패스키 공급자(Passkey Provider)란 무엇인가요?

패스키 공급자는 사용자의 기기에서 패스키를 생성, 관리 및 사용할 수 있도록 지원하는 주체입니다. 크게 운영 체제에 내장된 퍼스트 파티 공급자(예: iCloud 키체인, Google 비밀번호 관리자)와 별도로 설치하는 서드 파티 공급자(예: 1Password, Dashlane)로 나뉩니다.

퍼스트 파티와 서드 파티 패스키 공급자의 차이점은 무엇인가요?

퍼스트 파티 패스키 공급자는 운영 체제(OS)에서 기본적으로 제공하는 관리자(Apple의 iCloud 키체인, 구글의 비밀번호 관리자 등)이며, 서드 파티 패스키 공급자는 1Password나 Bitwarden처럼 사용자가 별도로 설치하여 OS API를 통해 연동되는 외부 비밀번호 관리 앱을 말합니다.

AAGUID란 무엇이며 왜 중요한가요?

AAGUID(Authenticator Attestation Globally Unique Identifier)는 인증기 모델에 부여되는 고유 식별자입니다. 이를 통해 서비스 제공자(Relying Party)는 패스키가 어떤 공급자(예: Google, 1Password 등)를 통해 생성되었는지 파악할 수 있어, 사용자에게 패스키 출처를 명확히 보여주고 중복 생성을 방지하는 등 관리를 돕는 데 사용됩니다.

패스키 공급자: 유형, AAGUID 및 도입 현황

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

1. 들어가며#

패스키(Passkey)를 사용하거나 관련 기술을 다루다 보면, **패스키 공급자(Passkey Provider)**라는 용어가 꽤 자주 등장합니다. 패스키 생태계에서 매우 중요한 역할을 하는 요소임에도 불구하고, 많은 분이 패스키 공급자가 정확히 무엇인지, 혹은 퍼스트 파티(First-party) 패스키 공급자, 서드 파티(Third-party) 패스키 공급자, 그리고 **패스키 인증 제공업체(Passkey Authentication Provider)**가 서로 어떻게 다른지 헷갈려 하시곤 합니다.

Get a free passkey assessment in 15 minutes.

Book free consultation

이번 글에서는 이 개념들을 명확하게 정리해 드리려 합니다. 소프트웨어 개발자나 프로덕트 매니저, 혹은 최신 웹 보안 기술에 관심 있는 분이라면 패스키 공급자의 역할과 유형을 이해하는 것이 필수적입니다. 이 복잡해 보이는 주제를 쉽게 풀어서, 여러분이 패스키를 더 자신 있게 이해하고 다룰 수 있도록 도와드리겠습니다.

2. 패스키 공급자(Passkey Provider)란?#

패스키 공급자는 패스키 기반 인증 생태계에서 핵심적인 역할을 합니다. 사용자의 기기와 온라인 서비스인 Relying Party(신뢰 당사자) 사이를 연결하여 안전하고 매끄러운 접속을 가능하게 하는 다리 역할을 하죠. 하지만 공식적인 정의가 딱 정해져 있는 것은 아니라서, 인터넷에서 찾아보면 조금씩 다르게 설명하는 경우를 볼 수 있습니다.

저희가 내린 정의는 다음과 같으며, 이것만이 유일한 정답은 아니라는 점을 미리 말씀드립니다.

패스키 공급자는 본질적으로 패스키의 생성, 관리, 사용을 가능하게 하는 모든 주체를 말합니다. 조사를 통해 저희는 패스키 공급자를 크게 두 가지 카테고리로 분류했습니다. 바로 퍼스트/서드 파티 패스키 공급자와 패스키 인증 제공업체입니다.

Become part of our Passkeys Community for updates & support.

Join

2.1 퍼스트 파티 & 서드 파티 패스키 공급자#

이 카테고리는 클라이언트 측(사용자의 기기)에서 패스키를 생성할 수 있는 주체들을 포함합니다. 이러한 플랫폼을 통해 생성된 패스키는 안전하게 관리되고 저장되며, 주로 운영 체제 제조사의 클라우드(예: iCloud 키체인, Google 비밀번호 관리자)나 서드 파티 비밀번호 관리자(예: KeePassXC, 1Password, Dashlane 등, 아래에서 자세히 다룸)에 보관됩니다.

운영 체제 자체적으로 패스키 생성 및 관리를 지원하는 경우를 퍼스트 파티(First-party) 패스키 공급자라고 부릅니다. 반면, API를 통해 플랫폼과 통합되는 외부 비밀번호 관리자 앱들은 서드 파티(Third-party) 패스키 공급자라고 합니다.

