDO U2F를 출시했고, 여러 [보안 키](https://www.corbado.com/glossary/security-key) 공급업체에서 최초의 하드웨어 토큰을 출하했습니다. Google은 2017년까지 89,000명 이상의 직원에게 U2F 키를 배포했으며, [Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/)에 따르면 이듬해 [피싱](https://www.corbado.com/glossary/phishing) 관련 계정 탈취가 단 한 건도 발생하지 않았다고 보고했습니다. 하지만 U2F는 두 번째 팩터일 뿐이었습니다. 사용자는 여전히 비밀번호가 필요했고 하드웨어 탭은 추가 단계에 불과했습니다. 폼팩터 역시 Google 직원, [정부](https://www.corbado.com/passkeys-for-public-sector) 기관 및 일부 암호화폐 거래소를 위한 작은 USB 키라는 엔터프라이즈 형태에 머물렀습니다. 2018년에 [FIDO2](https://www.corbado.com/glossary/fido2)와 [WebAuthn](https://www.w3.org/TR/webauthn-3/)은 U2F를 완전한 비밀번호 없는(passwordless) 프레임워크로 전환하여 이 모든 것을 바꾸어 놓았습니다. 이전에는 두 번째 팩터를 백업하던 동일한 보안 요소가 이제는 기본 로그인 자격 증명 역할을 할 수 있게 된 것입니다. ### 2.2 패스키 브랜딩으로의 전환 (2022) 2022년 5월, Apple, Google, Microsoft 및 [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)는 [FIDO Alliance Authenticate 컨퍼런스](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/)에서 "패스키(passkey)"라는 브랜드를 공동 출시했습니다. 아이디어는 소비자가 동기화 및 디바이스 바운드 FIDO2 자격 증명 모두를 이해할 수 있는 하나의 간단한 단어를 만드는 것이었습니다. [Apple의 개발자 릴리스 노트](https://developer.apple.com/passkeys/)에 따르면 Apple은 2022년 9월 [iOS](https://www.corbado.com/blog/webauthn-errors) 16에 [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) 패스키 동기화 지원을 도입했습니다. Google은 자사의 [Identity 블로그](https://blog.google/technology/safety-security/passkeys-google-account/)에 명시된 대로 2022년 10월에 [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9 이상 버전에 이 기능을 추가했습니다. [Microsoft](https://www.microsoft.com/)는 이 세 기업 중 가장 늦게 합류했습니다. [Windows Hello 문서](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/)에 따르면 [Windows Hello](https://www.corbado.com/glossary/windows-hello)는 2015년부터 TPM 바운드, 디바이스 바운드 자격 증명을 제공했지만, 소비자 계정의 경우 수년 동안 [기기 간 패스키 동기화](https://www.corbado.com/blog/passkeys-sharing)가 불가능했습니다. Microsoft는 2024년 5월이 되어서야 소비자 Microsoft 계정에 대한 패스키 지원을 추가했으며, [Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys)의 동기화 패스키 기능은 2025년에야 제공되었습니다. 따라서 Apple과 Google이 소비자용 동기화 패스키 부문에서 2~3년 더 앞서 나가는 동안, Microsoft는 자체 브라우저 내에서 기기 간 동기화를 아직도 따라잡고 있는 중입니다. 하드웨어 공급업체들은 네 주요 기업이 진행한 이 대대적인 리브랜딩이 보안 키와 스마트 카드에 대한 수요를 늘려줄 것으로 기대했습니다. 하지만 그렇지 않았습니다. [FIDO Alliance Barometer](https://fidoalliance.org/content/research/)에 따르면, 거의 모든 신규 소비자 등록이 동기화 패스키로 몰렸습니다. ### 2.3 두 갈래로 나뉜 생태계 18개월 내에 생태계는 두 개의 명확한 트랙으로 나뉘었습니다. 소비자 트랙은 동기화 패스키가 우세했으며, Apple과 Google은 자사 관리자를 중심으로 기본 흐름을 구축했습니다. 엔터프라이즈 트랙은 하드웨어 바운드 패스키가 우세했으며, IT 부서가 직원 인증을 위해 보안 키나 [FIDO2 스마트 카드](https://www.corbado.com/blog/best-fido2-smartcards)를 구매했습니다. [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)는 하드웨어 [인증기](https://www.corbado.com/glossary/authenticator)에 대한 연간 엔터프라이즈 지출 규모를 10억 달러 이상으로 평가합니다. 하드웨어 공급업체들은 결코 소비자 시장을 포기하지 않았습니다. 진짜 질문은 이들에게 여전히 신뢰할 만한 경로가 남아 있는지, 아니면 OS 계층이 이들을 영구히 차단해버렸는지 여부입니다. ## 3. 소비자 경쟁에는 누가 참여하고 있나요? 두 가지 폼팩터가 공간을 놓고 경쟁하고 있습니다. 보안 키는 매니아와 기업을 대상으로 하는 직접 판매를 주도합니다. 스마트 카드는 은행을 통해 가장 큰 유통 채널을 확보하고 있습니다. [EMVCo 통계](https://www.emvco.com/about/)에 따르면 매년 15억 개 이상의 EMV 카드가 발급됩니다. 경쟁하는 공급업체는 두 진영으로 나뉩니다. [보안 키](https://www.corbado.com/glossary/security-key) 제조업체는 USB 또는 NFC 키를 최종 사용자 및 기업에 직접 판매합니다. [스마트 카드](https://www.corbado.com/glossary/smart-card) 및 보안 요소 제조업체는 은행에서 발행하는 칩과 카드를 만듭니다. 각 진영은 각기 다른 단가(unit-cost) 문제에 직면해 있으며, 둘 다 독자적으로 소비자 유통 격차를 해결하지는 못했습니다. ### 3.1 보안 키 폼팩터의 리더는 누구인가요? 