MFA 의무화 및 Passkeys로의 전환: 모범 사례

다단계 인증(Multi-Factor Authentication)(MFA)은 이제 보안에 적극적인 사용자를 위한 기능에서 전 세계 조직이 반드시 따라야 하는 의무적인 현실로 확실히 자리 잡았습니다. 이러한 변화는 선택이 아닌 필수에서 비롯되었습니다. 끊임없는 자격 증명 기반 사이버 공격과 점점 더 거세지는 규제 압박이 그 원인입니다. 이제 금융 서비스부터 공공 부문에 이르기까지 다양한 산업에서 MFA를 규정 준수의 기본 요건으로 삼는 프레임워크 하에 운영됩니다. 이처럼 MFA가 선택이 아닌 필수가 된 새로운 시대는 초기 기술 구현을 훨씬 뛰어넘는 복잡한 문제들을 연쇄적으로 야기합니다.

모든 사용자가 MFA를 사용해야 할 때, 모든 조직이 답해야 하는 새로운 핵심 질문들이 생겨납니다. 이 글에서는 이러한 과제들을 심도 있게 탐색하며 명확한 해결책을 제시하고자 합니다. 다룰 내용은 다음과 같습니다.

1. MFA를 대규모로 의무화할 때 숨겨진 운영 비용과 사용자 경험의 함정은 무엇일까요?

2. 사용자에게 선택권이 주어졌을 때, 실제로 어떤 MFA 방식을 채택하며 이는 어떤 보안 위험을 초래할까요?

3. MFA 의무화 환경에서 계정 복구가 어떻게 새로운 핵심 과제가 되며, 이를 해결하기 위한 장단점은 무엇일까요?

4. Passkeys가 왜 단순히 또 다른 옵션이 아니라, MFA 의무화로 인해 발생한 바로 그 문제에 대한 전략적 해결책이 될까요?

5. 의무화된 기존 MFA에서 Passkeys의 우수한 보안과 사용자 경험으로 성공적으로 전환하기 위한 실용적이고 단계적인 청사진은 무엇일까요?

이 분석을 통해 단일 인증(SFA)에서 의무적 MFA로, 그리고 나아가 의무적 Passkeys로 성공적으로 전환하기 위한 명확하고 실행 가능한 청사진을 제공할 것입니다.

의무화의 어려움을 살펴보기 전에, 인증 환경을 명확히 이해하고 왜 의무화가 근본적으로 이를 바꾸는지 알아두는 것이 중요합니다. 용어 자체가 혼란의 원인이 될 수 있지만, 그 차이점을 아는 것은 모든 보안 또는 제품 전략에 있어 매우 중요합니다.

인증의 발전은 가장 기본적인 형태의 내재된 약점에 대한 직접적인 대응이었습니다.

• 단일 인증(Single-Factor Authentication, SFA): 익숙한 사용자 이름과 비밀번호 조합입니다. 이는 사용자가 아는 단일 '지식' 요소에 의존합니다. 피싱(phishing), 크리덴셜 스터핑(credential stuffing), 무차별 대입 공격에 대한 취약점이 더 강력한 방법을 찾게 된 주된 동기입니다.

• 2단계 인증(Two-Step Verification, 2SV): 종종 MFA와 혼용되지만, 2SV는 별개이며 더 약한 프로세스입니다. 두 단계의 인증이 필요하지만, 동일한 범주의 두 가지 요소를 사용할 수 있습니다. 일반적인 예로 비밀번호 다음에 보안 질문을 사용하는 것인데, 둘 다 '지식' 요소입니다. SFA보다는 낫지만, 진정한 다단계 보안의 기준에는 미치지 못합니다.

• 다단계 인증(Multi-Factor Authentication, MFA): 보안의 황금 표준인 MFA는 서로 다른 범주의 인증 요소 중 최소 두 가지를 요구합니다. 세 가지 주요 범주는 다음과 같습니다.

  • 지식: 사용자가 아는 것 (예: 비밀번호, PIN).

  • 소유: 사용자가 가진 것 (예: 코드를 수신하는 휴대폰, 하드웨어 보안 키).

  • 생체: 사용자의 고유한 신체 정보 (예: 지문, 얼굴 인식).