퍼스트 파티든 서드 파티든 각 패스키 공급자는 고유한 AAGUID(Authenticator Attestation Globally Unique Identifiers)를 가지고 있습니다. 이 ID는 사용자 경험을 개선하는 데 도움이 됩니다(예: 계정 설정에서 어떤 앱으로 만든 패스키인지 쉽게 구별). 때로는 하나의 공급자가 여러 개의 AAGUID를 가질 수도 있는데, 이 경우 모두 같은 퍼스트 또는 서드 파티 공급자에 속하게 됩니다.

iOS 17.4 기기에서의 패스키 공급자 화면

Android 14 기기에서의 패스키 공급자 화면

Android의 자격 증명 관리자(Credential Manager) API

2.2 패스키 인증 제공업체 (Passkey Authentication Providers)#

두 번째 카테고리는 개발자가 자신의 애플리케이션에 통합하여 패스키 관리의 모든 측면을 처리할 수 있게 해주는 인증 제공업체입니다. 즉, 앞서 설명한 클라이언트 측 공급자와 달리 주로 서버 측에서 작동하는 제공업체들입니다. 이 정의에는 웹사이트와 앱에 패스키 중심의 인증 솔루션을 제공하는 Corbado와 같은 솔루션도 포함됩니다. 따라서 이러한 제공업체들은 앞서 언급한 퍼스트 및 서드 파티 패스키 공급자와 구별하기 위해 패스키 인증 제공업체라고 부르는 것이 더 정확합니다.

이 글의 다음 섹션부터는 저희의 정의에 따라 '패스키 공급자'라는 용어를 퍼스트 및 서드 파티 패스키 공급자를 지칭하는 의미로 사용하겠습니다.

3. AAGUID를 통한 패스키 공급자 식별#

사용자들이 다양한 Relying Party(서비스)에서 패스키를 도입하기 시작하면서, 이를 효과적으로 관리하는 것이 중요한 과제로 떠올랐습니다. 특히 하나의 계정에 여러 개의 패스키를 사용하는 경우, 사용자가 수정이나 삭제를 위해 각각의 패스키를 구별하는 것은 꽤 복잡할 수 있습니다. 패스키는 편리하고 안전하지만, 만약 사용자가 패스키 하나를 분실한다면 문제가 될 수 있죠. 다행히 다른 패스키가 있다면 해당 Relying Party 계정에 여전히 접속할 수 있습니다. 사용자가 특정 패스키를 식별할 수 있도록 돕기 위해, 계정 설정에서 패스키 생성 날짜나 마지막 사용 날짜 같은 메타데이터를 표시하는 방법이 제안되기도 합니다. 또한, 사용자 에이전트(User Agents)나 클라이언트 힌트(Client Hints)를 활용해 패스키 생성 시 자동으로 이름을 짓고 분류하는 것도 권장됩니다. 하지만 네이티브 Android 또는 iOS 앱이나 일부 서드 파티 패스키 공급자는 사용자 에이전트를 사용하지 않거나, 서드 파티 공급자가 생성했다는 정보를 추가하지 않을 수도 있습니다. 이러한 한계점은 플랫폼이나 공급자에 상관없이 사용자가 패스키를 효율적으로 관리할 수 있는 더 나은 방법이 필요함을 보여줍니다.

출처: W3C WebAuthn 사양

이러한 패스키 관리를 돕기 위해 개발자는 AAGUID(Authenticator Attestation Globally Unique Identifier)를 활용할 수 있습니다. AAGUID는 특정 인증기(Authenticator) 모델에 부여되는 고유 식별자입니다(개별 기기가 아닌 모델 자체를 식별). 이 ID는 공개 키 자격 증명의 인증기 데이터 안에 포함되어 있어, Relying Party가 패스키 공급자를 식별할 수 있는 방법을 제공합니다. 이 기능은 사용자와 Relying Party가 패스키 환경을 이해하고, 각 패스키가 어디서 생성되었는지 정확히 연결하는 데 매우 중요합니다.

