패스키 구매 vs. 구축 가이드

전체 패스키 구매 vs. 구축 가이드 다운로드#

패스키 구매 vs. 구축 가이드 전체 버전을 무료로 다운로드하고 모든 인사이트를 확인해 보세요.

• ✅ Adidas, Woolworths 및 Mitsubishi 팀에서 요청한 자료
• ✅ 구매와 구축 중 결정하기 위한 전체 구성 요소 목록 및 비용 모델
• ✅ 실용적인 50페이지 분량의 의사 결정 프레임워크

1. 동기: 패스키 인증 솔루션을 구매해야 할까요, 아니면 구축해야 할까요?#

자체 패스키 솔루션을 구축한다는 아이디어는 완전한 제어, 맞춤형 통합 및 특정 벤더에 종속되지 않는다는 점에서 매력적으로 들립니다. 무엇보다 FIDO2는 오픈 표준을 기반으로 하며 첫 WebAuthn 코드를 작성하는 것은 꽤 쉬워 보입니다. 과연 얼마나 어려울까요?

하지만 이는 복잡성의 시작일 뿐이며, 특히 다음과 같은 산업에서 수백만 명의 사용자를 대상으로 하는 대규모 소비자 대상 배포 시나리오를 위한 솔루션을 구축하려는 경우 더욱 그렇습니다.

• 은행 및 금융 서비스 (예: 온라인, 뱅킹, 결제, 핀테크)
• 정부 및 공공 서비스 (예: 시민 포털, 세금 및 사회 보장 플랫폼)
• 보험 및 의료 (예: 환자 포털, 디지털 보험 플랫폼)
• 전자상거래 및 소매업 (예: 마켓플레이스, 로열티 프로그램)
• 통신 및 유틸리티 (예: 이동통신사, 에너지 공급업체)
• 여행 및 숙박 (예: 항공사 계정, 호텔 로열티 프로그램)

진정한 과제는 첫 번째 성공적인 패스키 로그인 이후에 시작되며, 보통 패스키 솔루션을 구현하는 과정에서 드러납니다. 갑자기 특이한 엣지 케이스, 혼란스러운 사용자 오류, 패스키를 사용할 수 없어 사용자가 차단될 가능성 등이 나타납니다. 간단해 보였던 통합 작업이 수개월 또는 수년의 개발 노력, 예상치 못한 유지 관리 비용, 심지어 실패한 패스키 프로젝트로 변할 수 있습니다.

그러나 특정 조직 및 요구 사항에 대해서는 자체 솔루션을 구축하는 것이 올바른 선택일 수도 있습니다. 저희는 패스키 구현 계획에 대해 수십 개의 조직과 이야기를 나누었으며, 일부 조직의 여정에 직접 참여하기도 했습니다. 이 가이드는 DIY(직접 구축) 패스키 접근 방식이 언제 의미가 있는지, 그리고 언제 확립된 패스키 제공업체를 선택하는 것이 더 현명한 결정인지 판단하는 데 도움이 될 것입니다.

구매 vs. 구축 패스키 가이드를 통해 다음과 같은 질문에 답하고자 합니다.

1. 패스키를 구현하고 암호 없는 환경으로 전환하는 데 필요한 구성 요소는 무엇인가요?
2. 패스키를 자체적으로 구현해야 할까요, 아니면 외부 패스키 벤더를 사용해야 할까요?
3. 오픈 소스 라이브러리가 있는데 패스키 벤더를 사용하면 어떤 이점이 있나요?
4. 패스키 솔루션을 구축할 때 가장 큰 과제는 무엇인가요?
5. 패스키를 자체적으로 구현할 때의 위험은 무엇인가요?

2. 필수 조건: 패스키가 새로운 표준 로그인인 이유#

암호는 구식이며 안전하지 않고 불편합니다. 패스키는 피싱 위험을 제거하고, 사용자 경험을 개선하며, 인증을 단순화하여 안전한 로그인의 새로운 표준으로 자리 잡고 있습니다. 자체 구축을 하든 외부 솔루션을 사용하든, 패스키를 통합하는 것은 보안과 사용성 측면에서 큰 발전입니다.

Google은 사용 편의성이나 속도를 강조하는 방식이 사용자들의 공감을 얻고 효과가 있음을 발견했습니다. 사람들은 일반적으로 로그인하는 것을 귀찮아하므로, 이 과정을 더 쉽고 빠르게 만드는 모든 것이 이점이 됩니다.

이러한 보안 이점 외에도 패스키를 통해 상당한 운영 비용 절감 효과를 기대할 수 있습니다. 방대한 사용자 기반에 발송되는 수많은 SMS OTP의 수를 줄일 수 있습니다. 또한 암호 및 MFA 복구로 인해 고객 지원 팀이 겪는 부담 역시 제거할 수 있는 비용 요소입니다.

더불어 패스키는 로그인 성공률과 속도를 개선하여 궁극적으로 전환율을 향상시킵니다. 이는 전자상거래, 소매업 또는 여행과 같은 산업에서 매출 성장의 주요 동력이 됩니다.

3. 암호 없는 환경으로의 여정: 패스키의 역할은?#

패스키 도입을 고려하는 많은 조직의 최종 목표는 완전한 암호 없는 환경을 구축하는 것입니다. 이 목표를 달성하기 위해서는 일반적으로 네 가지 단계를 거쳐야 합니다. 이 단계의 진행 속도는 조직의 기술적 역량, 로그인 패턴 및 사용자 기반에 크게 좌우됩니다. 경우에 따라 더 안전한 인증 도입을 요구하는 대중의 압력이나 재정적 제약과 같은 외부 요인이 영향을 미칠 수도 있습니다.

패스키 통합은 패스키 프로젝트의 성공을 보장하기 위한 한 단계일 뿐이므로, 이 네 가지 단계에 대해 자세히 살펴보겠습니다.

