패스키 도입 가이드: 직접 구축과 솔루션 구매, 무엇이 더 나을까?

전체 패스키 구축 vs. 구매 가이드를 무료로 다운로드하고 모든 인사이트를 확인해 보세요.

• ✅ Adidas, Woolworths, Mitsubishi 팀에서 요청
• ✅ 구축과 구매 사이에서 결정하는 데 도움이 되는 구성 요소 및 비용 모델 전체 목록
• ✅ 실용적인 50페이지 분량의 의사결정 프레임워크

자체적으로 패스키를 구현한다는 아이디어는 매력적으로 들립니다. 완전한 제어권, 맞춤형 통합, 특정 공급업체에 대한 종속성 없음. 결국 FIDO2는 개방형 표준에 기반하고 있으며, WebAuthn 코드의 첫 줄을 작성하는 것은 충분히 쉬워 보입니다. 이게 얼마나 어려울 수 있을까요?

하지만 바로 이 지점에서 복잡성이 시작되는 경우가 많습니다. 특히 다음과 같은 산업에서 수백만 명의 사용자를 대상으로 하는 대규모 소비자 배포 시나리오를 위한 솔루션을 구축하려는 경우 더욱 그렇습니다.

• 은행 및 금융 서비스 (예: 온라인, 은행, 결제, 핀테크)
• 정부 및 공공 서비스 (예: 시민 포털, 세금 및 사회 보장 플랫폼)
• 보험 및 헬스케어 (예: 환자 포털, 디지털 보험 플랫폼)
• 이커머스 및 리테일 (예: 마켓플레이스, 로열티 프로그램)
• 통신 및 유틸리티 (예: 이동통신사, 에너지 공급업체)
• 여행 및 숙박 (예: 항공사 계정, 호텔 로열티 프로그램)

진정한 과제는 첫 번째 성공적인 패스키 로그인 이후에 시작되며, 이미 패스키 솔루션을 구현하는 과정에서 드러나는 경우가 많습니다. 갑자기 이상한 엣지 케이스, 혼란스러운 사용자 오류, 패스키를 사용할 수 없어 발생할 수 있는 잠재적인 사용자 계정 잠김과 같은 문제들이 나타납니다. 간단한 통합처럼 보였던 것이 몇 달 또는 몇 년의 개발 노력, 예상치 못한 유지보수 비용, 그리고 잠재적으로 실패한 패스키 프로젝트로 이어질 수 있습니다.

하지만 자체 솔루션을 구축하는 것이 특정 조직과 특정 요구사항에 맞는 올바른 선택일 수도 있습니다. 우리는 수십 개의 조직과 그들의 패스키 구현 계획에 대해 이야기했으며, 일부 조직의 여정을 직접 함께했습니다. 이 가이드는 DIY(Do-It-Yourself) 패스키 접근 방식이 언제 합리적일 수 있는지, 그리고 언제 검증된 패스키 제공업체를 선택하는 것이 더 현명한 결정인지 판단하는 데 도움을 줄 것입니다.

패스키 구축 vs. 구매 가이드를 통해 다음 질문에 답하고자 합니다.

1. 패스키를 구현하고 비밀번호 없는 환경으로 전환하는 데 필요한 구성 요소는 무엇인가요?
2. 패스키를 자체적으로 구현해야 할까요, 아니면 외부 패스키 공급업체를 사용해야 할까요?
3. 오픈소스 라이브러리가 있는데 패스키 공급업체를 이용하면 어떤 이점이 있나요?
4. 패스키 솔루션을 구축하는 데 가장 큰 어려움은 무엇인가요?
5. 패스키를 자체적으로 구현할 때의 위험은 무엇인가요?

비밀번호는 구식이고, 안전하지 않으며, 답답합니다. 패스키는 피싱 위험을 제거하고, 사용자 경험을 개선하며, 인증을 단순화하여 안전한 로그인의 새로운 표준이 되고 있습니다. 자체적으로 구축하든 외부 솔루션을 사용하든, 패스키를 통합하는 것은 보안과 사용성을 위한 주요 업그레이드입니다.

Google은 사용 편의성이나 속도를 강조하는 것이 사용자에게 공감을 얻고 효과가 있다는 것을 발견했습니다. 사람들은 일반적으로 로그인하는 것을 귀찮아하므로, 과정을 더 쉽고 빠르게 만드는 것은 무엇이든 긍정적입니다.

이러한 보안상의 이점 외에도, 패스키를 통해 운영 비용을 절감할 수 있는 큰 잠재력이 있습니다. 대규모 사용자 기반의 경우 엄청나게 쌓일 수 있는 SMS OTP 전송 횟수를 줄일 수 있습니다. 또한, 비밀번호 및 MFA 복구로 인해 고객 지원팀에 가해지는 부담도 제거할 수 있는 비용 요인입니다.

그 외에도 패스키는 사용자의 로그인 성공률과 로그인 시간을 개선하여 궁극적으로 이커머스, 리테일 또는 여행과 같은 산업에서 매출 성장의 주요 동력인 전환율을 높이는 결과를 가져옵니다.

