완벽한 패스워드리스로 전환하는 방법

엔터프라이즈 Passkey 백서. passkey 프로그램을 위한 실무 가이드, 도입 패턴, KPI.

핵심 정보

진정한 패스워드리스 인증(passwordless authentication) 은 패스키를 대체 로그인 수단으로 추가하는 것에 그치지 않고, 복구 과정을 포함한 모든 흐름에서 비밀번호를 제거해야 가능합니다.
패스워드리스 전환은 패스키 추가, 활성 사용자 60% 이상 도입 촉진, 비밀번호 완전 제거, 피싱 방지 기법을 통한 복구 흐름 보호라는 4단계로 이루어집니다.
계정 복구 백도어는 간과되기 쉽습니다. 2023년 MGM 리조트 침해 사고는 소셜 엔지니어링을 통해 복구 흐름을 악용하여 모든 기본 인증 조치를 우회했습니다.
비밀번호를 대체 수단으로 남겨두면 피싱, 크리덴셜 스터핑(credential stuffing), 소셜 엔지니어링 등 기존의 모든 공격 벡터가 유지되어 패스키의 피싱 방지 보안 이점이 무력화됩니다.
Okta, Yubico, Cloudflare는 내부적으로 비밀번호를 완전히 제거하는 데 성공했습니다. 반면 Google과 Microsoft는 비밀번호를 적극적으로 더 이상 사용하지 않도록 권장하고 있지만 완전히 제거하지는 않았습니다.

1. 서론: 패스키 도입이 끝이 아닌 이유#

패스키 도입은 인증 보안에서 기념비적인 도약을 의미하지만, 그것이 여정의 끝은 아닙니다. 이미 패스키를 배포했다면 보안 지표가 개선된 것에 기뻐하고 계실 것입니다. 하지만 단순히 패스키를 도입하는 것을 넘어 완전히 패스워드리스 인증을 달성하려면 어떻게 해야 할까요?

패스키는 특정 도메인에 바인딩된 공개키 암호화(public-key cryptography)를 사용하는 피싱 방지 설계를 통해 중요한 보안상 이점을 제공합니다. 이를 통해 공격자가 사용자를 속여 가짜 사이트에서 인증하도록 만드는 것을 불가능하게 합니다. 또한 각 패스키는 특정 서비스에 고유하게 생성되므로 크리덴셜 재사용을 방지합니다. 즉, 한 서비스가 침해당해도 다른 서비스에 영향을 미치지 않습니다. 더 나아가 기억해야 하는 비밀문자열을 추측하거나 크래킹할 수 없는 암호화 키로 대체하여 무차별 대입 공격(brute-force attacks)에 대한 면역력을 제공합니다.

그러나 사용자가 패스키 인증을 우회하고 비밀번호로 로그인할 수 있는 순간, 이러한 강력한 이점은 사라집니다. 여기서 중요한 질문이 생깁니다. 왜 패스키만으로는 완벽한 보안에 충분하지 않을까요? 그 해답은 비밀번호라는 문이 열려 있는 한 공격자는 계속 그 문을 통과하려 시도할 것이라는 사실에 있습니다. 더 중요한 질문은 **왜 계정 복구가 전체 패스키 도입을 약화시킬 수 있는 숨겨진 취약점이 될까요?**라는 것입니다. 최근 발생한 세간의 이목을 끈 침해 사고들은 공격자가 점점 더 기본 인증이 아닌 복구 흐름을 타겟으로 삼고 있음을 보여줍니다.

이 글에서는 패스키 도입부터 진정한 패스워드리스 보안 달성까지의 전체 여정을 안내하며, 실용적인 솔루션과 실제 사례를 통해 이러한 핵심 질문들을 다룹니다.

최근 글

"패스워드리스(Passwordless)"의 진정한 의미는 무엇인가요?#

진정한 패스워드리스 인증이란 보안 아키텍처에서 비밀번호를 완전히 제거하는 것을 의미합니다. 패스워드리스 시스템에서는 사용자가 인증 여정의 어느 단계에서도 비밀번호를 설정, 재설정 또는 사용할 수 없습니다. 대신 패스키와 같은 암호화 방식에 전적으로 의존하여 인증이 이루어집니다.