3.1 1단계: 패스키 통합#

완전한 암호 없는 시스템으로 전환하기 위한 첫 번째 단계는 패스키를 로그인 방법으로 통합하는 것입니다. 이 단계에서는 사용자가 아직 패스키를 채택하지 않은 경우에도 계정에 액세스할 수 있도록 암호 및 기타 인증 방법이 대체 수단으로 유지됩니다. 성공적인 통합을 위해서는 기존 로그인 흐름 및 보안 정책과 원활하게 호환되어야 합니다. 조직은 패스키 생성을 간단하게 만들어 기술적인 지식이 없는 사용자도 마찰 없이 새로운 인증 방법을 채택할 수 있도록 집중해야 합니다.

3.2 2단계: 패스키 채택률 증가#

패스키가 통합된 후의 다음 과제는 사용자의 패스키 채택을 유도하는 것입니다. 많은 조직이 이 단계의 중요성을 과소평가하지만, 사용자의 광범위한 채택 없이는 패스키 프로젝트가 실패할 가능성이 높습니다. 가능한 많은 사용자가 패스키를 생성하고 사용하도록 권장하여 패스키를 기본 로그인 방법으로 만드는 것이 목표입니다.

채택을 높이기 위한 주요 전략에는 사전 예방적 사용자 교육, 패스키 생성을 촉진하는 UI 넛지, 전환하는 사용자에게 보상하는 인센티브 프로그램 등이 있습니다. 조직은 다음 단계로 넘어가기 전에 활성 사용자의 50~80%가 패스키를 활용하는 것과 같은 임계 채택 기준을 설정해야 합니다. 채택이 왜 중요한지에 대한 더 깊은 이해를 원하시면, 저조한 채택률이 패스키 프로젝트를 어떻게 위태롭게 할 수 있는지에 대한 전용 기사를 참조하세요.

3.3 3단계: 암호 제거#

패스키 채택이 임계치에 도달하면 조직은 암호를 단계적으로 폐지하기 시작할 수 있습니다. 그러나 너무 일찍 또는 신중한 계획 없이 암호를 제거하면 사용성 문제와 지원 요청 증가로 이어질 수 있습니다. 단계적인 접근 방식을 권장합니다.

• 사용자가 일관되게 패스키로 인증하는 계정부터 암호를 제거하기 시작합니다.
• 조기 채택자를 위해 계정 설정에서 암호 제거 옵션을 제공합니다.
• 데이터 기반 분석을 사용하여 완전한 암호 없는 환경으로 전환할 준비가 된 사용자를 파악합니다. 예를 들어, 여러 기기에 여러 패스키가 등록된 사용자의 암호 제거를 우선순위에 둘 수 있습니다.
• 사용자에게 암호 제거의 이점을 적극적으로 알리고 확신을 심어줍니다.

사용자를 완전한 암호 없는 인증으로 전략적으로 안내함으로써 조직은 사용자 경험을 저해하지 않으면서 보안을 극대화할 수 있습니다.

3.4 4단계: 계정 복구 자동화#

암호가 제거되면 계정 복구 메커니즘이 강력하고 안전해야 합니다. 기존의 복구 방법은 종종 지원 티켓이나 이메일 재설정과 같은 수동 개입에 의존하여 보안 위험 및 운영 비용을 초래할 수 있습니다. 조직은 보안을 유지하면서 사용자 경험을 향상시키는 최신 셀프 서비스 계정 복구 솔루션을 구현해야 합니다.

자동화된 계정 복구의 주요 요소는 다음과 같습니다.

• 라이브니스 검사(Liveness checks): 사용자가 물리적으로 존재하는지 확인하여 무단 계정 탈취를 방지합니다.
• 신원 확인: 신원을 확인하기 위해 정부 발행 신분증 및 생체 인식 인증을 활용합니다.
• 대체 패스키: 사용자의 다른 기기에 저장된 백업 패스키를 사용하여 계정을 복구할 수 있도록 허용합니다.

많은 조직이 암호 없는 환경으로의 전환과는 별개로 비용을 줄이고 사용성을 향상시키기 위해 자동화된 복구 프로세스에 투자하고 있습니다. 그러나 패스키 중심의 생태계에서 이러한 메커니즘은 보안을 유지하고 마찰을 줄이는 데 훨씬 더 중요해집니다.

이 네 가지 단계를 바탕으로 구매와 구축을 결정하는 평가를 돕겠습니다. 따라서 단지 패스키를 통합하는 것뿐만 아니라 모든 단계를 염두에 두는 것이 패스키 프로젝트의 장기적인 성공에 매우 중요합니다 (패스키 통합을 목표로 삼을 수 있지만, 그렇게 하면 패스키의 잠재력을 완전히 활용하지 못하게 됩니다).

4. 올바른 패스키 접근 방식을 결정하는 방법#

DIY와 외부 패스키 솔루션 중에서 선택하는 것은 회사의 기술 리소스, 보안 우선순위, 배포 규모 및 장기적인 패스키 전략에 따라 달라집니다. 다음 섹션에서는 최선의 결정을 내리는 데 도움이 되도록 주요 측면을 분석해 보겠습니다.

다음 표는 평가해야 할 다양한 기준을 보여줍니다. 귀하의 상황에 더 가까운 설명에 따라 다른 점수가 부여됩니다.

평가 매트릭스 사용 방법:

각 기준에 대해 회사에 단순한 솔루션이 필요한지, 아니면 더 정교한 솔루션이 필요한지 선택하세요.

• 귀하의 사례에서 복잡성이 가장 낮고 왼쪽 설명에 더 잘 부합하는 각 답변에 1점을 할당합니다.
• 답변이 오른쪽의 가장 높은 복잡성 설명에 더 잘 부합하는 각 범주에 5점을 할당합니다.
• 잘 모르겠다면 중간 옵션인 3점을 사용하세요.