이 부문에서는 여러 보안 키 제조업체가 경쟁하고 있습니다. 최신 보안 키는 일반적으로 USB-A, USB-C, NFC 및 Lightning을 통해 FIDO2, FIDO U2F, 스마트 카드 PIV, OpenPGP, OTP를 지원하며, 기기 자체에 지문 센서를 추가하는 모델도 있습니다. 아래 표는 소비자 및 엔터프라이즈 시장에서 가장 관련성 높은 공급업체에 대한 개요입니다. | **공급업체** | **본사 위치** | **주요 제품** | **연결 방식** | **주요 특징** | | ----------------------------------------------------- | ------------ | ------------------------------------ | ---------------------------- | -------------------------------------------------------------- | | [Yubico](https://www.yubico.com/) | 스웨덴 / 미국 | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | 가장 큰 B2C 브랜드, 폭넓은 프로토콜 지원 | | [Feitian](https://www.ftsafe.com/) | 중국 | ePass, BioPass, MultiPass | USB-A, USB-C, NFC, BLE | 전 세계 출하량 기준 가장 큰 경쟁사, Google Titan OEM 제조사 | | [Token2](https://www.token2.com/) | 스위스 | T2F2, Bio3 | USB-A, USB-C, NFC | 합리적인 가격, PIN+ 및 생체 인식 버전 지원 | | [Google](https://cloud.google.com/titan-security-key) | 미국 | Titan Security Key | USB-C, NFC | Google 고급 보호 프로그램의 핵심, Feitian에서 제조 | | [OneSpan](https://www.onespan.com/) | 미국 | DIGIPASS FX1 BIO | USB-A, USB-C, NFC, BLE | 금융권에 특화, 선택적 지문 센서 지원 | | [Identiv](https://www.identiv.com/) | 미국 | uTrust FIDO2 | USB-A, USB-C, NFC | 기업 및 정부 스마트 카드 시장에서 오랜 경험 보유 | | [Kensington](https://www.kensington.com/) | 미국 | VeriMark Guard | USB-A, USB-C | 생체 인식 지문 판독기, 주류 소매 유통망 확보 | 제조업체의 가격 책정 페이지에 따르면 단일 기기 비용은 40~80달러입니다. 이는 기업 환경에서는 감당할 수 있지만 소비자 규모에서는 도입을 가로막는 걸림돌입니다. 이러한 가격표와 함께 발생하는 NFC, 복구 및 유통 문제는 섹션 4에서 자세히 다룹니다. ### 3.2 스마트 카드 폼팩터의 리더는 누구인가요? [스마트 카드](https://www.corbado.com/glossary/smart-card) 제조업체들은 은행에서 발행하는 FIDO2 부문에서 경쟁하고 있습니다. 공급업체 환경은 카드 제조업체와 칩 공급업체로 나뉩니다. [CompoSecure](https://www.compositionusa.com/)([Arculus](https://www.arculus.co/) FIDO2 제품 생산), [IDEMIA](https://www.idemia.com/), NagraID, [Feitian](https://www.ftsafe.com/), TrustSEC와 같은 카드 제조업체는 FIDO2 카드를 직접 생산합니다. 칩 공급업체인 3대 보안 요소 거대 기업인 [IDEMIA](https://www.idemia.com/), [Thales](https://www.thalesgroup.com/), [Infineon](https://www.infineon.com/)은 대부분의 카드에 들어가는 보안 요소를 제조합니다. [IDEX Biometrics](https://www.idexbiometrics.com/)는 스마트 카드를 [생체 인식 스마트 카드](https://www.corbado.com/blog/best-fido2-smartcards)로 바꿔주는 카드 내장 지문 센서를 공급합니다. 카드 [발급사](https://www.corbado.com/glossary/issuer)로의 배포 문제는 기존의 [결제](https://www.corbado.com/passkeys-for-payment) 카드 공급망을 통해 이미 해결되었습니다. 관건은 [발급사](https://www.corbado.com/glossary/issuer)가 단가 인상분을 흡수하도록 설득하고 다양한 기기에서 NFC 탭이 안정적으로 작동하도록 보장하는 것입니다. FIDO2 스마트 카드는 5~15달러 수준의 메탈 또는 생체 인식 카드 본체 기본 비용에 2~5달러를 추가합니다. [Juniper Research 2024](https://www.juniperresearch.com/)에 따르면 전 세계 생체 인식 결제 카드 출하량은 2027년까지 1억 4천만 개를 넘어설 것입니다. ### 3.3 하이브리드 및 인접 플레이어는 어떤가요? 몇몇 다른 제품들이 두 폼팩터에 깔끔하게 맞지 않으면서도 동일한 사용 사례를 위해 경쟁하고 있습니다. [Ledger](https://www.ledger.com/)는 700만 개 이상의 Nano [지갑](https://www.corbado.com/blog/digital-wallet-assurance)을, [Trezor](https://trezor.io/)는 200만 개 이상을 출하했습니다. 두 제품 모두 암호화폐 보관에 더해 FIDO2를 보조 기능으로 노출합니다. [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) 및 [Android StrongBox](https://source.android.com/docs/security/features/keystore)와 같은 스마트폰 보안 요소는 기술적으로 하드웨어로 개인 키를 보호하지만, Apple과 Google은 기본적으로 [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)과 Google Password Manager를 통해 패스키를 동기화하므로, 사용자가 보는 동작은 하드웨어 바운드 패스키가 아닌 [동기화 패스키](https://www.corbado.com/blog/device-bound-synced-passkeys)입니다. 