선택 사항이었던 MFA가 의무 사항으로 바뀌는 것은 패러다임의 전환입니다. 선택적인 시스템에서는 보안에 가장 민감한 사용자들이 점진적으로 채택하므로 실제 마찰 지점이 잘 드러나지 않습니다. 하지만 의무화는 기술에 능숙한 사용자부터 그렇지 않은 사용자까지 전체 사용자 기반을 새로운 시스템으로 동시에 이동시켜, 사용자 경험과 지원 구조의 모든 결점을 드러냅니다.

이러한 변화는 규제적 촉매, 특히 유럽의 두 번째 결제 서비스 지침(PSD2)과 그에 따른 강력한 고객 인증(Strong Customer Authentication)(SCA) 요구 사항에 의해 가속화되었습니다. 이 규정은 대부분의 온라인 거래에 MFA를 의무화함으로써 유럽 결제 환경을 근본적으로 재편했습니다. 금융 기관에 개방형 API와 더 강력한 보안을 채택하도록 강제함으로써, PSD2는 강제 인증에 대한 거대한 실제 사례 연구를 제공합니다.

SCA의 주요 목표는 전자 결제에 두 가지 독립적인 인증 요소를 요구하여 사기를 줄이는 것이었습니다. 그러나 초기 도입 과정에서는 상당한 마찰이 발생하여 일부 유럽 가맹점은 사용자 혼란과 장바구니 포기로 인해 거래의 거의 40%를 잃기도 했습니다. 시간이 지나면서 생태계는 적응했고, 2024년 8월 유럽 중앙은행 보고서는 SCA 인증 거래의 사기율이 현저히 낮아졌음을 확인했습니다. 이는 장기적인 보안 이점을 보여주지만, 보안과 사용자 경험의 균형을 맞추는 것이 얼마나 중요한지를 강조합니다.

이러한 의무화는 처음에는 마찰을 일으키지만, 비자발적인 대중 교육 환경을 조성하기도 합니다. 수백만 명의 사용자가 은행의 요구에 따라 지문이나 코드로 거래를 승인하게 되면, 두 번째 인증 요소라는 개념에 익숙해집니다. 규제에 의해 주도된 이러한 정상화 과정은 역설적으로 다른 조직들이 MFA를 도입하는 길을 순탄하게 만듭니다. 대화의 초점이 "MFA가 무엇이고 왜 필요한가요?"에서 "이미 알고 계신 보안 단계를 더 쉽게 할 수 있는 새로운 방법입니다"로 바뀔 수 있습니다. 이는 Passkeys와 같은 우수한 경험을 소개하기 위한 완벽한 기반을 만듭니다.

이러한 규정의 구체적인 내용과 Passkeys와의 관계에 대해 더 자세히 알고 싶다면 다음 자료를 참고하세요.

• PSD2 & SCA 요구 사항 분석

• SCA 요구 사항이 Passkeys에 미치는 영향

• PSD2 Passkeys: 피싱 방지 PSD2 준수 MFA

• PSD3 / PSR이 Passkeys에 미치는 영향

• PSD3 / PSR 하의 위임 인증 & Passkeys

전체 사용자 기반에 MFA를 시행하면 초기 계획 단계에서 종종 과소평가되는 여러 실질적인 문제들이 드러납니다. 이러한 문제들은 사용자 경험, 보안 태세, 운영 비용에 영향을 미칩니다.

등록이 의무화되면, 좋지 않은 사용자 경험은 더 이상 단순한 불편함이 아니라 비즈니스 운영에 직접적인 장애물이 됩니다. 조직은 일반적으로 두 가지 전략 중 하나를 선택합니다: 다음 로그인 시 MFA 설정을 요구하는 강제 등록 또는 시간을 두고 사용자에게 안내하는 점진적 등록입니다. 강제 등록이 규정 준수를 더 빨리 달성할 수 있지만, 프로세스가 원활하지 않으면 사용자 불만과 이탈률이 높아질 위험이 있습니다. 성공은 여러 인증 방법 제공, 명확한 지침 제공, 인증기 앱을 위한 QR 코드와 함께 텍스트 기반 비밀 키를 제공하는 등 모든 사용자를 위한 접근성 보장과 같은 UX 모범 사례를 준수하는 데 달려 있습니다.