전체 패스키 구매 vs. 구축 가이드 다운로드#

패스키 구매 vs 구축 가이드 전체 버전을 무료로 다운로드하고 모든 평가 기준을 확인하세요.

5. 이 가이드를 효과적으로 사용하는 방법#

패스키 솔루션을 구축할지 구매할지 결정할 때는 패스키 배포의 단일 단계가 아니라 전체 프로세스를 살펴봐야 합니다. 패스키를 MVP(최소 기능 제품)로 제공하는 것이 단기적인 우선순위일지라도, 장기적인 영향, 특히 채택 촉진을 예상해야 합니다. 아래는 이 가이드를 사용하고 결과를 해석하는 권장 방법으로, 채택이 그 어떤 요소보다 중요한 이유에 초점을 맞추고 있습니다.

5.1 채택을 최우선 성공 요인으로 집중#

패스키 솔루션이 아무리 발전했더라도, 사용자가 패스키를 생성하고 로그인에 사용함으로써 채택하지 않는다면 프로젝트 전체가 위험해집니다. 경험상 조직들은 사용자를 암호에서 벗어나도록 유도하는 데 필요한 노력을 과소평가하는 경향이 있습니다. 패스키를 기술적인 수준에서 완벽하게 구현하더라도 채택률이 낮으면 다음과 같은 결과가 초래됩니다.

• 암호에 대한 지속적인 의존성으로 패스키의 보안 이점이 상쇄됩니다.
• 로그인 시 패스키 사용량이 많아야 비용 절감(암호 재설정 감소, SMS OTP 감소)이 가능하므로 ROI가 최소화됩니다.
• 대부분의 로그인이 여전히 기존 방식으로 이루어지고 소수의 사용자만 패스키를 사용하는 경우 단편화된 사용자 경험이 발생합니다.

암호를 완전히 줄이거나 제거하기 위한 의미 있는 진전을 이루려면 일반적으로 사용자 기반의 50% 또는 80% 이상의 높은 채택률이 필요합니다. Google 및 Amazon과 같은 기업은 명시적인 채택 목표를 설정하고 A/B 테스트, 사용자 교육 캠페인 및 UI 넛지를 체계적으로 실행하여 패스키가 널리 채택되도록 보장합니다. 이러한 채택에 집중하는 노력은 선택 사항이 아니며, 패스키 출시를 단순한 기능에서 가시적인 경쟁 우위로 탈바꿈시키는 핵심 요소입니다.

5.2 가이드를 전체적으로 또는 단계별로 사용#

이 가이드는 모든 여정의 단계에서 패스키 구현에 대한 정보에 입각한 결정을 내릴 수 있도록 설계되었습니다.

1. 1단계 (패스키 통합): 패스키 채택 여부와 통합 방법만 고려하는 경우 패스키 통합을 위한 구축 vs. 구매 기준에 초점을 맞추세요.
2. 2단계 (채택률 증가): 패스키를 단순한 기능 이상으로 만들고자 한다면 조기에 사용자 채택을 촉진하도록 계획하세요. MVP를 위해서라도 초기 구현 비용보다 훨씬 더 많은 기술 투자가 필요한 경우가 많습니다.
3. 3단계 (암호 제거): 암호 제거가 장기적인 전략적 목표인 경우 인프라 및 사용자 흐름이 궁극적인 단계를 염두에 두고 설계되었는지 확인하세요.
4. 4단계 (계정 복구 자동화): 오늘 당장 완전한 암호 없는 환경으로 전환할 준비가 되지 않았더라도 향후 장애물을 피하기 위해 패스키 접근 방식이 강력하고 원활한 복구로 발전할 수 있는지 확인하세요.

이 중 2단계 (채택률 증가)가 가장 중요합니다. 각 섹션을 별도로 평가할 수 있지만, 장기적인 성공과 ROI는 시작부터 채택을 얼마나 심각하게 고려하는지에 따라 결정되는 경우가 많다는 점을 명심하세요.

5.3 주요 이해관계자의 참여 및 채택 목표 조정#

패스키 구현을 결정하는 초기 단계에 있다면 평가 매트릭스의 첫 번째 섹션(패스키 통합)부터 시작하여 경영진, IT, 제품 책임자 및 기타 주요 의사 결정자와 함께 작성하세요. 다음과 같이 자문해 보세요.

1. 원하는 패스키 로그인 비율은 얼마인가요? 실행 가능성을 증명하기 위해 5%면 충분한가요, 아니면 패스키를 성공으로 간주하기 전에 50~80%가 필요한가요?
2. 수개월 동안 A/B 테스트를 실행하고 최적화 캠페인을 실행하며 교육 자료를 만들고 사용자 흐름을 지속적으로 개선하여 사용자가 패스키로 전환해야 하는 이유를 이해하고 원할 수 있도록 할 예산과 경영진의 지원이 있나요? 필요한 모든 보고, 분석 및 테스트를 구현할 충분한 엔지니어링 역량이 있나요? 이러한 목표를 달성할 만큼 빈번하게 릴리스할 수 있나요?
3. 장기적인 비전은 무엇인가요? 암호를 제거하는 것을 목표로 하나요, 아니면 단순한 대안을 제공하는 것인가요?

이러한 질문에 미리 대답하면 패스키 프로젝트가 막다른 골목에 다다르는 것을 방지할 수 있습니다. 채택을 계획하지 못한 조직은 종종 수년 동안 암호에 발목이 잡혀 전체 보안 및 사용자 경험 전략이 약화됩니다.