많은 조직이 백그라운드에서 여전히 비밀번호를 대체 수단(fallback)으로 유지하면서도 자신들이 "패스워드리스"라고 주장합니다. 이는 진정한 의미의 패스워드리스가 아니라 비밀번호 선택(password-optional)에 불과합니다. 이러한 구분이 중요한 이유는 복구 흐름을 포함해 시스템 내 어딘가에 비밀번호가 존재하기만 하면 공격자가 노릴 수 있는 악용 가능한 취약점으로 남기 때문입니다.

2. 패스키 보안을 무력화하는 두 가지 백도어#

진정한 패스워드리스 보안을 위해서는 기본 인증에서 비밀번호를 제거할 뿐만 아니라 복구 프로세스도 동일하게 피싱 방지 기능을 갖추도록 보장해야 합니다.

2.1 대체 수단인 비밀번호가 상당한 보안 위험을 초래하는 이유#

비밀번호를 대체 수단으로 유지하면 패스키가 차단하도록 설계된 모든 공격 벡터가 고스란히 보존됩니다. 공격자들은 타겟을 비밀번호 입력창으로 옮겨 피싱 캠페인을 벌이거나, 다른 침해 사고에서 도용한 크리덴셜을 사용해 크리덴셜 스터핑 및 패스워드 스프레이(password spraying) 공격을 계속 진행합니다. 사용자가 가짜 지원 담당자에게 속아 비밀번호를 노출할 수 있기 때문에 소셜 엔지니어링 역시 여전히 유효합니다.

비밀번호가 존재하는 한 이는 가장 약한 고리이자 패스키의 피싱 방지 보안을 완전히 우회할 수 있는 단일 진입점으로 남게 됩니다.

2.2 계정 복구 백도어#

로그인 경험만 살펴보는 것도 충분하지 않습니다. 간과하기 쉽지만 치명적인 공격 벡터는 바로 계정 복구 흐름입니다. 패스키를 도입한 조직이라 하더라도 SMS OTP나 이메일 매직 링크처럼 피싱이 가능한 방식에 복구 프로세스를 의존한다면 여전히 취약할 수밖에 없습니다.

2023년에 발생한 유명한 MGM 리조트 침해 사고를 떠올려 보십시오. 공격자들은 기본 인증 시스템을 노린 것이 아니라, 소셜 엔지니어링을 통해 계정 복구 프로세스를 악용하여 모든 기본 보안 조치를 우회했습니다. 마찬가지로 Okta 지원 시스템 침해 사고 역시 복구 흐름이 어떻게 가장 약한 고리가 되어 공격자가 크리덴셜을 재설정하고 고객 환경에 무단으로 접근할 수 있게 만드는지를 잘 보여주었습니다.

이러한 사건들은 중요한 사실을 강조합니다. 복구 흐름을 보호하지 않은 채 패스키를 도입하는 것은 창문을 열어둔 채 철제 문을 설치하는 것과 같습니다.

3. 패스워드리스 여정#

진정한 패스워드리스 인증을 달성하는 것은 단 한 번의 조치로 끝나는 것이 아닙니다. 이는 신중한 계획, 사려 깊은 제품 설계와 전략, 점진적인 도입 및 지속적인 최적화가 필요한 전략적 여정입니다.

3.1 1단계: 패스키 추가#

첫 번째 단계는 기존 로그인 방식을 대체 수단으로 유지하면서 패스키를 추가 인증 수단으로 도입하는 것에 중점을 둡니다. 이 기반 구축 단계에서는 친숙한 방식을 제공하여 마찰을 줄이는 동시에 사용자가 새로운 기술을 이해하고 신뢰할 수 있는 시간을 확보합니다.

주요 구현 단계:

기존 인증 흐름에 패스키 인증 통합
신규 및 기존 사용자 모두 패스키를 생성할 수 있도록 활성화
비밀번호 및 기타 인증 수단을 대안으로 유지
패스키 생성률 및 사용 패턴 추적

성공 지표:

활성 사용자의 50% 이상이 최소 1개의 패스키 생성
패스키 생성 성공률 95% 이상
인증을 위한 초기 패스키 사용률 20~30% 도달

3.2 2단계: 패스키 도입 확대#

패스키 도입이 완료되면 다음 과제는 도입을 확대하고 패스키를 선호하는 인증 수단으로 만드는 것입니다. 이 단계에서는 전략적인 사용자 참여와 최적화를 통해 패스키를 대체 수단에서 기본 인증 수단으로 전환합니다.