계정에 MFA가 활성화되면, 두 번째 인증 요소를 잃는다는 것은 완전히 계정이 잠기는 것을 의미합니다. 의무화된 환경에서는 이것이 일부 보안 의식이 높은 사용자에게만 일어나는 বিচ্ছিন্ন적인 사건이 아니라, 전체 사용자 기반과 그들을 지원하는 팀에게 광범위하고 중대한 도전이 됩니다. 이로 인해 계정 복구가 가장 큰 단일 과제가 됩니다.

금전적 손실도 큽니다. 헬프데스크를 통한 단일 비밀번호 또는 MFA 재설정은 회사에 평균 70달러의 비용을 발생시킬 수 있습니다. 수십만 명의 사용자를 보유한 조직의 경우, 복구가 필요한 사용자가 단 몇 퍼센트만 되어도 수백만 달러의 운영 비용과 생산성 손실로 이어질 수 있습니다.

조직은 보안, 비용, 편의성 사이에서 어려운 선택에 직면합니다.

• 헬프데스크 주도 복구: 지원 담당자가 화상 통화나 다른 수단을 통해 사용자의 신원을 확인할 수 있습니다. 이는 안전하고 사람이 검증하는 절차지만, 규모를 확장하기에는 비용이 너무 많이 들고 느려서 대부분의 비즈니스에는 지속 가능하지 않습니다.

• 이메일/SMS 기반 복구: 저렴한 비용과 사용자 친숙성 때문에 가장 일반적인 방법입니다. 하지만 이는 심각한 보안 취약점이기도 합니다. 공격자가 이미 사용자 이메일 계정을 탈취했다면(이는 다른 공격의 흔한 전조 증상입니다), 복구 코드를 쉽게 가로채 MFA를 완전히 우회할 수 있습니다. 이 방법은 의무화가 제공하려던 보안상의 이점을 사실상 무효화시킵니다.

• 사전 등록된 백업 코드: 등록 과정에서 사용자에게 일회용 백업 코드 세트를 제공합니다. 이메일 복구보다는 안전하지만, 초기 설정 과정에 마찰을 더합니다. 게다가 사용자들이 이 코드를 안전하게 보관하지 못하거나 잃어버리는 경우가 많아 결국 같은 계정 잠김 문제로 돌아가게 됩니다.

• 셀피-ID 인증: 이 고신뢰도 방법은 사용자가 실시간 셀피와 정부 발행 신분증(운전면허증, 여권 등) 사진을 찍도록 요구합니다. 그런 다음 AI 기반 시스템이 얼굴과 신분증을 대조하여 신원을 확인합니다. 온보딩 과정에서 신원을 확인하는 은행 및 금융 서비스에서 흔히 사용되지만, 일부 사용자에게는 개인 정보 보호 우려를 제기하고 실물 신분증을 소지해야 하는 번거로움이 있습니다.

• 디지털 자격 증명 및 지갑: 새롭게 떠오르는 미래 지향적 옵션은 디지털 지갑에 저장된 검증 가능한 디지털 자격 증명을 사용하는 것입니다. 사용자는 신뢰할 수 있는 발급기관(정부 또는 은행 등)의 자격 증명을 제시하여 서비스별 복구 절차를 거치지 않고도 신원을 증명할 수 있습니다. 이 방법은 아직 초기 단계에 있지만, 휴대성이 높고 사용자가 제어하는 신원 확인의 미래를 보여줍니다.

모든 MFA 시스템에서 자주 발생하는 중대한 실패 지점은 디바이스 수명 주기입니다. 사용자가 새 휴대폰을 구입했을 때, 인증 방법의 연속성은 매우 중요합니다.

• SMS: 이 방법은 전화번호를 새 SIM 카드를 통해 새 기기로 이전할 수 있으므로 비교적 휴대성이 좋습니다. 그러나 바로 이 과정이 사기꾼이 이동통신사를 속여 피해자의 번호를 자신이 제어하는 SIM으로 포팅하는 SIM 스와핑 공격에 악용되는 공격 벡터이기도 합니다.

• 인증기 앱(TOTP): 이는 사용자 마찰의 주요 원인입니다. 사용자가 인증기 앱 내에서 클라우드 백업 기능을 미리 활성화하지 않는 한(이 기능은 보편적이지 않으며 항상 사용되는 것도 아닙니다), 코드를 생성하는 비밀 키는 이전 기기와 함께 사라집니다. 이로 인해 사용자는 보안을 설정했던 모든 서비스에 대해 완전하고 고통스러운 계정 복구 절차를 거쳐야 합니다.