패스키 도입을 고려하는 많은 조직의 최종 목표는 완전히 비밀번호 없는 환경으로 전환하는 것입니다. 이 목표에 도달하기 위해서는 일반적으로 네 가지 단계를 완료해야 합니다. 이 단계들이 진행되는 속도는 조직의 기술적 역량, 로그인 패턴, 사용자 기반에 따라 크게 달라집니다. 경우에 따라서는 더 안전한 인증을 도입하라는 대중의 압력이나 재정적 제약과 같은 외부 요인도 역할을 할 수 있습니다.

패스키를 구현하는 것은 패스키 프로젝트의 성공을 보장하는 한 단계일 뿐이므로, 이 네 가지 단계를 살펴보고 설명해 보겠습니다.

완전한 비밀번호 없는 시스템으로 전환하는 첫 번째 단계는 패스키를 로그인 방법으로 통합하는 것입니다. 이 단계에서는 사용자가 아직 패스키를 채택하지 않은 경우에도 계정에 계속 액세스할 수 있도록 비밀번호 및 기타 인증 방법이 폴백(fallback)으로 유지됩니다. 성공적인 통합을 위해서는 기존 로그인 흐름 및 보안 정책과의 원활한 호환성이 필요합니다. 조직은 기술적인 사용자든 비기술적인 사용자든 마찰 없이 새로운 인증 방법을 채택할 수 있도록 패스키 생성을 간단하게 만드는 데 집중해야 합니다.

패스키가 통합되면 다음 과제는 사용자의 패스키 도입을 유도하는 것입니다. 많은 조직이 이 단계의 중요성을 과소평가하지만, 광범위한 사용자 도입 없이는 패스키 프로젝트가 실패할 가능성이 높습니다. 목표는 가능한 한 많은 사용자가 패스키를 생성하고 사용하도록 장려하여, 이상적으로는 기본 로그인 방법으로 만드는 것입니다.

도입률을 높이기 위한 주요 전략에는 적극적인 사용자 교육, 패스키 생성을 촉진하는 UI 유도(nudge), 전환하는 사용자에게 보상하는 인센티브 프로그램 등이 포함됩니다. 조직은 다음 단계로 진행하기 전에 활성 사용자의 50-80%가 패스키를 사용하는 것과 같은 임계 도입률을 설정해야 합니다. 도입이 왜 중요한지에 대한 더 깊은 이해를 원하시면, 낮은 도입률이 패스키 프로젝트를 위태롭게 할 수 있는 이유에 대한 저희의 전용 기사를 참조하세요.

패스키 도입이 임계점에 도달하면 조직은 비밀번호를 단계적으로 폐지하기 시작할 수 있습니다. 그러나 너무 일찍 또는 신중한 계획 없이 비밀번호를 제거하면 사용성 문제와 지원 요청 증가로 이어질 수 있습니다. 단계적인 접근 방식이 권장됩니다.

• 사용자가 지속적으로 패스키로 인증하는 계정에서부터 비밀번호를 제거하기 시작합니다.
• 얼리 어답터를 위해 계정 설정에서 비밀번호 제거 옵션을 제공합니다.
• 데이터 기반 인사이트를 사용하여 완전히 비밀번호 없는 환경으로 전환할 준비가 된 사용자를 식별합니다. 예를 들어, 여러 기기에 걸쳐 여러 개의 패스키를 등록한 사용자를 비밀번호 제거 우선순위로 정할 수 있습니다.
• 비밀번호 제거의 이점을 적극적으로 소통하여 사용자 신뢰를 구축합니다.

사용자를 전략적으로 완전한 비밀번호 없는 인증으로 유도함으로써 조직은 사용자 경험을 방해하지 않으면서 보안을 극대화할 수 있습니다.

비밀번호가 제거되면 계정 복구 메커니즘은 견고하고 안전해야 합니다. 전통적인 복구 방법은 종종 지원 티켓이나 이메일 재설정과 같은 수동 개입에 의존하는데, 이는 보안 위험과 운영 비용을 초래할 수 있습니다. 조직은 보안을 유지하면서 사용자 경험을 개선하는 현대적인 셀프서비스 계정 복구 솔루션을 구현해야 합니다.

자동화된 계정 복구의 핵심 요소는 다음과 같습니다.

• 라이브니스 확인: 사용자가 물리적으로 존재함을 보장하여 무단 계정 탈취를 방지합니다.
• ID 확인: 정부 발급 신분증과 생체 인식을 활용하여 신원을 확인합니다.
• 폴백 패스키: 사용자가 다른 기기에 저장된 백업 패스키를 사용하여 계정을 복구할 수 있도록 합니다.

많은 조직이 비용을 절감하고 사용성을 향상시키기 위해 비밀번호 없는 전환과 무관하게 이미 자동화된 복구 프로세스에 투자하고 있습니다. 그러나 패스키 중심의 생태계에서는 이러한 메커니즘이 보안을 유지하고 마찰을 줄이는 데 더욱 중요해집니다.