공식 발표에 따르면 [Token Ring](https://www.tokenring.com/) 및 Mojo Vision 링과 같은 웨어러블 [인증기](https://www.corbado.com/glossary/authenticator)는 출하량이 100,000개 미만에 머물렀습니다. 다시 말해, 소비자 경쟁은 사실상 보안 키와 스마트 카드 간의 양자 대결이며, 암호화폐 [지갑](https://www.corbado.com/blog/digital-wallet-assurance)은 세 번째 특정 시장 영역으로 자리 잡고 웨어러블은 점유율 1% 미만의 미미한 수준에 불과합니다. ## 4. 소비자 도입을 가로막는 요소는 무엇인가요? 소비자 시장에서 하드웨어 바운드 [패스키 도입](https://www.corbado.com/blog/passkey-adoption-business-case)을 막는 4가지 구조적 역풍이 있습니다. 바로 OS와 브라우저의 프롬프트 계층 구조, [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)의 NFC 파편화, 기기 분실 후의 까다로운 복구, 그리고 소비자 직접 판매 비용입니다. 하드웨어 공급업체가 단독으로 해결할 수 있는 문제는 하나도 없습니다. ### 4.1 OS 및 브라우저 계층 구조 Apple의 [AuthenticationServices](https://developer.apple.com/documentation/authenticationservices)는 iCloud Keychain을 기본값으로 사용합니다. [신뢰 당사자(relying party)](https://www.corbado.com/glossary/relying-party)가 `authenticatorAttachment`를 `cross-platform`으로 설정하더라도, 사용자는 여전히 플랫폼 창을 먼저 닫아야 합니다. Google의 [Credential Manager](https://developer.android.com/identity/sign-in/credential-manager) 역시 Android에서 [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)를 통해 동일하게 작동합니다. StatCounter에 따르면 [Safari와 Chrome이 합쳐서 모바일 브라우저 점유율의 약 84%를 차지](https://gs.statcounter.com/browser-market-share/mobile/worldwide)하므로, 두 공급업체가 사실상 전체 소비자 웹의 프롬프트 UX를 설정하고 있습니다. 또한 [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide)의 전 세계 모바일 점유율과 집계된 보안 키 출하량 데이터를 비교해 보면, 소비자의 99% 이상이 전용 보안 키를 소유하지 않기 때문에 브라우저는 하드웨어 키 UX에 과소 투자하고 있습니다. 이는 피드백 루프를 생성합니다. 열악한 UX는 낮은 도입률로 이어집니다. 낮은 도입률은 투자가 없음을 의미합니다. 투자 부족은 다시 나쁜 UX로 이어집니다. ### 4.2 Android에서의 NFC 파편화 Android에서의 NFC 동작은 제조업체마다 크게 다릅니다. [Samsung](https://www.corbado.com/blog/samsung-passkeys), [Xiaomi](https://www.mi.com/global/), [Oppo](https://www.oppo.com/), [Google Pixel](https://store.google.com/category/phones)은 모두 [Android Open Source](https://source.android.com/) 위에 서로 다른 NFC 스택을 탑재합니다. [Android Issue Tracker](https://issuetracker.google.com/)에 따르면, 일부 Android 14 빌드는 2024년에 몇 달 동안 타사 [패스키 프로바이더(passkey provider)](https://www.corbado.com/blog/passkey-providers) 지원을 중단시키기도 했습니다. Pixel 8에서는 정상적으로 탭이 작동하는 FIDO2 스마트 카드가 Galaxy S23 Ultra에서는 실패할 수 있으며 Xiaomi 14에서는 또 다르게 동작할 수 있습니다. [Google Android Compatibility Program](https://source.android.com/docs/compatibility/overview)의 중앙 테스트 프로그램은 이러한 회귀 문제를 소비자에게 도달하기 전에 잡아내지 못합니다. ### 4.3 복구 및 분실 동기화 패스키는 사용자가 새 기기에서 로그인할 때 자동으로 복구됩니다. 하드웨어 자격 증명은 그렇지 않습니다. 보안 키를 잃어버리거나 스마트 카드가 망가진 사용자는 계정 복구 과정을 거치거나 종종 덜 안전한 방법에 의존해야 합니다. [Verizon 2024 데이터 침해 조사 보고서(Data Breach Investigations Report)](https://www.verizon.com/business/resources/reports/dbir/)에 따르면 데이터 침해의 68%에는 자격 증명 복구 악용을 포함하여 악의가 없는 인적 요소가 개입되어 있습니다. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption)는 또한 계정 복구가 인증 타협의 흔한 경로라고 명시적으로 경고합니다. 즉, 하드웨어 바인딩은 복구 채널만큼만 강력하기 때문에, [신뢰 당사자](https://www.corbado.com/glossary/relying-party)가 실리콘 공급업체만큼이나 많은 보안 부담을 져야 함을 의미합니다. ### 4.4 배포 및 비용 소비자용 보안 키는 제조업체 가격 책정 페이지에 따라 40~80달러에 [소매 판매](https://www.corbado.com/passkeys-for-e-commerce)됩니다. 자신의 계정이 위험에 처해 있다고 생각하지 않는 소비자는 기꺼이 지불하지 않을 것입니다. 비용을 감수하는 은행과 암호화폐 거래소는 기기를 무료로 제공할 수 있지만, 그렇게 되면 그들이 지원 부담을 떠안게 됩니다. [CompoSecure 투자자 자료](https://ir.compositionusa.com/) 등 스마트 카드 공급업체의 공개 자료에 따르면 신용카드와 번들로 제공되는 스마트 카드는 카드당 5~15달러의 기본 비용 위에 2~5달러를 추가합니다. 