주요 구현 단계:

로그인 흐름에서 패스키 인증을 기본 옵션으로 설정
성공적인 비밀번호 로그인 후 패스키 생성을 권장하는 지능형 프롬프트(intelligent prompts) 구현
인앱 메시지를 통해 보안 및 편의성 이점에 대해 사용자 교육
패스키 도입에 대한 인센티브 제공 (빠른 결제, 독점 기능)
전환율 극대화를 위해 다양한 메시징 및 UI 접근 방식에 대한 A/B 테스트 진행
민감한 작업에 대해 패스키를 요구하는 조건부 액세스 정책(conditional access policies) 구현

성공 지표:

활성 사용자의 60% 이상이 최소 1개의 패스키 보유
패스키 활성화 계정의 패스키를 통한 로그인 비율 80% 이상
패스키 생성 실패율 2% 미만

3.3 3단계: 패스워드리스로 전환#

이 단계에서 진정한 보안 혁신이 일어납니다. 즉, 패스키를 일관되게 사용하는 사용자의 경우 비밀번호를 완전히 제거하는 것입니다. 패스키 도입에 성공한 사용자들을 대상으로 비밀번호를 비활성화함으로써 가장 주요한 공격 벡터를 제거합니다.

주요 구현 단계:

지능형 모니터링 시스템(intelligent monitoring systems)을 사용하여 사용자 인증 패턴 분석
여러 대의 패스키 호환 기기를 사용하여 패스키만 배타적으로 사용하는 사용자 식별
명확한 보안 이점 메시지와 함께 비밀번호 비활성화 제공
백업 패스키 사용 가능 여부 확인 (클라우드 동기화 또는 다중 기기)

성공 지표:

대상 사용자의 30% 이상이 자발적으로 비밀번호 제거
계정 잠금 발생률 증가율 0% (증가 없음)
사용자 만족도 점수 유지 또는 향상

3.4 4단계: 피싱 방지 복구#

마지막 단계에서는 남은 유일한 취약점을 해결합니다. 즉, 계정 복구를 피싱 방지 프로세스로 전환하는 것입니다. 이 단계는 복구 흐름의 보안 수준을 기본 인증 수준으로 끌어올려 백도어 공격을 방지합니다.

주요 구현 단계:

최소 1개 이상의 피싱 방지 요소를 포함한 다중 요소 인증(MFA) 구현
사용 가능한 피싱 방지 요소:
- 백업 패스키(Backup Passkeys): 암호화된 신원 증명을 제공하는 보조 기기나 클라우드 서비스에 저장된 복구 패스키 (가장 널리 사용되는 옵션)
- 디지털 크리덴셜 API(Digital Credentials API): 신뢰할 수 있는 제공자로부터 암호화 방식으로 검증된 신원 주장을 제공하기 위한 W3C 표준 (아직 널리 보급되지 않은 신기술)
- 하드웨어 보안 키(Hardware Security Keys): 복구 요소로 등록된 피싱이나 복제가 불가능한 물리적 FIDO2 토큰 (사용자가 물리적 기기를 구매하고 유지 관리해야 함)
- 라이브니스 감지(Liveness Detection) 기능이 포함된 신분증 검증: 물리적 존재를 증명하기 위한 실시간 생체 인식 동작과 결합된 정부 발급 신분증 스캔

복구 옵션 참고 사항: 디지털 크리덴셜 API와 하드웨어 보안 키는 강력한 보안을 제공하지만 아직 널리 채택되지는 않았습니다. 전자는 여전히 부상하는 신기술이고 후자는 사용자가 물리적 기기를 구매해야 합니다.

백업 패스키를 사용할 수 없는 경우 라이브니스 감지 기능이 포함된 신분증 검증이 실행 가능한 대안이 될 수 있습니다. 신분증을 물리적으로 소유하지 않고도 라이브니스 검사를 우회하는 우회 기법이 있을 수는 있지만, 이 방법은 피싱, 유심 스와핑(SIM swapping) 또는 중간자 공격(man-in-the-middle attacks)을 통해 쉽게 가로챌 수 있는 기존 OTP보다 훨씬 강력한 보안을 제공합니다.