이 네 가지 단계를 바탕으로, 이제 구축과 구매 결정 평가를 돕고자 합니다. 따라서 패스키 프로젝트의 장기적인 성공을 위해서는 모든 단계를 염두에 두는 것이 매우 중요하며, 단순히 패스키를 통합하는 것만으로는 안 됩니다(이것이 목표일 수는 있지만, 그러면 패스키의 잠재력을 완전히 활용하지 못하게 됩니다).

DIY와 외부 패스키 솔루션 중 하나를 선택하는 것은 회사의 기술 자원, 보안 우선순위, 배포 규모 및 장기적인 패스키 전략에 따라 달라집니다. 다음 섹션에서는 최상의 결정을 내리는 데 도움이 되는 핵심 측면을 분석해 보겠습니다.

다음 표는 평가해야 할 다양한 평가 기준을 보여줍니다. 어느 쪽에 더 가까운지에 따라 다른 점수가 부여됩니다.

평가 매트릭스 사용 방법:

각 기준에 대해 회사가 더 간단한 솔루션이 필요한지, 아니면 더 정교한 솔루션이 필요한지 선택하세요.

• 귀사의 복잡성이 가장 낮고 왼쪽 설명과 더 일치하는 각 답변에 1점을 부여합니다.
• 귀사의 답변이 오른쪽의 가장 높은 복잡성 설명과 더 일치하는 각 카테고리에 5점을 부여합니다.
• 확실하지 않은 경우, 중립적인 옵션으로 3점을 사용합니다.

전체 패스키 구축 vs. 구매 가이드를 무료로 다운로드하고 모든 평가 기준을 확인해 보세요.

패스키 솔루션을 구축할지 구매할지 결정할 때, 패스키 출시의 한 단계만 볼 것이 아니라 전체 프로세스를 살펴보는 것이 중요합니다. 단기적인 우선순위가 MVP로 패스키를 제공하는 것이더라도, 특히 도입률을 높이는 것과 같은 장기적인 영향을 예상해야 합니다. 아래는 이 가이드를 사용하고 결과를 해석하는 권장 방법이며, 왜 도입이 다른 어떤 요소보다 중요한지에 중점을 둡니다.

패스키 솔루션이 아무리 발전했더라도, 사용자가 패스키를 생성하고 로그인에 사용하지 않는다면 전체 프로젝트가 위험에 처합니다. 우리의 경험에 따르면, 조직들은 종종 사용자를 비밀번호에서 벗어나게 하는 데 필요한 노력을 과소평가합니다. 기술적으로 패스키를 원활하게 구현하더라도, 낮은 도입률은 다음과 같은 결과를 초래할 것입니다.

• 비밀번호에 대한 지속적인 의존, 이는 패스키의 보안 이점을 무효화합니다.
• 최소한의 ROI, 비용 절감(비밀번호 재설정 감소, SMS OTP 감소)은 로그인 시 상당한 패스키 사용에 달려 있기 때문입니다.
• 단절된 사용자 경험, 대부분의 로그인이 여전히 전통적인 방법으로 이루어지고 소수의 사용자만 패스키를 사용하는 경우.

비밀번호를 줄이거나 완전히 제거하는 의미 있는 진전을 이루기 위해서는 일반적으로 사용자 기반의 50% 또는 심지어 80% 이상의 높은 도입률이 필요합니다. Google이나 Amazon과 같은 조직은 명시적인 도입 목표를 설정하고 체계적으로 A/B 테스트, 사용자 교육 캠페인, UI 유도를 실행하여 패스키가 널리 받아들여지도록 합니다. 도입에 대한 이러한 집중적인 노력은 선택 사항이 아닙니다. 이것이 바로 패스키 출시를 단순한 기능에서 실질적인 경쟁 우위로 바꾸는 것입니다.

이 가이드는 여정의 모든 단계에서 패스키 구현에 대한 정보에 입각한 결정을 내리는 데 도움이 되도록 설계되었습니다.

1. 1단계 (패스키 통합): 단순히 패스키를 채택할지 여부와 통합 방법을 고려하고 있다면, 패스키 통합에 대한 구축 vs. 구매 기준에 집중하세요.
2. 2단계 (도입률 증가): 패스키가 단순한 기능 이상이 되기를 원한다면, 사용자 도입을 유도하기 위해 조기에 계획하세요. MVP의 경우에도 초기 구현보다 훨씬 더 많은 추가 기술 투자가 필요합니다.
3. 3단계 (비밀번호 제거): 비밀번호 제거가 장기적인 전략적 목표라면, 아키텍처와 사용자 흐름이 그 최종 단계를 염두에 두고 설계되었는지 확인하세요.
4. 4단계 (계정 복구 자동화): 오늘 당장 완전히 비밀번호 없는 환경으로 전환할 준비가 되어 있지 않더라도, 미래의 장애물을 피하기 위해 패스키 접근 방식이 견고하고 원활한 복구로 발전할 수 있는지 확인하세요.

이 중 2단계 (도입률 증가)가 가장 중요합니다. 각 섹션을 개별적으로 평가할 수 있지만, 장기적인 성공과 ROI는 종종 처음부터 도입을 얼마나 진지하게 받아들이는지에 달려 있다는 점을 명심하세요.