이러한 4가지 역풍은 하드웨어가 옵션으로 제공되더라도 FIDO Alliance Barometer에 따르면 왜 금융 서비스 부문 소비자 등록의 95% 이상을 동기화 패스키가 차지하는지 설명해 줍니다. ## 5. 하드웨어 바운드 패스키가 실제로 승리하는 분야는 어디인가요? 소비자에게 전용 하드웨어를 소지할 실질적인 이유를 제공하는 분야는 크게 [뱅킹](https://www.corbado.com/passkeys-for-banking) 및 [결제](https://www.corbado.com/passkeys-for-payment), 암호화폐 셀프 커스터디, 고가치 계정 등 세 가지 카테고리입니다. 각 분야는 강력한 동인, 신뢰할 수 있는 유통 경로, 그리고 불편함을 감수할 만큼 심각한 결과를 결합합니다. 이 세 가지 부문을 제외하면 일반적으로 동기화 패스키가 편의성 측면에서 승리합니다. ### 5.1 뱅킹 및 결제 은행은 가장 자연스러운 유통 채널입니다. 그들은 이미 고객에게 실물 카드를 배송하고 있습니다. 또한 은행은 [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [EBA SCA 가이드라인](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money), 인도 RBI [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity) 및 APRA CPS 234 규정의 적용을 받습니다. 이러한 규정 중 상당수는 동기화 패스키가 명확하게 충족하지 못하는 암호학적 소유 기반 팩터를 요구합니다. "신용카드로서의 스마트 카드"라는 주장은 카드가 이미 존재하기 때문에 효과가 있습니다. [CompoSecure 10-K](https://ir.compositionusa.com/sec-filings) 자료에 따르면 메탈 카드를 발급하는 은행은 카드당 5~15달러를 지불합니다. [Juniper Research](https://www.juniperresearch.com/)의 생체 인식 카드 비용 분석에 따르면, FIDO2를 추가하면 7~20달러까지 비용이 올라갑니다. 그러면 이 단일 카드로 칩 앤 핀, NFC 탭 투 페이(tap-to-pay), ATM 출금, 온라인 [뱅킹](https://www.corbado.com/passkeys-for-banking) 로그인 및 고가치 [3DS 트랜잭션 확인](https://www.corbado.com/blog/3ds-webauthn)을 모두 처리할 수 있습니다. 소비자에게 "하드웨어 [인증기](https://www.corbado.com/glossary/authenticator)를 원하십니까?"라고 묻는 일은 없습니다. 카드는 그저 우편으로 도착할 뿐입니다. ### 5.2 암호화폐 및 셀프 커스터디 암호화폐 사용자는 이미 하드웨어를 가지고 다니는 개념을 받아들이고 있습니다. 기업 [홈페이지](https://www.ledger.com/about)에 따르면 [Ledger](https://www.ledger.com/)는 700만 대 이상의 Nano 기기를 출하했으며 40억 달러 이상의 누적 하드웨어 매출을 보고했습니다. [Trezor](https://trezor.io/)는 200만 대 이상을 출하했습니다. 보안 키 역시 암호화폐 거래소 MFA에서 오랜 입지를 다져왔으며, [Coinbase](https://www.corbado.com/blog/coinbase-passkey), [Kraken](https://www.kraken.com/security) 및 [Binance](https://www.corbado.com/blog/binance-passkeys) 모두 FIDO2 키를 지원합니다. 하드웨어 [지갑](https://www.corbado.com/blog/digital-wallet-assurance)에 FIDO2를 추가하는 것은 점진적인 엔지니어링 작업에 불과합니다. 50,000달러 규모의 포트폴리오를 보호하는 100달러짜리 기기는 분명 가지고 다닐 가치가 있습니다. 암호화폐는 소비자가 자발적으로 하드웨어를 구매하는 유일한 소비자 카테고리로 남아 있습니다. ### 5.3 고가치 소비자 계정 계정을 탈취당할 경우 돌이킬 수 없는 피해를 입는 더 작은 규모의 소비자 그룹이 있습니다. 주요 이메일, 정부 디지털 아이덴티티 [지갑](https://www.corbado.com/blog/digital-wallet-assurance), [YouTube](https://www.youtube.com/) 또는 [Twitch](https://www.twitch.tv/)의 크리에이터 계정, 언론인 자격 증명이 대표적인 예입니다. Google의 [고급 보호 프로그램(Advanced Protection Program)](https://landing.google.com/advancedprotection/)은 이러한 집단을 "언론인, 인권 운동가, 정치 캠페인 스태프와 같은 고위험 사용자"로 설명합니다. OpenAI는 2026년 4월에 출시한 ChatGPT를 위한 [고급 계정 보안(Advanced Account Security)](https://openai.com/index/advanced-account-security/) 프로그램에서 동일한 플레이북을 따랐습니다. 이 프로그램은 [Yubico](https://www.yubico.com/openai-and-yubico/)와 협력하여 약 68달러에 공동 브랜드 [YubiKey](https://www.corbado.com/glossary/yubikey) C NFC 및 [YubiKey](https://www.corbado.com/glossary/yubikey) C Nano 투 팩을 출시했습니다. 이 프로그램은 비밀번호와 이메일 또는 SMS 로그인을 완전히 비활성화하고 패스키나 물리적 보안 키를 요구하며 언론인, 선출직 공무원, 반체제 인사 및 기타 고위험 ChatGPT 사용자를 대상으로 합니다. 추가 보안 계층을 위해 68달러를 지불할 사용자가 얼마나 될지는 아직 알 수 없지만, 이는 고가치 소비자 계정이 암호화폐와 금융권을 넘어서 자발적인 하드웨어 도입을 이끌어낼 수 있는지를 보여주는 가장 명확한 테스트입니다. 또한 Cisco의 [2024 사이버 보안 준비도 지수(Cybersecurity Readiness Index)](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html)에 따르면 성숙한 보안 태세를 갖춘 조직은 3%에 불과합니다. [GAO 2024 사이버 보안 보고서](https://www.gao.gov/cybersecurity)는 계정 탈취를 상위 5대 연방 사이버 보안 위험 중 하나로 꼽았으며, 이는 기존의 언론인이라는 틈새 시장을 넘어 이와 같은 보호 조치가 필요한 소비자의 범위를 훨씬 넓혀줍니다. ## 6. 