• 푸시 알림: TOTP 앱과 유사하게, 푸시 기반 MFA는 등록된 기기의 특정 앱 설치에 연결되어 있습니다. 새 휴대폰은 새로운 등록을 요구하며, 이는 동일한 복구 문제를 유발합니다.

조직이 MFA를 의무화하고 여러 방법을 선택지로 제공하면 예측 가능한 패턴이 나타납니다. 95% 이상의 사용자가 가장 익숙하고 쉽다고 생각하는 방법, 즉 SMS 기반 일회용 비밀번호(OTP)로 몰립니다. 이 행동은 역설을 만듭니다. CISO는 보안을 강화하기 위해 MFA를 의무화할 수 있습니다. 그러나 많은 사용자가 SMS와 같이 피싱에 취약한 방법에 계속 의존한다면, 조직은 100% 규정을 준수하면서도 정교한 공격에 대한 방어력을 실질적으로 개선하지 못할 수 있습니다. 이를 인식한 마이크로소프트와 같은 플랫폼은 사용자를 SMS나 음성 통화보다 인증기 앱과 같은 더 안전한 옵션으로 적극적으로 유도하는 '시스템 선호 MFA'를 도입했습니다. 이는 단순히 MFA를 의무화하는 것만으로는 불충분하다는 중요한 교훈을 강조합니다. MFA의 유형이 매우 중요하며, 조직은 사용자를 더 약하고 피싱에 취약한 요소에서 벗어나도록 적극적으로 유도해야 합니다.

MFA 의무화 결정은 운영 자원에 직접적이고 측정 가능한 영향을 미칩니다. 이는 필연적으로 등록 문제, 인증기 분실, 복구 요청과 관련된 헬프데스크 티켓의 급증을 유발합니다. 가트너 연구에 따르면 모든 IT 지원 문의의 30-50%가 이미 비밀번호 관련 문제이며, 의무화된 MFA는 특히 번거로운 복구 절차와 결합될 때 이 부담을 크게 가중시킵니다. 이는 CTO와 프로젝트 매니저가 예상해야 할 직접적인 비용으로 이어집니다. 더욱이, 헬프데스크 자체가 사회 공학적 공격의 주요 표적이 되는데, 공격자들은 좌절하고 잠긴 사용자를 사칭하여 지원 담당자를 속여 자신의 MFA 요소를 재설정하도록 유도합니다.

실제 세계에서 대규모로 시행된 MFA 의무화 사례를 살펴보면 무엇이 효과적이고 무엇이 상당한 마찰을 일으키는지에 대한 귀중한 교훈을 얻을 수 있습니다. 특정 회사에 초점을 맞추기보다, 이러한 경험들을 몇 가지 보편적인 진리로 요약할 수 있습니다.

• 초기 마찰은 불가피하지만 관리 가능하다: 유럽의 SCA 도입 사례는 보안을 위해서라도 사용자 행동에 큰 변화를 강제하면 초기에 전환율에 해를 끼칠 것임을 보여주었습니다. 하지만 정제된 프로세스와 사용자 습관화를 통해 이러한 부정적인 영향을 시간이 지남에 따라 완화할 수 있다는 것도 보여주었습니다. 핵심은 이 마찰을 예상하고 처음부터 가장 간소화되고 사용자 친화적인 흐름을 설계하는 것입니다.

• 사용자 선택은 양날의 검이다: 선택권이 주어지면, 사용자는 일관되게 가장 저항이 적은 경로를 선택하며, 이는 종종 SMS와 같이 익숙하지만 덜 안전한 MFA 방법을 선택하는 것을 의미합니다. 이는 조직이 규정의 문구는 충족하지만 그 정신은 충족하지 못하는 '규정 준수 연극' 상태로 이어져 피싱에 취약한 상태로 남게 됩니다. 성공적인 전략은 사용자를 더 강력하고 피싱에 강한 옵션으로 적극적으로 유도해야 합니다.

• 복구는 아킬레스건이 된다: 의무화된 세상에서 계정 복구는 예외적인 경우에서 주요 운영 부담이자 치명적인 보안 취약점으로 변모합니다. 복구를 위해 이메일이나 SMS에 의존하는 것은 전체 보안 모델을 약화시키고, 헬프데스크 주도 복구는 재정적으로 지속 불가능합니다. 견고하고 안전하며 사용자 친화적인 복구 프로세스는 나중에 생각할 문제가 아니라, 성공적인 의무화의 핵심 요구 사항입니다.