패스키 구현을 결정하는 초기 단계에 있다면, 평가 매트릭스의 첫 번째 섹션(패스키 통합)부터 시작하여 경영진, IT, 제품 소유자 및 기타 주요 의사 결정자와 함께 작성하세요. 스스로에게 물어보세요:

1. 우리가 원하는 패스키 로그인 비율은 얼마인가? 5%면 타당성을 증명하기에 충분한가, 아니면 패스키가 성공했다고 간주하기 전에 50-80%가 필요한가?
2. 수개월에 걸쳐 A/B 테스트를 실행하고, 최적화 캠페인을 진행하며, 교육 자료를 만들고, 사용자가 패스키로 전환하고 싶어하도록 사용자 흐름을 지속적으로 개선할 예산과 경영진의 동의가 있는가? 필요한 모든 보고, 분석, 테스트를 구현할 충분한 엔지니어링 역량이 있는가? 이러한 목표를 달성할 만큼 충분히 자주 릴리스할 수 있는가?
3. 장기적인 비전은 무엇인가? 비밀번호 제거를 목표로 하는가, 아니면 단지 대안을 제공하는 것인가?

이러한 질문에 미리 답하면 패스키 프로젝트가 막다른 길에 이르지 않도록 할 수 있습니다. 도입을 계획하지 않는 조직은 종종 수년 동안 비밀번호에 갇히게 되어 전체 보안 및 사용자 경험 전략을 약화시킵니다.

매트릭스 전체에서 각 평가 기준은 **가장 낮은 복잡성(1)**에서 **가장 높은 복잡성(5)까지 어디든 위치할 수 있습니다. 답변이 중립 영역(3)**을 넘어설수록 전문 패스키 공급업체를 사용하는 것이 더 강력한 주장이 됩니다.

• 고도의 복잡성 요구사항 - 고급 폴백 방법, 엄격한 규정 준수, 심층 분석 및 다중 장치 UX 등 - 은 엔지니어링 및 유지보수 부담을 배가시킵니다.
• 도입에 대한 강한 강조 - 높은 패스키 도입률을 빠르게 달성하거나 비밀번호를 제거하려면 일반적으로 잘 테스트된 사용자 흐름, 상세한 원격 측정 및 구조화된 유도가 필요합니다.

이러한 요인들은 기술적으로나 조직적으로 사내 팀을 압도할 수 있습니다. 관리형 패스키 솔루션은 종종 검증된 모범 사례, 빠른 업데이트 및 실제 전문 지식을 제공하여 DIY 접근 방식보다 훨씬 빠르게 도입을 가속화할 수 있습니다.

패스키 전문가로서 저희 Corbado는 강력한 관점을 가지고 있습니다. 패스키가 로드맵에 있고 적극적으로 도입을 유도하는 최첨단 구현을 원한다면, Corbado Connect가 대규모의 복잡성을 해결하는 데 도움을 줄 수 있습니다. 그 이유는 다음과 같습니다.

도입이 솔루션에 내장되어 있습니다: 저희 플랫폼은 스마트한 유도, 분석 및 지속적인 A/B 테스트를 통해 사용자 옵트인을 극대화하도록 설계되었으며, 이는 비용 절감으로도 이어집니다.

다음 단계:

1. 평가 매트릭스의 각 관련 섹션을 작성하세요 - 즉각적인 목표와 장기적인 목표를 모두 고려하여.
2. 의사 결정에서 도입을 우선순위에 두세요 - 이해관계자와 명시적인 도입 목표 및 이를 달성하기 위한 자원에 대해 합의하세요.
3. 복잡성과 도입 목표를 이해한 후 사내 구축과 공급업체 솔루션의 TCO를 비교하고 구축 또는 구매를 평가하기 위한 내부 프로세스를 진행하세요.

4. 전략적 목표가 기술적 및 도입 과제를 효과적으로 처리하는 완전 관리형 플랫폼을 가리키는 경우 패스키 전문가(Corbado와 같은)와 상담하세요.

패스키를 전체적인 방식으로 다루고 도입을 핵심 목표 중 하나로 삼음으로써 최상의 결과를 얻을 수 있습니다. 이는 더 강력한 보안, 단순화된 로그인, 그리고 비밀번호 없는 미래로 가는 실제 경로를 의미합니다. Corbado Connect에 대해 더 자세히 알아보고 저희가 고객의 높은 패스키 도입률 달성을 어떻게 돕는지에 관심이 있다면, 언제든지 이야기할 준비가 되어 있습니다.

이제 "구축 vs. 구매"라는 질문에 답하기 위한 올바른 접근 방식을 결정하는 데 도움을 드렸으니, 패스키 배포의 성공을 평가하는 방법을 분석해 보겠습니다. 이를 위해 패스키 프로젝트의 입력 및 출력 KPI를 정의합니다.