하드웨어만으로는 승리할 수 없는 이유 가장 좋은 하드웨어를 소유하고 있다고 해서 소비자 시장 점유율이 보장되는 것은 아닙니다. 하드웨어 공급업체와 엔드투엔드 소비자 제품 사이에는 배포, 온보딩, 복구, 기기 간 여정, 측정이라는 다섯 가지 간극이 존재합니다. 각각의 간극에는 실리콘 설계 이외의 기술이 필요합니다. 1. **배포**: 하드웨어 회사들은 소비자와 직접적인 관계가 거의 없습니다. 이론적으로 누구나 yubico.com에서 [YubiKey](https://www.corbado.com/glossary/yubikey)를 주문할 수 있지만, 실제로 구매자는 보안 전문가, IT 관리자 및 소수의 매니아층입니다. 이 채널은 주류 소비자로 확장되지 않으며, 브랜드 이름을 들어본 적도 없는 소비자가 스스로 50달러짜리 인증기를 검색하지도 않을 것입니다. 은행, 통신사, 소매업체, OS 공급업체가 소비자와의 관계를 소유하고 있으므로, 소비자 규모의 하드웨어 공급업체에게는 파트너나 화이트 레이블 계약이 필요합니다. 2. **온보딩**: 소비자가 패스키를 설정하기 위해 거쳐야 하는 모든 단계에서 이탈이 발생합니다. 실제 은행권 배포 사례에 따르면 등록 퍼널 전반에서 30~60%의 이탈률이 보고되었으며, 이는 [Baymard Institute 장바구니 이탈률 벤치마크](https://baymard.com/lists/cart-abandonment-rate)와 일치합니다. 3. **복구**: 복구 스토리가 없는 소비자 제품은 결함이 있는 것입니다. 복구에는 계정 수준 신호, [아이덴티티 검증](https://www.corbado.com/blog/digital-identity-guide) 및 위험도 점수 측정이 필요하며, 이 모든 것은 [신뢰 당사자](https://www.corbado.com/glossary/relying-party) 내부에 존재합니다. 4. **기기 간 여정**: 사용자는 한 명이 휴대폰, 노트북, 스마트 TV, 자동차 등 여러 기기에서 로그인합니다. 하드웨어 바운드 자격 증명은 단 하나의 기기에만 존재합니다. 따라서 막다른 골목을 피하려면 하드웨어와 동기화된 자격 증명 간의 스마트한 라우팅이 필요합니다. 5. **측정**: 하드웨어 공급업체는 대개 제품을 배송하면 잊어버립니다. 그들은 판매된 기기와 활성화된 라이선스 수만 셉니다. WebAuthn 프로세스가 실패하거나 사용자가 탭을 포기하는 것은 확인하지 않습니다. 측정이 없으면 나머지 4개의 간극도 메울 수 없습니다. 자체 제품 내에서 이 5가지 간극을 모두 해결하는 공급업체는 엔드투엔드 인증 플랫폼이 됩니다. 그렇지 못한 공급업체는 컴포넌트 비즈니스에 머물면서 다른 회사의 플랫폼에 납품하게 됩니다. ## 7. 진정한 레버리지: 도입 엔지니어링(Adoption Engineering) 도입 엔지니어링이란 하드웨어 바운드 패스키를 등록을 유도하고, 모든 인증 프로세스를 측정하며, 실패한 경로를 우회하는 소프트웨어와 결합하는 것을 의미합니다. 이러한 활동 중 어느 것도 하드웨어 자체에 대한 것은 아닙니다. 이 네 가지 활동 모두 소비자 시장에서 성공하기 위해 반드시 필요하며, 오직 폐쇄 루프(closed loop)로서만 작동합니다. 아래 다이어그램은 이 4가지 활동이 어떻게 서로 맞물려 작동하는지 보여줍니다. [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/)에 따르면 소비자의 53%가 최소 하나의 계정에서 패스키를 활성화했지만, 규제 대상 여정에서 하드웨어 바운드 활성화율은 여전히 5% 미만입니다. 이는 10배의 격차이며, 이를 좁히는 것이 바로 도입 엔지니어링입니다. [W3C WebAuthn 워킹 그룹](https://www.w3.org/Webauthn/)은 이 격차를 사양의 문제가 아닌 배포의 문제로 취급합니다. ### 7.1 퍼널 수준의 텔레메트리 퍼널 수준에서 [패스키 관측성](https://www.corbado.com/blog/authentication-observability)은 "사용자 로그인 클릭"부터 "세션 토큰 발급"에 이르기까지 모든 단일 단계를 측정합니다. 이러한 계측 시스템이 없다면 팀은 "사용자가 하드웨어 옵션을 보지 못함", "사용자가 옵션을 보고 탭했지만 NFC가 실패함", "사용자가 프로세스를 완료했지만 신뢰 당사자가 결과를 거부함" 사이의 차이를 구별할 수 없습니다. 퍼널 텔레메트리는 하드웨어 패스키 활성화율, 기기별 하드웨어 패스키 성공률, 완료 시간, 단계별 이탈률 등 실제로 중요한 지표를 제공합니다. [W3C WebAuthn Level 3 사양](https://www.w3.org/TR/webauthn-3/)은 인증 프로세스에서 반환할 수 있는 14가지 고유 오류 코드를 정의하지만, [FIDO Alliance Authenticate 2024 배포 관련 세션](https://fidoalliance.org/content/event/2024-authenticate-conference/)에 따르면 대부분의 프로덕션 배포는 5개 미만의 오류 코드만 계측하고 있습니다. ### 7.2 세션 수준의 진단 단일 인증이 실패하면 지원 팀은 정확히 무슨 일이 일어났는지 확인해야 합니다. 세션 수준의 진단은 전송 방식(NFC, USB 또는 BLE), CTAP 오류 코드, 브라우저, OS 버전, 기기 제조업체 및 프로세스 각 단계의 타이밍을 캡처합니다. [FIDO CTAP 2.1 사양](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html)은 [인증기](https://www.corbado.com/glossary/authenticator)가 반환할 수 있는 20개 이상의 오류 코드를 정의하며, 이들은 [W3C WebAuthn Level 3 사양](https://www.w3.org/TR/webauthn-3/)에서 특정 사용자 복구 작업에 매핑됩니다. 이러한 텔레메트리가 없으면 지원 상담원은 "로그인 실패"만 보게 되며 불필요하게 계정 복구를 시작할 수 있습니다. ### 7.3 기기 인텔리전트 라우팅 특정 기기와 OS 조합은 일관되게 문제를 일으킵니다. 