• 단계적 배포는 위험을 극적으로 줄인다: 전체 사용자 기반에 '빅뱅' 방식으로 배포를 시도하는 것은 고위험 전략입니다. 대규모 기업 배포에서 입증된 더 신중한 접근 방식은 먼저 작고 중요하지 않은 사용자 그룹을 대상으로 새 시스템을 시범 운영하는 것입니다. 이를 통해 프로젝트 팀은 버그를 식별하고 해결하며, 사용자 경험을 개선하고, 전면적인 배포 전에 통제된 환경에서 피드백을 수집할 수 있습니다.

• 중앙 집중식 신원 플랫폼은 강력한 조력자다: 기존에 중앙 집중식 신원 및 접근 관리(IAM) 또는 싱글 사인온(Single Sign-On)(SSO) 플랫폼을 갖춘 조직은 원활한 배포에 훨씬 유리한 위치에 있습니다. 중앙 신원 시스템을 사용하면 수백 또는 수천 개의 애플리케이션에 새로운 인증 정책을 빠르고 일관되게 적용할 수 있어 프로젝트의 복잡성과 비용을 크게 줄일 수 있습니다.

FIDO 얼라이언스의 WebAuthn 표준을 기반으로 구축된 Passkeys는 기존 MFA의 점진적인 개선 그 이상입니다. 공개 키 암호화를 기반으로 한 기본 아키텍처는 MFA 의무화로 인해 발생하는 가장 고통스럽고 지속적인 문제들을 해결하기 위해 특별히 설계되었습니다.

• 복구 악몽 해결: MFA 의무화의 가장 큰 과제는 계정 복구입니다. Passkeys는 이 문제를 정면으로 해결합니다. Passkey는 Apple의 iCloud 키체인이나 Google 비밀번호 관리자와 같은 플랫폼 생태계를 통해 사용자의 여러 기기 간에 동기화될 수 있는 암호화된 자격 증명입니다. 사용자가 휴대폰을 잃어버려도 Passkey는 노트북이나 태블릿에서 여전히 사용할 수 있습니다. 이는 계정 잠김 빈도를 극적으로 줄이고 이메일과 같은 불안전한 복구 채널이나 비용이 많이 드는 헬프데스크 개입에 대한 의존도를 낮춥니다.

• 디바이스 수명 주기 문제 해결: Passkeys는 동기화되기 때문에 새 기기를 구입하는 경험이 큰 마찰 지점에서 원활한 전환으로 바뀝니다. 사용자가 새 휴대폰에서 Google 또는 Apple 계정에 로그인하면 Passkey가 자동으로 복원되어 바로 사용할 수 있습니다. 이는 기존의 기기 종속적인 인증기 앱에서 요구되던 고통스러운 앱별 재등록 과정을 없애줍니다.

• 사용자 선호의 역설 해결: Passkeys는 고전적인 보안 대 편의성의 상충 관계를 해결합니다. 사용 가능한 가장 안전한 인증 방법인 피싱 방지 공개 키 암호화는 사용자에게 가장 빠르고 쉬운 방법이기도 합니다. 한 번의 생체 인식 제스처나 기기 PIN만으로 충분합니다. 사용자가 더 약하고 덜 안전한 옵션을 선택할 이유가 없습니다. 가장 강력한 옵션이 가장 편리하기 때문입니다.

• 피싱 취약점 해결: Passkeys는 설계상 피싱에 강합니다. 등록 중에 생성된 암호화 키 쌍은 웹사이트나 앱의 특정 출처(예: corbado.com)에 바인딩됩니다. 사용자는 유사한 피싱 사이트(예: corbado.scam.com)에서 Passkey를 사용하도록 속을 수 없습니다. 브라우저와 운영체제가 출처 불일치를 인식하고 인증 수행을 거부하기 때문입니다. 이는 비밀번호나 OTP와 같이 공유된 비밀에 기반한 어떤 방법도 제공할 수 없는 근본적인 보안 보증을 제공합니다.

• MFA 피로도 해결: Face ID 스캔이나 지문 터치와 같은 단 한 번의 간단한 사용자 동작으로 기기에 있는 암호화 키의 소유("가진 것")와 생체 인식을 통한 본인 인증("본인 자체")을 동시에 증명합니다. 이는 사용자에게는 힘들이지 않는 한 단계처럼 느껴지지만 암호학적으로 다단계 인증 요건을 충족시킵니다. 이를 통해 조직은 기존 MFA와 관련된 추가 단계와 인지 부하 없이 엄격한 규정 준수 표준을 충족할 수 있습니다.