입력 KPI는 패스키의 초기 단계 도입과 광범위한 사용에 필요한 조건이 확립되고 있는지를 추적하는 데 도움이 됩니다. 이러한 지표는 실제 로그인 행동에 선행하지만 의미 있는 도입을 가능하게 하고 배포를 최적화하는 데 중요합니다.

이러한 입력 KPI는 미래의 패스키 도입에 대한 선행 지표 역할을 하며, 조직이 사용자 교육, UX 흐름 및 기술 구현을 미세 조정할 수 있도록 합니다.

출력 KPI(OKR)는 사용자 행동, 운영 개선 및 비즈니스 영향을 평가하여 패스키 도입의 실제 성공을 측정합니다. 이러한 지표는 패스키 배포의 실제 효과를 반영합니다. 패스키 로그인 비율은 실제 패스키 도입 및 사용을 직접적으로 반영하기 때문에 핵심 출력 KPI입니다. 상승하는 패스키 로그인 비율은 성공적인 온보딩과 기존 인증 방법에 대한 패스키의 지속적인 사용자 선호를 나타냅니다.

마찰 없는 사용자 경험을 보장하기 위해 주로 패스키 로그인 성공률과 패스키 로그인 비율을 최적화하는 것이 중요하며, 동시에 사용자 활성화율을 높이기 위해 노력해야 합니다. 단, 사용자 불만을 유발하지 않도록 로그인 성공률이 충분히 높을 때만 가능합니다. 또한, 이러한 KPI를 다양한 세그먼트(예: OS, 브라우저, 기기) 및 특정 사용 사례(예: 교차 기기 로그인)별로 추적하면 도입 패턴과 잠재적인 마찰 지점에 대한 더 깊은 통찰력을 얻을 수 있습니다.

입력(예: 수락, 생성) 및 출력 KPI(예: 로그인 비율, 폴백 사용)를 정확하게 측정하려면 세 가지 주요 소스에서 데이터를 수집해야 합니다.

1. 프론트엔드 이벤트 데이터
2. 패스키 / 자격 증명 저장소
3. 기존 인증 및 폴백 로그

패스키 수락률이나 패스키 생성 성공률과 같은 메트릭을 계산하려면, 얼마나 많은 사용자가 로그인 후 유도를 보는지, 얼마나 많은 사용자가 "예, 패스키 생성"을 클릭하는지, 그리고 실제로 패스키 생성을 완료하는지를 감지해야 합니다. 이를 위해서는 다음을 캡처하기 위한 JavaScript(또는 네이티브 모바일) 이벤트 추적이 필요합니다.

• 유도가 표시되었는지 여부와 시점(처음 대 후속)
• 유도를 완료하는 데 걸리는 시간
• 패스키 생성 절차를 한 번 또는 여러 번 중단했는지 여부

또한 수락률을 특정 OS/브라우저 버전과 연결하여 특정 깨진 경로를 감지할 수 있도록 사용자 에이전트 파싱 또는 클라이언트 힌트가 필요합니다.

사용자가 프론트엔드에서 등록을 시작한 후, 서버는 새 패스키가 실제로 저장되었는지 확인해야 합니다. 각 자격 증명의 생성 이벤트를 기록하는 데이터베이스 또는 외부 ID 공급자의 API에 액세스해야 합니다. 이 저장소는 사용자당 몇 개의 패스키가 있는지 계산하고 최종 결과(성공 또는 실패)를 추적하여 어떤 시도가 완료된 등록으로 끝났는지 정확히 알 수 있도록 도와줍니다.

폴백 비율과 같은 메트릭을 위해서는 현재 인증 로그 및 프로세스를 살펴봐야 합니다. 이러한 로그를 프론트엔드 이벤트와 통합하면 사용자가 패스키 로그인을 시작했다가 오류가 발생하여 폴백 로그인(예: SMS 또는 비밀번호)으로 전환했는지 확인할 수 있습니다.

마지막으로, 패스키 로그인 시간 vs. 기존 로그인 시간과 같은 시간 기반 KPI를 측정하는 것은 클라이언트와 서버 타임스탬프 모두에 의존합니다. 많은 조직이 성공적인 로그인만 기록하기 때문에, 마찰과 폴백을 진정으로 측정하려면 부분적이거나 실패한 패스키 흐름에 대한 계측을 추가해야 합니다. 개인 정보 보호 및 규제 제약을 존중하면서 이 세 가지 데이터 소스를 통합하는 것은 종종 예상보다 복잡하며, 일부 팀이 내장된 분석 및 이벤트 추적을 제공하는 전문 패스키 플랫폼을 채택하게 만드는 또 다른 요인입니다.

Corbado Connect 구성 요소는 인증 프로세스를 시작하는 모든 사용자에 대해 고유한 프로세스를 자동으로 생성하여 설명된 모든 데이터 포인트(수백 가지)를 암묵적으로 수집합니다. 원활한 통합을 통해 Corbado는 기존 솔루션의 인증 메트릭도 수집합니다. 이 전체적인 관점은 사용자를 위한 개선 사항을 정확하게 찾아내고, 추가적인 노력 없이 모든 필수 패스키 KPI에 대한 포괄적인 통찰력을 제공합니다.