대규모 배포의 실제 데이터에 따르면 일부 문제가 있는 조합에서는 40~90%의 중단율이 발생하며, 공통적인 패턴은 [Android Issue Tracker](https://issuetracker.google.com/) 및 [FIDO Alliance Authenticate 2024 세션](https://fidoalliance.org/content/event/2024-authenticate-conference/)에 문서화되어 있습니다. 알려진 문제 조합에서 하드웨어 옵션을 숨기고 다음으로 좋은 경로로 폴백하는 라우팅 로직은 사용자가 실패 상황에 빠지는 것을 막아줍니다. 그러나 이러한 라우팅 결정은 [OpenSignal 기기 데이터베이스](https://www.opensignal.com/)가 추적하는 약 24,000개의 고유한 Android 기기 모델 전반에 걸쳐 관측성 데이터를 통해 문제가 있는 기기 쌍을 식별한 후에만 내릴 수 있습니다. ### 7.4 발급사와의 지속적인 반복 작업 [Gartner 아이덴티티 프로그램 연구](https://www.gartner.com/en/information-technology/insights/identity-and-access-management)에 따르면, 은행과 핀테크 기업은 일반적으로 6~12개월 주기로 파일럿 및 전체 배포를 실행합니다. 승리하는 플랫폼은 관측성 데이터를 매주 릴리스 노트로 전환하여 버그를 수정하고 성공률을 꾸준히 향상시킵니다. 분기별 검토를 통한 정적인 배포는 지속적인 반복 작업에 밀릴 수밖에 없습니다. ## 8. 그렇다면 소비자 경쟁의 진정한 승자는 누구일까요? 하드웨어만 다루는 기업은 소비자 경쟁에서 결코 승리할 수 없습니다. 소비자 인증 플랫폼의 역할을 두고 은행과 [발급사](https://www.corbado.com/glossary/issuer), 소프트웨어 계층을 구축하는 하드웨어 공급업체, 그리고 OS 플랫폼 등 세 가지 아키타입이 경쟁하고 있습니다. 오늘날에는 은행이 선두에 서 있습니다. 실물 카드 유통망을 보유하고 있으며 [PSD2](https://www.corbado.com/blog/psd2-passkeys) 및 [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity)와 같은 규제의 지원을 받고 있기 때문입니다. OS 플랫폼은 판매되는 모든 휴대폰과 노트북에 이미 실리콘이 내장되어 있지만, [Apple](https://www.apple.com/)과 [Google](https://www.google.com/)이 패스키 동기화를 기본값으로 유지하는 한 이들은 동기화 패스키 경쟁자일 뿐 하드웨어 바운드 패스키 경쟁자는 아닙니다. ### 8.1 오늘날 은행이 앞서가는 이유 현재 은행은 소비자 하드웨어 바운드 패스키 시장을 주도하고 있습니다. 네 가지 유리한 조건이 겹쳐 있습니다. 첫째, 은행은 이미 실물 카드를 발급합니다. 둘째, [PSD2](https://www.corbado.com/blog/psd2-passkeys), PSD3, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI 및 [APRA CPS 234](https://www.apra.gov.au/information-security) 등의 규제 환경이 뒷받침합니다. 셋째, 소비자의 신뢰를 확보하고 있습니다. 넷째, 스마트 카드 공급업체의 공개 자료에 따르면 포트폴리오 전반에 걸쳐 2~5달러의 단가 인상분을 흡수할 여력이 있습니다. 이 4가지 이점을 도입 엔지니어링과 결합하는 은행은 패스키를 사용하는 고객으로부터 다년간의 유지율을 확보할 수 있습니다. 반면 하드웨어 제품만 구매하고 작업이 끝났다고 생각하는 은행은 업계가 지난 2년 동안 보고해 온 것과 같은 한 자릿수 활성화율에 머물게 될 것입니다. ### 8.2 소프트웨어를 구축하는 하드웨어 벤더는 어떤가요? 두 번째 아키타입은 소프트웨어 계층도 함께 구축하는 하드웨어 공급업체입니다. 여러 보안 키 및 스마트 카드 제조업체가 이러한 전환을 시작했지만, 이들이 어떤 종류의 소프트웨어를 배포하는지 정확히 파악할 필요가 있습니다. 이러한 제품의 대부분은 IAM, 기기 관리(fleet-management) 또는 [적응형 인증(adaptive authentication)](https://www.corbado.com/blog/continuous-passive-authentication) 플랫폼이지 소비자 도입 격차를 줄이는 데 필요한 퍼널 수준의 [패스키 관측성](https://www.corbado.com/blog/authentication-observability)은 아닙니다. - [Yubico](https://www.yubico.com/)는 보안 키 공급업체 중 가장 완성도 높은 플랫폼을 구축했습니다. [YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/) 구독은 사용자당 라이선스, 기기 배포 및 관리를 위한 고객 포털, FIDO Pre-reg, Enroll 앱 및 SDK, Okta, Microsoft Entra ID 및 Ping Identity와 통합된 글로벌 배송을 결합합니다. 하지만 이 제품은 주로 기업용 배송 및 수명 주기 관리 계층이며, 소비자 도입을 위한 분석 도구는 아닙니다. - [Thales](https://cpl.thalesgroup.com/access-management)는 자사의 SafeNet eToken 및 스마트 카드 하드웨어를 [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) 및 [적응형 인증](https://www.corbado.com/blog/continuous-passive-authentication) 기능을 갖춘 클라우드 ID-as-a-Service 플랫폼인 [SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access)와 연결합니다. - [OneSpan](https://www.onespan.com/)은 은행 및 핀테크에 초점을 맞춰 DIGIPASS 하드웨어를 [OneSpan Cloud Authentication](https://www.onespan.com/products/cloud-authentication) 플랫폼 및 지능형 [적응형 인증](https://www.corbado.com/blog/continuous-passive-authentication)과 번들로 제공합니다. - [HID Global](https://www.hidglobal.com/)은 Crescendo 스마트 카드를 [HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service) 및 HID Approve 모바일 인증기와 함께 제공합니다. - [CompoSecure](https://www.compositionusa.com/)는 [Arculus](https://www.arculus.co/) FIDO2 스마트 카드를 보조 [지갑](https://www.corbado.com/blog/digital-wallet-assurance) 앱과 발급사용 개발자 SDK로 확장합니다. 