예를 들어, Android 기기에서 Google 비밀번호 관리자를 사용해 패스키를 만들었다면, Relying Party는 Google 비밀번호 관리자에 해당하는 AAGUID를 받게 됩니다. Relying Party는 이 AAGUID를 참조하여 해당 패스키를 적절히 표시할 수 있고, 덕분에 사용자는 훨씬 쉽게 패스키를 관리하고 식별할 수 있게 됩니다. 게다가 Relying Party는 WebAuthn 서버 옵션인 excludeCredentials를 사용하여 동일한 패스키 공급자에 중복된 패스키가 생성되는 것을 방지할 수 있습니다. 이렇게 하면 각 패스키 공급자당 하나의 패스키만 갖게 되어 사용자의 혼란을 줄이고 UX를 개선할 수 있습니다.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

AAGUID를 이용해 패스키 공급자를 확인하려면, Relying Party는 커뮤니티 소스 AAGUID 저장소를 참조하면 됩니다. 이 저장소는 패스키 공급자의 이름과 아이콘을 매핑할 수 있는 정보를 제공하므로, 패스키 관리를 위한 직관적인 사용자 인터페이스를 만드는 데 도움이 됩니다. 다만, 일부 패스키 공급자는 의도적으로 알 수 없거나 일반적인 공급자를 나타내는 범용 AAGUID("00000000-0000-0000-0000-0000000000000")를 사용할 수도 있다는 점을 유의해야 합니다.

대부분의 WebAuthn 라이브러리를 사용하면 AAGUID를 쉽게 가져올 수 있습니다. 예를 들어 서버 측에서 SimpleWebAuthn을 사용할 때, 개발자는 등록 정보에서 AAGUID를 추출하여 알려진 공급자와 매칭할 수 있습니다. 이를 통해 사용자가 자신의 패스키를 훨씬 더 쉽게 관리할 수 있게 됩니다(참고: Google의 "AAGUID로 패스키 공급자 확인하기").

// JSON 파일에서 AAGUID 목록 가져오기
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// SimpleWebAuthn의 편리한 기능을 사용하여 등록 요청 검증
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

AAGUID는 패스키 관리에 강력한 도구이지만, 주의해서 사용해야 합니다. AAGUID의 무결성은 패스키 공급자의 진위여부를 검증하는 Attestation(증명) 프로세스에 달려 있습니다. 유효한 Attestation 서명이 없다면 AAGUID가 조작될 가능성도 있습니다. 2024년 3월 기준으로 일부 플랫폼의 패스키는 Attestation을 지원하지 않는다는 점도 고려하여 신중하게 사용해야 합니다.

다음은 널리 사용되는 패스키 운영 체제 버전과 브라우저를 기준으로 한 Android 앱, iOS 앱, 웹 앱을 위한 퍼스트 및 서드 파티 패스키 공급자의 일부 목록입니다.

4. Android, iOS 및 웹용 패스키 공급자 목록#

아래는 몇몇 서드 파티 패스키 공급자에서 패스키를 생성하거나 저장할 때 나타나는 팝업 화면들입니다.

4.1 1Password#

1Password 전체 분석 내용은 여기에서 확인할 수 있습니다.

4.2 Bitwarden#

4.3 Dashlane#

Dashlane 전체 분석 내용은 여기에서 확인할 수 있습니다.

4.4 Enpass#

4.5 KeePassXC#

KeePassXC 전체 분석 내용은 여기에서 확인할 수 있습니다.

4.6 Keeper#

4.7 NordPass#

4.8 Proton#

5. 결론#

패스키의 배포와 관리에서 중심이 되는 것은 바로 패스키 공급자의 역할입니다. 이들은 단순히 패스키의 생성과 관리를 돕는 것을 넘어, 다양한 플랫폼과 기기 간의 매끄러운 통합을 보장합니다.

이번 글에서는 패스키 공급자가 무엇인지, 퍼스트 파티와 서드 파티 공급자의 차이점은 무엇인지, 그리고 Authenticator(인증기) Attestation(증명) Globally Unique Identifier(AAGUID)가 얼마나 중요한 역할을 하는지 알아보았습니다. 앞서 살펴본 것처럼 AAGUID를 활용하면 패스키를 훨씬 더 명확하게 식별하고 관리할 수 있어 유망한 해결책이 될 수 있습니다.

또한, 현재 Android, iOS, Windows에서 사용할 수 있는 퍼스트 및 서드 파티 패스키 공급자들을 분석해 보았는데, 이는 사용자가 자신에게 적합한 서드 파티 패스키 공급자나 기기를 선택하는 데 도움이 될 것입니다.

개발자와 프로덕트 매니저에게 패스키 공급자와 그 관리 방법에 대한 통찰력은 패스키 인증의 기술적 구현을 안내할 뿐만 아니라, 사용자 경험과 보안을 향상한다는 더 큰 목표를 달성하는 데에도 중요한 밑거름이 될 것입니다.