또한, 성공적인 패스키 배포 후에는 다음과 같은 출력 KPI 효과도 나타나야 하며, 대부분의 경우 이미 기업 내에서 수집되고 있습니다.

운영 및 비용 절감 메트릭

• SMS OTP 사용량 감소 – 패스키 인증으로 인해 절약된 SMS OTP 수(직접적인 비용 절감).
• 비밀번호 재설정 요청 감소 – 잊어버린 비밀번호와 관련된 헬프데스크 상호 작용 감소.
• 고객 지원 티켓 감소 – 인증 관련 고객 서비스 문제량 감소.
• 지원 통화량 감소 – 계정 액세스 문제와 관련된 인바운드 통화 감소.

비즈니스 및 UX 영향 메트릭

• 사용자 유지율 – 첫 로그인 후 계속 인증하는 사용자의 비율.
• 전환율 – 사용자가 인증 후 거래를 완료하는 빈도.
• 로그인 퍼널에서의 이탈률 – 패스키가 로그인 시도를 포기하는 사용자 수를 줄이는지 여부.

패스키 입력 및 출력 KPI를 구체적으로 추적하고 이를 다른 데이터와 연관시킴으로써, 조직은 패스키 배포의 영향을 정량화하고 데이터 기반 개선을 통해 도입을 극대화하고 비용을 절감하며 보안을 강화할 수 있습니다.

올바른 패스키 솔루션을 선택하는 것은 특정 과제, 보안 요구 사항 및 비용 고려 사항에 따라 달라집니다. 아래는 다양한 부문에 걸친 구축 vs. 구매 결정에 대한 주요 권장 사항입니다.

주요 고려 사항:

• 규제 준수(예: PSD2, SOC 2, ISO 27001, GDPR)는 패스키 인증에서 엄격한 보안 조치를 요구합니다.
• 은행은 종종 사내 솔루션의 장기적인 복잡성과 유지 관리를 과소평가하므로 패스키 비용 비교가 중요합니다.
• 계정 탈취 사기 및 피싱을 줄이기 위해 안전한 인증이 필수적입니다.

권장 사항: 대부분의 은행 및 금융 기관은 사내에서 구축하기보다는 패스키 공급업체 솔루션에 의존해야 합니다. 패스키 인프라를 내부적으로 관리하는 것은 전통적인 IT 전문 지식을 초과하는 숨겨진 복잡성을 야기하기 때문입니다. 대규모로 패스키 인증을 구현하려면 지속적인 최적화 및 업데이트, WebAuthn 호환성 관리, 기존 은행 시스템과의 원활한 통합이 필요하며, 이 모든 것을 패스키 공급업체가 이미 처리합니다.

Ubank, Revolut, Finom과 같은 은행들은 패스키 도입을 선도하며, 이 기술이 사용자 경험을 개선하면서 보안을 강화할 수 있는 잠재력을 인식하고 있습니다. 패스키 ROI 분석은 종종 지속적인 유지 관리 및 업데이트에 투자하는 것보다 패스키 솔루션을 구매하는 것이 유리하며, 구현 결과 사기 시도 및 인증 관련 지원 비용이 크게 감소하는 것으로 나타났습니다.

예시: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

주요 고려 사항:

• HIPAA 및 GDPR 준수는 패스키 도입 시 엄격한 인증 보안을 요구합니다.
• 패스키 구현 과제에는 환자, 의료진 및 병원 IT 관리자를 위한 보안과 사용 편의성의 균형을 맞추는 것이 포함됩니다.
• 많은 헬스케어 인증 시스템이 여전히 레거시 인프라에 의존하고 있어 패스키 통합이 더 복잡합니다.

권장 사항: 패스키 공급업체 솔루션은 규정 준수 요구 사항을 충족하면서 인증을 단순화하는 가장 효과적인 방법입니다. 패스키 공급업체는 보안 패치, 규정 준수 업데이트 및 인증 신뢰성을 처리하여 IT 팀의 부담을 줄여줍니다.

예시: CVS Health, Caremark, Helsana, NHS, Swica

주요 고려 사항:

• 전환율 최적화(CRO)는 비즈니스에 매우 중요하며, 인증 마찰은 수익에 직접적인 영향을 미칩니다.
• 다중 기기 시나리오가 원활하게 작동해야 합니다(사용자는 모바일에서 탐색하고 데스크톱에서 결제를 완료함).
• 인증 오류는 장바구니 포기율을 직접적으로 증가시키므로 UX에 최적화된 로그인 흐름이 필수적입니다.

권장 사항: 이커머스 플랫폼은 높은 도입률을 제공하는 패스키 구현 제공업체로부터 가장 큰 이점을 얻습니다. Amazon 및 Shopify와 같은 주요 플랫폼은 패스키 인증을 구현하여 이커머스에서 이 기술의 채택이 증가하고 있음을 보여줍니다. 실제 데이터에 따르면 초기 비밀번호 로그인의 27% 이상이 실패하는 반면, 패스키 기반 인증은 이전 도입 사례에서 볼 수 있듯이 최대 95-97%의 성공적인 로그인율을 달성할 수 있습니다. 패스키 ROI 분석에 따르면 더 높은 전환율과 낮은 사기 손실이 투자를 신속하게 정당화합니다.