지금까지 이러한 공급업체 대부분은 여전히 하드웨어에서 매출의 상당 부분을 얻고 있습니다. 디바이스 배송 및 IAM에서 진정한 프로세스 수준의 [패스키 관측성](https://www.corbado.com/blog/authentication-observability)으로 소프트웨어 스택을 확장하는 공급업체만이 엔드투엔드 도입을 주도할 수 있습니다. 그렇지 못한 업체는 엔터프라이즈 내에 부품 공급업체로 갇혀 있게 됩니다. ### 8.3 OS 플랫폼은 어떤가요? OS 플랫폼은 특별한 경우입니다. [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web), [Android StrongBox](https://source.android.com/docs/security/features/keystore), [Windows 11](https://www.corbado.com/blog/passkeys-windows-11)의 [Pluton 칩](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor)과 같이 이들이 판매하는 모든 기기 내부에 하드웨어가 존재합니다. 하지만 Apple과 Google의 기본 [패스키 정책](https://www.corbado.com/faq/multiple-passkeys-per-account)이 동기화이므로 소비자는 구매 즉시 진정한 하드웨어 바운드 자격 증명을 얻지 못합니다. iCloud Keychain과 Google Password Manager는 기기 간에 키를 복사하므로 사용자가 볼 때는 [동기화 패스키](https://www.corbado.com/blog/device-bound-synced-passkeys)와 동일하게 동작합니다. Microsoft의 TPM 바운드 Windows Hello는 키를 로컬에 보관하는 유일한 소비자용 보안 요소이지만, Edge 역시 동기화 방향으로 이동하고 있으며, Windows Hello는 별도의 하드웨어 구매가 필요하지 않기 때문에 하드웨어 바운드 소비자 경쟁에서 제외됩니다. 이론적으로 Apple, Google 또는 Microsoft가 동기화 패스키만큼 세련된 UX를 제공하는 플랫폼 바운드, 비동기화 패스키를 노출하여 이 카테고리를 재정의할 수 있습니다. 하지만 그럴 계획이 있다는 공개적인 징후는 없습니다. 동기화가 기본값으로 유지되는 한, OS 플랫폼은 동기화 패스키에서의 경쟁자일 뿐이며 하드웨어 바운드 패스키 분야에서는 경쟁자가 아닙니다. 따라서 전용 보안 키와 FIDO2 스마트 카드만이 유일한 진정한 소비자용 하드웨어 경로로 남습니다. ### 8.4 진정한 경쟁은 어떤 모습일까요? 진정한 경쟁은 "보안 키 대 스마트 카드"가 아닙니다. 진짜 중요한 질문은 하드웨어가 필수적인 곳에 하드웨어를 배치하고, 그 외의 모든 곳에 소프트웨어, 데이터 및 도입 엔지니어링을 결합하는 소비자 인증 플랫폼을 누가 구축하느냐는 것입니다. [FIDO Alliance Authenticate 2024 기조연설](https://fidoalliance.org/content/event/2024-authenticate-conference/)에 따르면 향후 3~5년 동안 가장 유력한 승자는 다음과 같습니다. - FIDO2 스마트 카드를 기본 소비자 경험으로 전환하는 3~5개의 대형 은행 및 결제 네트워크. - IAM 및 기기 관리에 그치지 않고 진정한 인증 과정 수준의 분석을 제공하는 인증 플랫폼으로의 전환에 성공한 한두 개의 하드웨어 공급업체. - 계정 보호 강화를 위해 소비자의 5~10%가 기꺼이 하드웨어 비용을 지불한다는 사실을 증명할 수 있다면, Google의 고급 보호 프로그램이나 OpenAI의 고급 계정 보안 같은 고가치 계정 프로그램도 승자가 될 수 있습니다. 하드웨어만 판매하는 순수 하드웨어 기업이 소비자 경쟁에서 승리할 가능성은 희박합니다. 그들은 결국 다른 사람의 플랫폼 내부에 들어가는 실리콘 공급업체로 전락합니다. 엔터프라이즈 환경에서는 건전한 비즈니스이자 강력한 해자가 될 수 있지만 소비자 시장을 지배할 수는 없습니다. ## 9. 은행, 발급사 및 제품 팀의 다음 단계는 무엇인가요? [FIDO Alliance 배포 플레이북](https://fidoalliance.org/content/research/)과 [Gartner 아이덴티티 가이드라인](https://www.gartner.com/en/information-technology/insights/identity-and-access-management)에 따르면, 향후 12개월 내에 하드웨어 바운드 패스키 도입을 평가하는 모든 제품 팀에게 중요한 3가지 조치가 있습니다. 하드웨어가 실제로 빛을 발할 수 있는 사용 사례를 선택하세요. 모든 하드웨어 배포에 도입 엔지니어링을 결합하세요. 그리고 첫날부터 데이터 피드백 루프를 구축하세요. 1. **올바른 사용 사례 선택**: 고가치 [트랜잭션 확인](https://www.corbado.com/blog/3ds-webauthn), 규제 대상 여정에서의 [강화된 인증(step-up authentication)](https://www.corbado.com/glossary/step-up-authentication), 고위험군을 위한 계정 복구 등이 적합합니다. 하드웨어를 일반 소비자 로그인에 강제로 적용하지 마세요. 2. **하드웨어와 도입 엔지니어링의 결합**: 계측, [네이티브 앱](https://www.corbado.com/blog/native-app-passkeys) [오류 처리](https://www.corbado.com/blog/native-app-passkey-errors), 기기 인텔리전트 라우팅, 그리고 [동기화 패스키](https://www.corbado.com/blog/device-bound-synced-passkeys) 기준선 대비 명시적 측정을 반드시 병행해야 합니다. 3. **초기 단계부터 데이터 루프 구축**: 퍼널 텔레메트리는 전체 출시 이후가 아니라 첫 번째 파일럿과 함께 배포해야 합니다. 어떤 Android 제조업체, 어떤 [iOS](https://www.corbado.com/blog/webauthn-errors) 버전, 어떤 브라우저 조합이 탭 성공률을 떨어뜨리는지 확인하는 팀은 몇 주 만에 문제를 개선할 수 있습니다. 