기존 MFA에서 Passkey 우선 전략으로 전환하려면 기술, 사용자 경험, 비즈니스 목표를 모두 고려한 신중하고 다단계적인 접근이 필요합니다.

Passkeys를 의무화하기 전에 사용자 기반이 이를 채택할 기술적 역량을 갖추고 있는지 파악해야 합니다. 이는 배포의 타당성과 일정을 가늠하는 중요한 첫 단계입니다.

• 디바이스 환경 분석: 기존 웹 분석 도구를 사용하여 사용자가 선호하는 운영 체제(iOS, Android, Windows 버전) 및 브라우저에 대한 데이터를 수집합니다.

• Passkey 준비 상태 도구 배포: 더 정확한 데이터를 위해 Corbado Passkeys Analyzer와 같은 가볍고 개인 정보를 보호하는 도구를 웹사이트나 앱에 통합할 수 있습니다. 이 도구는 사용자의 기기가 플랫폼 인증기(Face ID, Touch ID, Windows Hello 등)를 지원하는 비율과 Passkey 자동 완성을 가능하게 하는 Conditional UI와 같은 중요한 UX 향상 기능에 대한 실시간 분석을 제공합니다. 이 데이터는 현실적인 채택 모델을 구축하는 데 필수적입니다.

Passkeys로의 전환은 점진적으로 이루어질 것이며, 즉각적이지는 않을 것입니다. 성공적인 전략은 Passkeys를 기본적이고 선호되는 방법으로 장려하면서, 호환되지 않는 기기를 사용하는 사용자나 아직 등록하지 않은 사용자를 위한 안전한 대체 수단을 제공하는 하이브리드 시스템을 필요로 합니다.

• 통합 패턴 선택:

  • 식별자 우선 방식(Identifier-First): 사용자가 이메일이나 사용자 이름을 입력합니다. 그러면 시스템은 해당 식별자에 Passkey가 등록되어 있는지 확인하고, 그렇다면 Passkey 로그인 흐름을 시작합니다. 그렇지 않다면, 비밀번호나 다른 안전한 방법으로 원활하게 대체됩니다. 이 접근 방식은 최고의 사용자 경험을 제공하며 일반적으로 더 높은 채택률로 이어집니다.

  • 전용 Passkey 버튼: 기존 로그인 양식 옆에 "Passkey로 로그인" 버튼을 배치합니다. 구현은 더 간단하지만, 사용자가 새로운 방법을 선택해야 하는 부담을 주어 사용률이 낮아질 수 있습니다.

• 안전한 대체 수단 보장: 대체 메커니즘이 보안 목표를 약화시켜서는 안 됩니다. SMS OTP와 같은 안전하지 않은 방법으로 대체하는 것을 피해야 합니다. 더 강력한 대안은 사용자의 확인된 이메일 주소로 시간 제한이 있는 일회용 코드나 매직 링크를 보내는 것입니다. 이는 특정 세션에 대한 소유 요소 역할을 합니다.

원활한 배포를 위해서는 효과적인 커뮤니케이션이 가장 중요합니다. 목표는 Passkeys를 또 다른 보안상의 번거로움이 아니라 사용자 경험을 크게 향상시키는 업그레이드로 포지셔닝하는 것입니다.

• 혜택 중심 메시징: "더 빠르고 안전하게 로그인하세요", "잊어버린 비밀번호와 작별하세요", "이제 당신의 지문이 열쇠입니다"와 같이 사용자 혜택에 초점을 맞춘 명확하고 간단한 언어를 사용합니다. 공식 FIDO Passkey 아이콘을 일관되게 사용하여 인지도를 높입니다.

• 단계적 배포 전략:

  1. '끌어당기는' 채택으로 시작: 처음에는 사용자의 계정 설정 페이지 내에서 Passkey 생성을 옵션으로 제공합니다. 이를 통해 얼리 어답터와 기술에 능숙한 사용자들이 다른 모든 사람의 흐름을 방해하지 않고 자발적으로 참여할 수 있습니다.