Amazon은 최근 100% 패스키 도입과 비밀번호 완전 제거라는 야심찬 목표를 설정했다고 밝혔습니다.

Google은 또한 패스키와 상호 작용하는 평가판 사용자가 그렇지 않은 사용자보다 유료 고객으로 전환할 가능성이 20% 더 높다는 것을 발견했습니다.

예시: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

주요 고려 사항:

• 사용자가 한 기기에서 여행을 예약하고 다른 기기에서 체크인하므로 교차 기기 인증이 필수적입니다.
• 패스키 전문 공급업체는 편리한 예약, 체크인 및 계정 관리를 위해 빠르고 안전한 로그인을 보장해야 합니다.
• 여행 플랫폼은 고액 거래를 처리하므로 사기 방지가 우선순위입니다.

권장 사항: 대부분의 여행 회사는 보안과 사용자 경험을 향상시키기 위해 패스키 솔루션을 구현해야 합니다. Kayak 및 주요 항공사와 같은 선도 기업들은 이미 사용자 경험을 개선하기 위해 패스키 인증을 활용하고 있습니다. 사전 구축된 솔루션은 더 강력한 사기 탐지, 원활한 로그인 경험 및 즉각적인 다중 기기 지원을 제공합니다. 특히 숙박 부문은 패스키 구현을 통해 체크인 시간을 단축하고 보안을 개선하여 모든 접점(앱, 키오스크, 웹 및 파트너 플랫폼)에서 원활한 인증을 보장함으로써 이점을 얻고 있습니다.

예시: Air New Zealand, Bolt, Grab, Uber, Hyatt

주요 고려 사항:

• 패스키 구현 비용은 규정 준수 요구 사항 및 사용자 경험 개선과 일치해야 합니다.
• 많은 보험 고객은 기술에 능숙하지 않으므로 모든 종류의 기기와 브라우저에서 사용자 경험이 필수적입니다.
• 정책 관리 및 청구 처리를 위해 종종 신원 확인과 패스키 통합이 필요합니다.

권장 사항: 외부 패스키 솔루션은 신속한 배포와 규제 준수에 가장 적합합니다. 보험 제공업체는 패스키를 구현한 후 인증 관련 지원 티켓이 크게 감소했다고 보고합니다. 맞춤형 인증 흐름과 통합된 신원 확인을 제공하는 패스키 구현 제공업체는 고객 로그인을 간단하게 유지하면서 보안을 보장합니다. 패스키 ROI 분석에 따르면 비밀번호 재설정 및 사기 손실 감소가 공급업체 비용을 상쇄합니다.

예시: Branch

주요 고려 사항:

• 최고 수준의 보안 표준 및 규정 준수 요구 사항(예: NIST, 피싱 방지 MFA를 요구하는 Essential Eight 프레임워크).
• 다양한 기술 숙련도를 가진 다양한 사용자 집단에 걸친 대규모 배포 요구 사항
• 기존 정부 신원 확인 시스템 및 레거시 인프라와의 통합 요구 사항

권장 사항: 정부 기관의 경우 접근성을 보장하면서 엄격한 보안 표준을 충족하는 전문 패스키 솔루션이 필수적입니다. VicRoads에서의 구현 성공은 정부 기관이 규정 준수 요구 사항과 보안 업데이트를 자동으로 처리하는 외부 패스키 솔루션으로부터 가장 큰 이점을 얻는다는 것을 보여줍니다. 따라서 엔터프라이즈급 보안을 제공하고 다중 기기 인증을 지원하며 모든 시민을 수용할 수 있는 적응형 인증 흐름을 제공하는 패스키 구현 제공업체를 선택하세요.

예시: VicRoads, myGov, State of Michigan

주요 고려 사항:

• 통신 및 유틸리티 제공업체는 종종 다양한 고객 세그먼트에 걸쳐 수백만 명의 사용자를 관리하므로 확장성과 신뢰성이 중요하며, 고가용성 및 내결함성 인증이 필요합니다.
• 사용자가 모바일 앱이나 웹 포털을 통해 계정에 액세스하므로 다중 기기 및 교차 플랫폼 지원이 필수적입니다. 모든 고객 접점에서 원활한 패스키 인증이 작동해야 합니다.
• 통신 및 유틸리티 제공업체는 기존 IAM 시스템 및 고객 ID 플랫폼에 현재 인증 흐름을 방해하지 않고 패스키를 통합해야 할 수 있으므로 레거시 인증 시스템 지원이 종종 필요합니다.
• 특히 SIM 스왑 사기, 신원 도용 및 무단 계정 액세스에 대한 사기 방지 및 계정 보안이 최우선 과제입니다. 패스키는 피싱 공격과 크리덴셜 스터핑 위험을 크게 줄일 수 있습니다.