5.4 '중립'에서 멀어질수록 벤더 솔루션이 더 합리적입니다#

매트릭스 전체에서 각 평가 기준은 **가장 낮은 복잡성(1)부터 가장 높은 복잡성(5) 사이에 위치할 수 있습니다. 귀하의 답변이 중립 영역(3)**을 넘어 이동할수록 전문 패스키 벤더를 사용해야 할 이유가 더 커집니다.

• 고급 대체 수단, 엄격한 규정 준수, 심층적인 분석 및 다중 기기 UX와 같은 높은 복잡성 요구 사항은 엔지니어링 및 유지 관리 부담을 배가시킵니다.
• 채택에 대한 강한 강조 - 높은 패스키 채택을 신속하게 달성하거나 암호를 제거하려면 일반적으로 잘 검증된 사용자 흐름, 상세한 텔레메트리 및 구조화된 넛지가 필요합니다.

이러한 요인들은 기술적으로나 조직적으로 내부 팀을 압도할 수 있습니다. 관리형 패스키 솔루션은 종종 DIY 접근 방식보다 훨씬 빠르게 채택을 늘리기 위해 검증된 모범 사례, 빠른 업데이트 및 실제 전문 지식을 제공할 수 있습니다.

5.5. Corbado의 관점: 벤더가 더 나은 선택인 경우#

패스키 전문가로서 Corbado는 확고한 관점을 가지고 있습니다. 패스키가 로드맵에 있고 채택을 적극적으로 촉진하는 최첨단 구현을 원한다면, Corbado Connect가 대규모 복잡성을 해결하는 데 도움이 될 수 있습니다. 그 이유는 다음과 같습니다.

채택이 솔루션에 내장되어 있습니다: 당사의 플랫폼은 비용 절감 효과도 창출하는 스마트 넛지, 분석 및 지속적인 A/B 테스트를 통해 사용자의 자발적인 참여를 극대화하도록 설계되었습니다.

다음 단계:

1. 단기 및 장기 목표를 모두 고려하여 평가 매트릭스의 각 관련 섹션을 작성하세요.
2. 의사 결정에서 채택을 우선순위에 두세요 - 명시적인 채택 목표 및 이를 달성하기 위한 리소스에 대해 이해관계자와 조율하세요.
3. 복잡성과 채택 목표를 이해한 후 사내 솔루션과 벤더 솔루션의 TCO(총소유비용)를 비교하고 구축 또는 구매를 평가하기 위한 내부 프로세스를 진행하세요.

4. 귀하의 전략적 목표가 기술 및 채택 과제를 모두 효과적으로 처리하는 완전 관리형 플랫폼을 가리키는 경우 (Corbado와 같은) 패스키 전문가와 상의하세요.

패스키를 총체적인 방식으로 접근하고 채택을 핵심 목표 중 하나로 삼음으로써 최상의 결과를 얻을 수 있습니다. 이는 더 강력한 보안, 단순화된 로그인, 그리고 암호 없는 미래로 가는 진정한 길을 의미합니다. Corbado Connect와 당사가 어떻게 고객의 높은 패스키 채택을 돕는지 자세히 알아보고 싶으시다면 언제든지 문의해 주세요.

6. 패스키 배포의 성공을 어떻게 측정하나요?#

이제 "구매 vs 구축?"이라는 질문에 답하기 위한 올바른 접근 방식을 결정하는 데 도움이 되었으므로, 패스키 배포의 성공을 어떻게 평가하는지 분석해 보겠습니다. 이를 위해 패스키 프로젝트의 투입(input) 및 산출(output) 핵심성과지표(KPI)를 정의합니다.

6.1 중요한 패스키 투입(Input) KPI는 무엇인가요?#

투입 KPI는 패스키의 초기 채택 상황과 광범위한 사용에 필요한 조건이 구축되고 있는지를 추적하는 데 도움이 됩니다. 이러한 지표는 실제 로그인 동작 이전에 발생하지만 유의미한 채택을 가능하게 하고 배포를 최적화하는 데 매우 중요합니다.

이러한 투입 KPI는 미래 패스키 채택의 선행 지표 역할을 하며, 조직이 사용자 교육, UX 흐름 및 기술 구현을 미세 조정할 수 있도록 합니다.

6.2 중요한 패스키 산출(Output) KPI / OKR은 무엇인가요?#

산출 KPI(OKR)는 사용자 동작, 운영 개선 및 비즈니스 영향을 평가하여 패스키 채택의 실제 성공 여부를 측정합니다. 이러한 지표는 패스키 배포의 실제 효과를 반영합니다. 패스키 로그인 비율은 실제 패스키 채택 및 사용을 직접 반영하므로 핵심 산출 KPI입니다. 패스키 로그인 비율 상승은 성공적인 온보딩과 구형 인증 방식보다 패스키를 선호하는 사용자 추세가 지속됨을 나타냅니다.

마찰 없는 사용자 경험을 보장하기 위해 주로 패스키 로그인 성공률과 패스키 로그인 비율을 최적화하는 동시에 사용자 활성화율을 높이기 위해 노력해야 합니다. 단, 사용자 불편을 초래하지 않도록 로그인 성공률이 충분히 높을 때만 진행해야 합니다. 또한 다양한 세그먼트(예: OS, 브라우저 및 기기)와 특정 사용 사례(예: 교차 기기 로그인)별로 이러한 KPI를 추적하면 채택 패턴과 잠재적인 마찰 지점에 대한 더 깊은 통찰력을 얻을 수 있습니다.

6.3 패스키 측정 항목에 필요한 이벤트를 기록하는 방법#

투입(예: 수락, 생성) 및 산출 KPI(예: 로그인 비율, 대체 수단 사용)를 모두 정확하게 측정하려면 다음 세 가지 주요 소스에서 데이터를 수집해야 합니다.