  2. '밀어주는' 채택으로 전환: 시스템이 안정되면, 사용자가 기존 비밀번호로 성공적으로 로그인한 직후에 Passkey를 생성하도록 적극적으로 유도하기 시작합니다. 이는 사용자가 이미 '인증 마인드셋'에 있을 때 포착하는 방법입니다.

  3. 온보딩에 통합: 마지막으로, 모든 신규 사용자 가입 시 Passkey 생성을 기본적이고 권장되는 옵션으로 만듭니다.

Passkeys에 대한 투자를 검증하고 경험을 지속적으로 최적화하려면 데이터 기반 접근 방식이 필수적입니다. 모든 팀은 자신의 역할과 관련된 지표를 추적해야 합니다.

• 채택 및 참여 지표:

  • Passkey 생성률: 자격이 있는 사용자 중 Passkey를 생성한 비율.

  • Passkey 사용률: 전체 로그인 중 Passkey로 수행된 비율.

  • 첫 핵심 활동까지의 시간: 신규 사용자가 Passkey를 채택한 후 중요한 활동을 얼마나 빨리 수행하는지.

• 비즈니스 및 운영 지표:

  • 비밀번호 재설정 티켓 감소: 헬프데스크 비용 절감의 직접적인 척도.

  • SMS OTP 비용 감소: 기존 요소를 제거함으로써 얻는 실질적인 비용 절감.

  • 로그인 성공률: Passkey 로그인 성공률을 비밀번호/MFA 로그인과 비교.

  • 계정 탈취 사건 감소: 보안 효율성의 궁극적인 척도.

다음 표는 인증 방법을 비교하고 Passkey 솔루션을 일반적인 비즈니스 문제점과 직접 연결하여 간결하게 요약한 것입니다.

Passkeys가 의무적 MFA 문제점에 대한 해결책을 제공하는 방법

다단계 인증(Multi-Factor Authentication) 의무화 시대는 계속될 것입니다. 자격 증명 기반 공격으로부터 방어해야 하는 중대한 필요성에서 비롯되었지만, 이러한 의무화는 의도치 않게 새로운 도전 과제들을 만들어냈습니다.

우리는 MFA를 시행하는 것이 SMS 요금과 같은 직접적인 비용부터 등록 및 기기 변경에 어려움을 겪는 사용자들로 인한 헬프데스크 티켓 급증에 이르기까지 상당한 운영 부담을 초래한다는 것을 보았습니다. 선택권이 주어지면 사용자들이 SMS와 같이 익숙하지만 피싱에 취약한 방법으로 쏠려, 서류상으로는 규정을 준수하지만 실제 공격에는 조직이 노출된 상태로 남는다는 것을 배웠습니다. 가장 중요한 것은, 의무화된 세상에서 계정 복구가 가장 큰 단일 실패 지점이 되며, 엄청난 사용자 불만의 원인이자 부적절하게 처리될 경우 심각한 보안 허점이 된다는 점을 확인했습니다.

기존 MFA 방식은 이러한 문제들을 해결할 수 없습니다. 하지만 Passkeys는 할 수 있습니다. 우리는 Passkeys가 복구, 사용자 마찰, 보안이라는 상호 연결된 문제들을 직접적으로 해결하는 확실한 해답임을 보여주었습니다. 동기화 기능은 대부분의 계정 잠김 시나리오를 없애고, 생체 인식의 편리함은 더 약한 옵션을 선택할 유인을 제거하며, 암호화 설계는 피싱에 면역성을 갖게 합니다. 마지막으로, 준비 상태 감사부터 성공 측정까지, 모든 조직이 이 전략적 전환을 이룰 수 있는 실용적인 경로를 제공하는 명확한 4단계 청사진을 제시했습니다.

이 변화를 단지 규정 준수의 골칫거리로만 보는 것은 그것이 제시하는 전략적 기회를 놓치는 것입니다. 유럽 은행업계에서 강력한 고객 인증(Strong Customer Authentication)의 선구자들은 초기 어려움에도 불구하고 궁극적으로 전체 산업의 사용자 기대를 형성했습니다. 오늘날 Passkeys의 선구자들도 같은 기회를 가지고 있습니다. 이 전환을 수용함으로써 조직은 보안 의무를 부담스러운 의무에서 강력하고 지속적인 경쟁 우위로 바꿀 수 있습니다. 의무에서 동력으로 나아갈 계획을 세울 때가 바로 지금입니다.