권장 사항: 통신 및 유틸리티 제공업체의 경우 외부 패스키 솔루션을 채택하는 것이 권장되는 접근 방식입니다. 이러한 산업의 규모, 복잡성 및 보안 요구를 고려할 때, 관리형 패스키 제공업체는 규정 준수, 고가용성 및 기존 인증 인프라와의 원활한 통합을 보장합니다. 통신 대기업과 디지털 우선 유틸리티 제공업체는 이미 사기를 줄이고 사용자 경험을 개선하기 위한 보안 현대화 노력의 일환으로 패스키를 채택하고 있습니다. 또한, 패스키 구현을 아웃소싱하면 지속적인 유지 관리, 보안 업데이트 및 규제 준수를 제공업체가 처리하므로 사내 구축에 비해 총 소유 비용(TCO)이 낮아집니다.

예시: Deutsche Telekom, Telstra, SK Telecom

주요 고려 사항:

• B2B SaaS에는 다중 테넌트 인증이 필수적이므로 다양한 IAM 시스템에 걸쳐 확장 가능한 패스키 통합이 필요합니다.
• 기업은 SSO(OIDC/SAML)를 기대하므로 ID 공급자와의 원활한 통합이 비즈니스에 매우 중요합니다.
• 패스키 구현 비용은 다단계 인증(MFA) 및 제로 트러스트 보안 모델과 같은 다른 보안 투자와 균형을 이루어야 합니다.

권장 사항: 대부분의 B2B SaaS 제공업체에게 외부 패스키 구현이 최적의 선택입니다. 구현은 일반적으로 사내 개발보다 빠릅니다. Notion, Hubspot 또는 Vercel과 같은 디지털 B2B 회사는 이미 인증 보안을 강화하기 위해 패스키를 채택했습니다. 유지 관리, 업데이트 및 규정 준수 요구 사항이 제공업체에 의해 처리되므로 총 소유 비용은 사내 개발보다 훨씬 낮습니다.

예시: Canva, DocuSign, Notion

패스키는 인증의 글로벌 표준이 되어 최종 사용자의 로그인을 단순화하면서 보안을 강화했습니다. 기업들이 패스키 구현 방법을 평가할 때, 사내 솔루션을 구축할지 아니면 전문 패스키 공급업체를 활용할지 결정해야 합니다. DIY 구현은 완전한 제어권을 제공하지만, 상당한 기술 전문 지식, 개발 자원 및 지속적인 유지 관리가 필요합니다. 반면, 패스키 공급업체는 더 빠르고 확장 가능하며 비용 효율적인 접근 방식을 제공하여 높은 도입률, 원활한 사용자 경험 및 진화하는 보안 표준 준수를 보장합니다.

이 가이드는 다음 주요 질문에 답했습니다.

• 패스키를 구현하고 비밀번호 없는 환경으로 전환하는 데 필요한 구성 요소는 무엇인가요?

  성공적인 패스키 배포에는 FIDO2/WebAuthn 인프라, 원활한 UX 흐름, 폴백 메커니즘 및 안전한 계정 복구 옵션이 필요합니다. 기업은 또한 교차 플랫폼 호환성 및 보안 규정 준수를 고려해야 합니다.

• 패스키를 자체적으로 구현해야 할까요, 아니면 외부 공급업체를 사용해야 할까요?

  사내 개발은 제어권을 제공하지만 높은 복잡성, 지속적인 유지 관리 비용 및 보안 책임이 따릅니다. 대부분의 대규모 소비자 대상 조직은 신속한 배포, 낮은 운영 비용 및 감소된 기술 오버헤드를 제공하는 외부 패스키 솔루션의 이점을 누립니다.

• 오픈소스 라이브러리가 있는데 패스키 공급업체를 이용하면 어떤 이점이 있나요?

  오픈소스 WebAuthn 라이브러리는 시작점을 제공하지만 엔터프라이즈급 보안, 패스키에 최적화된 사용자 경험 및 도입 향상 기능이 부족합니다. 패스키 공급업체는 원활한 배포, 확장성 및 최적화된 사용자 도입 전략을 보장하여 더 나은 ROI를 가져오고 사용자와 개발자 모두의 마찰을 줄입니다.

• 패스키 솔루션을 구축하는 데 가장 큰 어려움은 무엇인가요?

  사내 패스키 시스템을 개발하려면 WebAuthn, 다중 기기 지원 및 패스키 도입에 대한 깊은 전문 지식이 필요합니다. 지속적인 기기 및 브라우저 복잡성을 유지하고 높은 도입률을 보장하는 것은 복잡성을 더욱 가중시킵니다.

• 패스키를 자체적으로 구현할 때의 위험은 무엇인가요?

  기업은 높은 개발 비용, 장기화된 배포 일정 및 지속적인 보안 유지 관리 부담의 위험을 감수해야 합니다. 규정 준수 실패, 보안 취약성 및 낮은 사용자 도입은 패스키 출시의 성공을 저해할 수 있습니다. 공급업체가 관리하는 패스키 솔루션은 내장된 보안 및 규제 준수를 갖춘 검증되고 확장 가능한 인증 인프라를 제공하여 이러한 위험을 완화합니다.