1. 프런트엔드 이벤트 데이터
2. 패스키 / 자격 증명 저장소
3. 기존 인증 및 대체(fallback) 로그

6.3.1 프런트엔드 이벤트 데이터#

패스키 수락률 또는 패스키 생성 성공률과 같은 지표를 계산하려면 얼마나 많은 사용자가 로그인 후 넛지를 보는지, 얼마나 많은 사용자가 "예, 패스키를 생성하겠습니다"를 클릭하는지, 그리고 사용자가 실제로 패스키 생성을 완료하는지를 파악해야 합니다. 이를 위해 다음과 같은 데이터를 캡처하는 JavaScript(또는 네이티브 모바일) 이벤트 추적이 필요합니다.

• 넛지가 표시되는 시점 및 표시 여부 (첫 번째 표시인지 이후 표시인지 여부)
• 넛지를 완료하는 데 걸리는 시간
• 패스키 생성 과정을 한 번 또는 여러 번 취소하는지 여부

특정 손상 경로를 감지하려면 수락률을 특정 OS/브라우저 버전과 다시 연결하기 위한 사용자 에이전트 구문 분석 또는 **클라이언트 힌트(client hints)**도 필요합니다.

6.3.2 패스키 / 자격 증명 저장소#

사용자가 프런트엔드에서 등록을 시작한 후 서버는 새 패스키가 실제로 저장되었는지 확인해야 합니다. 각 자격 증명의 생성 이벤트를 기록하는 데이터베이스 또는 외부 ID 제공업체의 API에 액세스할 수 있어야 합니다. 이 저장소를 통해 사용자당 존재하는 패스키 수를 계산하고 최종 결과(성공 또는 실패)를 추적하여 등록이 완료된 시도를 정확히 파악할 수 있습니다.

6.3.3 기존 인증 및 대체(fallback) 로그#

대체 로그인(Fallback) 비율과 같은 지표를 확인하려면 현재 인증 로그 및 프로세스를 살펴봐야 합니다. 이러한 로그를 프런트엔드 이벤트와 통합하면 사용자가 패스키 로그인을 시작했다가 오류가 발생하여 대체 로그인(예: SMS 또는 암호)으로 전환했는지 확인할 수 있습니다.

마지막으로, 패스키 로그인 시간 vs. 기존 로그인 시간과 같은 시간 기반 KPI를 측정하려면 클라이언트 및 서버 타임스탬프 모두에 의존해야 합니다. 많은 조직이 성공적인 로그인만 기록하기 때문에, 마찰과 대체 로그인의 실태를 제대로 측정하려면 부분적으로 진행되었거나 실패한 패스키 흐름에 대한 계측(instrumentation)을 추가해야 합니다. 개인정보 보호 및 규제 제약을 준수하면서 이 세 가지 데이터 소스를 통합하는 것은 예상보다 복잡한 경우가 많으며, 일부 팀이 내장된 분석 및 이벤트 추적을 제공하는 전문 패스키 플랫폼을 채택하게 되는 또 다른 요인이 됩니다.

6.3.4 Corbado의 통합 접근 방식: 인증 프로세스 마이닝(Authentication Process Mining)#

Corbado Connect 구성 요소는 인증 프로세스를 시작하는 모든 사용자에게 고유한 프로세스를 자동으로 생성하여, 설명된 모든 데이터 포인트(수백 가지의 서로 다른 정보)를 암시적으로 수집합니다. 원활한 통합을 통해 Corbado는 귀하의 기존 솔루션에서도 인증 지표를 수집합니다. 이러한 종합적인 시각은 사용자를 위한 개선 사항을 정확히 짚어주며, 귀하의 추가적인 노력 없이도 모든 필수 패스키 KPI에 대한 포괄적인 통찰력을 제공합니다.

6.4 패스키 배포로 인해 영향을 받아야 하는 다른 중요한 산출 KPI / OKR은 무엇인가요?#

또한 다음과 같은 산출 KPI 효과는 성공적인 패스키 배포 이후 나타나야 하며 대부분 이미 기업 내에서 수집되고 있습니다.

운영 및 비용 절감 지표

• SMS OTP 사용 감소 – 패스키 인증으로 인해 절약된 SMS OTP 수 (직접 비용 절감 효과).
• 암호 재설정 요청 감소 – 잊어버린 암호와 관련된 헬프데스크 지원 감소.
• 고객 지원 티켓 감소 – 인증 관련 고객 서비스 문제 발생 건수 감소.
• 지원 전화 통화량 감소 – 계정 액세스 문제와 관련된 인바운드 통화 감소.

비즈니스 및 UX 영향 지표

• 사용자 유지율(User Retention Rates) – 첫 로그인 이후 인증을 계속하는 사용자의 비율.
• 전환율(Conversion Rate) – 사용자가 인증 후 거래를 완료하는 빈도.
• 로그인 퍼널의 이탈률(Drop-Off Rate) – 패스키가 로그인 시도를 포기하는 사용자 수를 줄이는지 여부.

조직은 패스키 투입 및 산출 KPI를 구체적으로 추적하고 이를 다른 데이터와 연관지음으로써 패스키 배포의 영향을 정량화하고, 데이터 기반 개선을 통해 채택을 극대화하고, 비용을 절감하며, 보안을 강화할 수 있습니다.

7. 권장 사항#

올바른 패스키 솔루션을 선택하는 것은 특정 과제, 보안 요구 사항 및 비용 고려 사항에 따라 달라집니다. 다음은 다양한 산업 부문에 대한 구매 vs. 구축 결정에 대한 주요 권장 사항입니다.

7.1 은행 및 금융 서비스를 위한 패스키 권장 사항#

주요 고려 사항:

• 규정 준수(예: PSD2, SOC 2, ISO 27001, GDPR)를 위해 패스키 인증 시 엄격한 보안 조치가 요구됩니다.
• 은행은 종종 사내 솔루션의 장기적인 복잡성과 유지 보수를 과소평가하므로 패스키 비용 비교가 중요합니다.
• 계정 탈취 사기 및 피싱을 줄이기 위해서는 안전한 인증이 필수적입니다.