그렇지 않은 팀은 일화성 증언에 의존하며 고객 지원 티켓이 들어올 때까지 기다려야만 합니다. 하드웨어 공급업체를 향한 메시지는 훨씬 더 예리합니다. 부품 공급업체로 남을 것인지 아니면 플랫폼을 구축할 것인지 결정하십시오. 둘 다 실현 가능성이 있습니다. 완전히 헌신하지 않고 두 가지를 모두 시도하면 플랫폼 투자는 자금 부족에 시달리고 실리콘 로드맵은 주의가 분산될 것입니다. ## 10. 결론 하드웨어 바운드 패스키는 여전히 [NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html)를 충족하고, 클라우드 계정 침해에도 살아남으며, [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) 및 유사 규정의 가장 엄격한 해석을 명확하게 만족시키는 유일한 소비자 자격 증명 유형입니다. 기술은 견고합니다. 실리콘은 강력합니다. 표준은 성숙했습니다. 하지만 기술 자체만으로는 소비자 도입을 쟁취할 수 없습니다. Apple과 Google은 OS와 브라우저 계층을 장악하고 있습니다. 은행과 발급사는 소비자 유통망을 지배합니다. 하드웨어 공급업체는 실리콘을 통제합니다. 소비자 경쟁의 승자는 소프트웨어 플랫폼을 통해 이 세 가지를 모두 결합하여 도입을 이끌어내고, 모든 인증 과정을 측정하며, 문제 구간을 우회하는 플레이어가 차지할 것입니다. 승리의 공식은 하드웨어와 [패스키 관측성](https://www.corbado.com/blog/authentication-observability), 그리고 지속적인 도입 엔지니어링의 결합입니다. 이 세 가지를 모두 제공하는 공급업체 또는 [발급사](https://www.corbado.com/glossary/issuer)가 향후 10년의 소비자 플레이북을 쓰게 될 것입니다. 그렇지 않은 다른 모든 플레이어는 그저 다른 사람의 플랫폼에 부품을 공급하는 역할에 그칠 것입니다. ## 자주 묻는 질문 (FAQ) ### 하드웨어 바운드 패스키와 소비자용 동기화 패스키의 차이점은 무엇인가요? 하드웨어 바운드 패스키는 보안 키, FIDO2 스마트 카드 또는 내장형 TPM 칩과 같은 물리적 보안 요소 내부에 개인 키를 보관합니다. 이 키는 절대 해당 하드웨어를 떠나지 않습니다. 동기화 패스키는 iCloud Keychain, Google Password Manager 또는 타사 관리자에 상주하며 클라우드를 통해 여러 기기에 복사됩니다. 개인 키를 내보낼 수 없기 때문에 하드웨어 바운드 패스키는 NIST AAL3 기준을 충족합니다. 반면 동기화 패스키는 클라우드 동기화 경로를 통해 키를 복구할 수 있으므로 최대 AAL2에 머뭅니다. 이 한 단계의 보증 수준 차이는 뱅킹, 정부 기관 및 의료 분야의 규제 기관에게 매우 중요합니다. ### 패스키 도입에도 불구하고 하드웨어 보안 키가 소비자에게 주류가 되지 못한 이유는 무엇인가요? StatCounter에 따르면 Apple과 Google은 소비자의 99% 이상이 사용하는 OS와 브라우저를 장악하고 있습니다. 두 회사는 WebAuthn 프롬프트에서 자체 동기화 자격 증명 관리자를 최우선으로 보여줍니다. Apple AuthenticationServices 및 Android Credential Manager 문서에 나타난 바와 같이, 하드웨어 인증기는 모든 기본 흐름에서 1~3번 더 클릭해야 하는 깊은 곳에 위치해 있습니다. Android 기기에서의 NFC 동작은 휴대폰 제조업체마다 파편화되어 있으며, Conditional UI는 기본적으로 동기화된 자격 증명을 가리킵니다. 게다가 대부분의 소비자는 서비스가 강제하지 않는 한 별도의 인증기를 구매하기 위해 40~80달러를 지불하지 않으려 합니다. ### 소비자에게 하드웨어 바운드 패스키가 정당화되는 사용 사례는 무엇인가요? 세 가지 카테고리가 소비자에게 충분한 동기를 부여합니다. 첫 번째는 뱅킹 및 결제 부문으로, PSD2, PSD3, 인도 RBI, 호주 APRA CPS 234 규정 모두 강력한 고객 인증을 요구합니다. 두 번째는 암호화폐 및 셀프 커스터디 부문입니다. 여기서 키를 잃는 것은 곧 자금을 잃는 것을 의미하며, Ledger와 Trezor는 이미 900만 대 이상의 기기를 출하했습니다. 세 번째는 주요 이메일, 정부 디지털 아이덴티티 지갑, 크리에이터 계정 등 탈취될 경우 돌이킬 수 없는 피해를 입는 고가치 계정입니다. Google의 고급 보호 프로그램과 2026년 4월 YubiKey 투 팩 공동 브랜딩 모델을 약 68달러에 출시한 OpenAI의 ChatGPT용 고급 계정 보안 프로그램 모두 이 타깃층을 노리고 있습니다. 이 세 가지 카테고리를 제외하면 일반적으로 동기화 패스키가 유리합니다. ### FIDO2 스마트 카드는 소비자 하드웨어 패스키 경쟁에서 어떻게 자리 잡고 있나요? (10-K 공시 기준 연간 1억 개 이상의 메탈 결제 카드를 출하하고 Arculus를 FIDO2 제품으로 제공하는) CompoSecure 및 IDEMIA 같은 스마트 카드 제조업체는 FIDO2 자격 증명을 호스팅할 수 있는 보안 요소를 갖춘 NFC 스마트 카드를 제작합니다. 소비자는 이미 신용카드를 가지고 다니기 때문에, 이 카드에 하드웨어 바운드 패스키를 추가하면 별도의 기기를 마련할 필요가 없습니다. 그런 다음 은행, 네오뱅크, 암호화폐 보관업체는 인증, 결제 및 강화된 인증(step-up)을 하나의 폼팩터로 통합할 수 있습니다. 가장 어려운 부분은 iOS 및 Android 브라우저 전반에서 NFC 탭을 안정적으로 작동시키고, 발급사가 카드당 2~5달러의 추가 비용을 감수하도록 설득하는 것입니다. ### 소비자 하드웨어 바운드 패스키 시장에서 실제로 승리하려면 무엇이 필요한가요? 좋은 하드웨어도 필요하지만 그것만으로는 불충분합니다. 진정한 승자는 신뢰할 수 있는 하드웨어 폼팩터를 인텔리전스 플랫폼과 결합하는 플레이어입니다. 이 플랫폼은 등록 및 인증의 모든 단계를 측정하고, 기기 및 OS 조합의 문제가 생겼을 때 우회 경로를 제공하며, 발급사에게 사기 건수와 지원 비용이 감소하고 있음을 증명합니다. 퍼널 수준의 패스키 관측성이 없다면, 공급업체와 은행은 FIDO Alliance Authenticate 2024 배포 세션에서 문서화된 패턴처럼 사용자의 60%가 NFC 탭을 포기한다거나, W3C WebAuthn Level 3 사양에 언급된 대로 Conditional UI가 소리 없이 프롬프트를 무시했다는 사실조차 알 수 없습니다. 이 경쟁의 승패는 어떤 키의 티타늄 껍질이 가장 튼튼한지가 아니라, 데이터와 소프트웨어에 의해 결정될 것입니다.