권장 사항:
대부분의 은행 및 금융 기관은 패스키 인프라를 내부적으로 관리할 때 기존 IT 전문 지식을 초과하는 숨겨진 복잡성이 발생하므로 자체 구축보다 패스키 벤더 솔루션에 의존해야 합니다. 규모에 맞게 패스키 인증을 구현하려면 지속적인 최적화 및 업데이트, WebAuthn 호환성 관리 및 레거시 뱅킹 시스템과의 원활한 통합이 필요하며 패스키 벤더는 이미 이 모든 것을 처리하고 있습니다.

Ubank, Revolut 및 Finom과 같은 은행은 사용자 경험을 개선하면서 보안을 강화하는 기술의 잠재력을 인식하고 패스키 도입을 선도하고 있습니다. 패스키 ROI 분석은 종종 지속적인 유지 관리 및 업데이트에 투자하는 것보다 패스키 솔루션을 구매하는 것을 선호하며, 이러한 배포는 사기 시도 및 인증 관련 지원 비용을 크게 감소시키는 것으로 나타났습니다.

적용 사례: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

7.2 의료 분야를 위한 패스키 권장 사항#

주요 고려 사항:

• HIPAA 및 GDPR 규정 준수를 위해 패스키 도입 시 엄격한 인증 보안이 요구됩니다.
• 패스키 구현 과제에는 환자, 의료진, 병원 IT 관리자 간의 보안과 사용 편의성의 균형을 맞추는 것이 포함됩니다.
• 많은 의료 인증 시스템이 여전히 레거시 인프라에 의존하므로 패스키 통합이 더 복잡합니다.

권장 사항:
패스키 벤더 솔루션은 인증을 단순화하면서 규정 준수 요구 사항을 충족하는 가장 효과적인 방법입니다. 패스키 벤더는 보안 패치, 규정 준수 업데이트 및 인증 안정성을 처리하여 IT 팀의 부담을 줄여줍니다.

적용 사례: CVS Health, Caremark, Helsana, NHS, Swica

7.3 전자상거래 및 소매업을 위한 패스키 권장 사항#

주요 고려 사항:

• 전환율 최적화(CRO)는 비즈니스에 핵심적이며 인증 마찰은 수익에 직접적인 영향을 미칩니다.
• 다중 기기 시나리오(사용자가 모바일에서 탐색하지만 데스크톱에서 결제 완료)가 원활하게 작동해야 합니다.
• 인증 오류는 직접적으로 장바구니 포기율을 높이므로 UX 최적화 로그인 흐름이 필수적입니다.

권장 사항:
전자상거래 플랫폼은 높은 채택률을 제공하는 패스키 구현 제공업체의 혜택을 가장 많이 받습니다. Amazon 및 Shopify와 같은 주요 플랫폼이 패스키 인증을 구현하여 전자상거래에서 이 기술의 채택이 증가하고 있음을 보여주었습니다. 실제 데이터에 따르면 초기 암호 로그인의 27% 이상이 실패하는 반면, 패스키 기반 인증은 이전 도입 사례에서 볼 수 있듯이 최대 95~97%의 로그인 성공률을 달성할 수 있습니다. 패스키 ROI 분석에 따르면 더 높은 전환율과 더 낮은 사기 손실이 투자 비용을 빠르게 정당화합니다.

Amazon은 최근 100% 패스키 채택과 암호의 완전한 제거라는 야심찬 목표를 설정했다고 밝혔습니다.

또한 Google은 패스키를 사용하는 체험판 사용자가 그렇지 않은 사용자보다 유료 고객으로 전환될 가능성이 20% 더 높다는 사실을 발견했습니다.

적용 사례: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

7.4 여행 및 숙박을 위한 패스키 권장 사항#

주요 고려 사항:

• 사용자가 하나의 기기에서 여행을 예약하고 다른 기기에서 체크인하므로 교차 기기 인증이 필수적입니다.
• 전문 패스키 벤더는 편리한 예약, 체크인 및 계정 관리를 위해 빠르고 안전한 로그인을 보장해야 합니다.
• 여행 플랫폼은 고가치 거래를 처리하므로 사기 방지가 우선순위입니다.

권장 사항:
대부분의 여행 회사는 보안 및 사용자 경험을 향상시키기 위해 패스키 솔루션을 구현해야 합니다. Kayak 및 주요 항공사와 같은 선도 기업은 사용자 경험을 개선하기 위해 이미 패스키 인증을 활용하고 있습니다. 사전 구축된 솔루션은 더 강력한 사기 탐지, 원활한 로그인 경험, 즉각적인 다중 기기 지원을 제공합니다. 숙박 부문은 특히 패스키 구현을 통해 체크인 시간을 줄이고 보안을 개선하는 이점을 누리고 있으며 모든 접점(앱, 키오스크, 웹 및 파트너 플랫폼)에서 원활한 인증을 보장합니다.

적용 사례: Air New Zealand, Bolt, Grab, Uber, Hyatt

7.5 보험을 위한 패스키 권장 사항#

주요 고려 사항:

• 패스키 구현 비용은 규정 준수 요구 및 사용자 경험 개선과 균형을 맞춰야 합니다.
• 많은 보험 고객은 기술에 매우 능숙하지 않으므로 모든 종류의 기기 및 브라우저에서 편리한 사용자 경험이 필수입니다.
• 패스키 통합과 신원 확인의 연계는 종종 정책 관리 및 보험금 청구 처리에 요구됩니다.

권장 사항:
외부 패스키 솔루션은 빠른 배포 및 규정 준수에 가장 적합합니다. 보험 제공업체는 패스키를 구현한 후 인증 관련 지원 티켓이 크게 감소했다고 보고합니다. 맞춤형 인증 흐름 및 통합 신원 확인을 갖춘 패스키 구현 제공업체는 보안을 보장하면서 고객 로그인을 간단하게 유지합니다. 패스키 ROI 분석은 암호 재설정 및 사기 손실 감소가 벤더 도입 비용을 상쇄한다고 시사합니다.

적용 사례: Branch

7.6 정부 및 공공 서비스를 위한 패스키 권장 사항#

주요 고려 사항:

• 최고 수준의 보안 표준 및 규정 준수 요구 사항 (예: NIST, 피싱 방지 MFA를 요구하는 Essential Eight 프레임워크).
• 기술 숙련도가 다양한 대규모 사용자 인구에 대한 대규모 배포 요구.
• 기존 정부 신원 확인 시스템 및 레거시 인프라와의 통합 요구 사항.

권장 사항:
정부 기관의 경우, 접근성을 보장하면서 엄격한 보안 표준을 충족하는 특화된 패스키 솔루션이 필수적입니다. VicRoads의 성공적인 구현은 규정 준수 요구 사항 및 보안 업데이트를 자동으로 처리하는 외부 패스키 솔루션을 통해 정부 조직이 가장 큰 혜택을 얻는다는 점을 보여줍니다. 따라서 엔터프라이즈급 보안을 제공하고 다중 기기 인증을 지원하며 모든 시민을 수용할 수 있는 적응형 인증 흐름을 제공하는 패스키 구현 제공업체를 선택하세요.

적용 사례: VicRoads, myGov, State of Michigan

7.7 통신 및 유틸리티를 위한 패스키 권장 사항#

주요 고려 사항:

• 통신 및 유틸리티 제공업체는 종종 다양한 고객 세그먼트에서 수백만 명의 사용자를 관리하므로 고가용성과 내결함성이 있는 인증을 요구하여 확장성 및 안정성이 매우 중요합니다.
• 사용자가 모바일 앱이나 웹 포털을 통해 계정에 액세스하므로 다중 기기 및 크로스 플랫폼 지원이 필수적입니다. 원활한 패스키 인증은 고객의 모든 접점에서 작동해야 합니다.
• 통신 및 유틸리티 제공업체는 현재의 인증 흐름을 방해하지 않으면서 패스키를 기존 IAM 시스템 및 고객 ID 플랫폼에 통합해야 할 수 있으므로 기존 인증 시스템에 대한 지원이 종종 필요합니다.
• 사기 방지 및 계정 보안이 최우선이며, 특히 SIM 스와핑 사기, 신분 도용 및 승인되지 않은 계정 접근과 관련하여 중요합니다. 패스키는 피싱 공격 및 크리덴셜 스터핑(credential stuffing) 위험을 크게 줄일 수 있습니다.

권장 사항:
통신 및 유틸리티 제공업체의 경우 외부 패스키 솔루션을 도입하는 것이 권장됩니다. 이들 산업의 규모, 복잡성 및 보안 요구를 고려할 때 관리형 패스키 제공업체는 규정 준수, 고가용성 및 기존 인증 인프라와의 원활한 통합을 보장합니다. 통신 대기업과 디지털 우선 유틸리티 제공업체들은 사기를 줄이고 사용자 경험을 개선하기 위한 보안 현대화 노력의 일환으로 이미 패스키를 수용하고 있습니다. 또한 패스키 구현을 외주로 맡기면 지속적인 유지 관리, 보안 업데이트 및 규정 준수가 제공업체에 의해 처리되므로 자체 구축에 비해 총소유비용(TCO)이 절감됩니다.

적용 사례: Deutsche Telekom, Telstra, SK Telecom

7.8 B2B SaaS를 위한 패스키 권장 사항#

주요 고려 사항:

• 멀티 테넌트 인증은 B2B SaaS에 필수적이며, 다양한 IAM 시스템에 걸친 확장 가능한 패스키 통합이 요구됩니다.
• 기업은 SSO(OIDC/SAML)를 기대하므로 ID 제공업체와의 원활한 통합이 비즈니스에 중요합니다.
• 패스키 구현 비용은 다중 요소 인증(MFA) 및 제로 트러스트 보안 모델과 같은 다른 보안 투자와 균형을 이루어야 합니다.

권장 사항:
대부분의 B2B SaaS 제공업체의 경우 외부 패스키 구현이 최적의 선택입니다. 일반적으로 내부 개발보다 구현이 빠릅니다. Notion, Hubspot 또는 Vercel과 같은 디지털 B2B 기업은 인증 보안을 강화하기 위해 이미 패스키를 도입했습니다. 유지 관리, 업데이트 및 규정 준수 요구 사항이 제공업체에 의해 적용되므로 총소유비용이 내부 개발보다 현저히 낮습니다.

적용 사례: Canva, DocuSign, Notion

8. 결론#

패스키는 글로벌 인증 표준이 되었으며 사용자 로그인을 단순화하고 보안을 강화합니다. 기업이 패스키를 구현하는 방법을 평가할 때, 사내 솔루션을 직접 구축할지 전문 패스키 벤더를 활용할지 결정해야 합니다. DIY 구현은 완벽한 제어 권한을 제공하지만 중요한 기술적 전문 지식, 개발 리소스 및 지속적인 유지 관리가 필요합니다. 대조적으로 패스키 벤더는 더 빠르고 확장 가능하며 비용 효율적인 접근 방식을 제공하여 높은 채택률, 원활한 사용자 경험 및 진화하는 보안 표준 준수를 보장합니다.

이 가이드는 다음과 같은 주요 질문을 다루었습니다.

• 패스키를 구현하고 암호 없는 환경으로 전환하는 데 필요한 구성 요소는 무엇인가요?

  성공적인 패스키 배포를 위해서는 FIDO2/WebAuthn 인프라, 원활한 UX 흐름, 대체 메커니즘 및 안전한 계정 복구 옵션이 필요합니다. 기업은 크로스 플랫폼 호환성 및 보안 규정 준수도 고려해야 합니다.

• 패스키를 자체적으로 구현해야 할까요, 아니면 외부 패스키 벤더를 사용해야 할까요?

  사내 개발은 제어 기능을 제공하지만 높은 복잡성, 지속적인 유지 관리 비용 및 보안 책임을 수반합니다. 대규모 소비자를 대상으로 하는 대부분의 조직은 빠른 배포, 낮은 운영 비용 및 줄어든 기술 간접비를 제공하는 외부 패스키 솔루션의 혜택을 받습니다.

• 오픈 소스 라이브러리가 있는데 패스키 벤더를 사용하면 어떤 이점이 있나요?

  오픈 소스 WebAuthn 라이브러리는 좋은 출발점을 제공하지만 엔터프라이즈급 보안, 패스키 최적화된 사용자 경험 및 채택 유도 기능이 부족합니다. 패스키 벤더는 원활한 배포, 확장성 및 사용자 및 개발자 모두의 마찰을 줄이고 더 나은 ROI를 가져오는 최적화된 사용자 채택 전략을 보장합니다.

• 패스키 솔루션을 구축할 때 가장 큰 과제는 무엇인가요?

  사내 패스키 시스템을 개발하려면 WebAuthn, 다중 기기 지원 및 패스키 채택에 대한 깊은 전문 지식이 필요합니다. 진행 중인 기기 및 브라우저 복잡성을 유지하고 높은 채택률을 보장하면 복잡성이 더욱 가중됩니다.

• 패스키를 자체적으로 구현할 때의 위험은 무엇인가요?

  기업은 높은 개발 비용, 배포 일정 지연 및 지속적인 보안 유지 관리 부담에 직면합니다. 규정 준수 실패, 보안 취약성 및 낮은 사용자 채택은 패스키 출시의 성공을 저해할 수 있습니다. 벤더가 관리하는 패스키 솔루션은 보안 및 규제 준수가 내장된 검증되고 확장 가능한 인증 인프라를 제공하여 이러한 위험을 완화합니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문 (FAQ)#

기업에서 패스키 솔루션을 자체 구축할 때 주요 위험은 무엇인가요?#

자체 구축은 WebAuthn에 대한 깊은 전문성, 지속적인 브라우저 및 기기 호환성 관리, 그리고 전담 보안 유지 관리를 필요로 합니다. 기업은 배포 일정이 지연되거나 규정 준수에 실패하거나 사용자 채택률이 저조할 위험에 직면하게 됩니다. 특히 은행이나 의료와 같은 규제 산업의 경우, PSD2, HIPAA, NIST 등의 규정 준수는 추가적인 복잡성을 초래하는데, 이는 패스키 벤더가 이미 지속적으로 처리하고 있는 부분입니다.

암호를 안전하게 제거하려면 패스키 채택률이 어느 정도여야 하나요?#

조직이 암호를 제거하기 위해서는 활성 사용자의 50~80%가 패스키로 인증하는 환경을 갖춰야 합니다. 암호를 너무 일찍 제거하면 지원 요청과 사용성 문제가 증가하게 됩니다. 따라서 사용자가 지속적으로 패스키를 통해 인증하는 계정부터 암호를 제거하고, 여러 차례 넛지(모바일에서 다중 프롬프트 시 수락률이 최대 85%에 달함)를 활용하며, 데이터 기반 인사이트에 따라 점진적으로 확장하는 단계적 접근 방식을 사용해야 합니다.

패스키 도입의 성공을 측정하기 위해 어떤 KPI를 추적해야 하나요?#

추적해야 할 투입(input) KPI에는 패스키 수락률(기준: 첫 번째 넛지에서 50~75%, 모바일에서 여러 넛지 시 최대 85%)과 100%에 가까운 생성을 목표로 하는 패스키 생성 성공률이 포함됩니다. 산출(output) KPI의 경우 몇 주 이내에 패스키 로그인 비율이 20%를 넘고, 12개월 내에 50%를 넘는 것을 목표로 해야 합니다. 문제(마찰)가 발생하는 지점을 파악하기 위해 모든 지표를 OS, 브라우저 및 기기별로 세분화하여 분석하세요.

기술적으로 성공적인 구현 후에도 패스키 프로젝트가 실패하는 이유는 무엇인가요?#

대부분의 패스키 프로젝트는 기술적 문제보다는 저조한 사용자 채택으로 인해 실패합니다. 암호에 지속적으로 의존하면 보안 이점이 사라지고, SMS OTP 및 암호 재설정 감소로 인한 비용 절감 효과가 없어지며, 파편화된 사용자 경험을 초래합니다. Google과 Amazon은 지속적인 A/B 테스트, UI 넛지, 그리고 사용자 채택을 특별히 겨냥한 체계적인 교육 캠페인을 통해 이 문제를 해결하고 있습니다.

패스키 솔루션을 자체 구축하는 것보다 패스키 벤더를 사용하는 것이 가장 유리한 산업은 어디인가요?#

은행, 의료, 정부, 전자상거래, 통신 및 보험 부문은 방대한 사용자 기반 및 복잡한 레거시 인프라와 결합된 PSD2, HIPAA, NIST와 같은 규제 요구 사항으로 인해 패스키 벤더 솔루션의 이점을 가장 많이 얻습니다. Amazon은 100% 패스키 채택과 완전한 암호 제거를 목표로 설정하여 이러한 규모의 배포에 얼마나 큰 노력이 필요한지 보여주었습니다.