성공 지표:

복구 흐름의 100%가 피싱 방지 요소 포함
복구 프로세스를 통한 성공적인 계정 탈취 사례 0건
복구 완료율 90% 이상 유지

4. 비밀번호 제거를 시작한 기업들의 사례#

패스워드리스 운동은 선도적인 기업들이 비밀번호 사용을 지양하면서 기술 산업 전반에 걸쳐 탄력을 받고 있습니다.

4.1 완전한 패스워드리스 조직#

여러 회사가 내부 운영을 위해 이미 완벽하게 비밀번호 제거를 달성했습니다. Okta, Yubico 및 Cloudflare는 내부적으로 비밀번호 사용 제로화(0)를 효과적으로 달성했으며, 이들의 로그인 흐름은 비밀번호를 전혀 허용하지 않습니다.

4.2 전환이 진행 중인 기업#

거대 기술 기업인 Google, Apple, Microsoft, X는 적극적으로 비밀번호 지원을 중단하고 있지만 아직 완전히 제거하지는 않았습니다. 이들의 접근 방식은 전환 기간 동안 보안 개선과 사용자 선택권 사이에서 균형을 맞추고 있습니다.

Google은 모든 계정에 대해 "가능할 때 비밀번호 건너뛰기"를 기본으로 활성화(ON)하는 적극적인 조치를 취했습니다. 사용자가 필요한 경우 선택 해제(opt-out)할 수 있도록 허용하면서도 패스키를 선호하는 인증 수단으로 설정한 것입니다. 이러한 옵트아웃 방식은 아직 전환할 준비가 되지 않은 사용자를 위해 유연성을 유지하면서 패스워드리스를 향한 강력한 추진력을 만듭니다.

Microsoft는 한 걸음 더 나아가 오늘날 사용자가 계정에서 비밀번호를 완전히 제거할 수 있도록 허용하며, 향후 "비밀번호 지원을 완전히 제거"할 계획을 가지고 있습니다. 이러한 명확한 로드맵은 비밀번호의 수명이 얼마 남지 않았다는 신호를 사용자에게 보내며, 패스워드리스 방식의 조기 채택을 장려합니다.

Apple은 생태계 전반에 패스키를 통합하고 적극적으로 사용을 권장하지만 Apple ID 비밀번호는 대체 옵션으로 계속 사용할 수 있습니다. 이들의 접근 방식은 Apple 기기 전반에 걸친 원활한 동기화를 활용하여 패스키 채택 과정에서의 마찰을 최소화합니다.

이러한 기업들은 즉각적인 변화를 강요하는 대신 **"도입률이 임계점(critical mass)에 도달하면 비밀번호는 사라질 것"**이라는 명확한 메시지를 전달하고 있습니다. 이들의 전략은 패스키를 기본값으로 설정하고 사용자에게 이점을 교육하며 점진적으로 비밀번호 기능을 줄여가는 과정을 포함합니다.

5. 언제부터 비밀번호 제거를 시작해야 할까요?#

비밀번호를 제거하기로 한 결정은 서두르거나 일률적으로 적용되어서는 안 됩니다. 대신 사용자 행동, 기기 기능 및 위험 프로필을 고려한 데이터 중심의 점진적인 접근 방식을 채택해야 합니다.

5.1 즉시 패스워드리스 여정을 시작해야 하는 조직#

현재 심각한 피싱 공격을 겪고 있는 고위험 분야는 패스워드리스 전환을 즉시 시작하되 여전히 점진적이고 전략적인 롤아웃을 따라야 합니다.

은행 및 금융 기관: 크리덴셜 탈취의 주요 타겟입니다. 유럽 은행의 경우 패스키 도입은 PSD2 강력한 고객 인증(SCA) 요구 사항에도 부합하여 사용자 경험을 향상시키는 동시에 규제 준수 요건을 충족하는 피싱 방지 다중 요소 인증(MFA)을 제공합니다.
결제 제공업체 및 핀테크: 고객 자금에 직접 접근할 수 있어 조직적인 사이버 범죄자들에게 매력적인 타겟이 됩니다.
암호화폐 거래소: 되돌릴 수 없는 거래 특성으로 인해 크리덴셜 유출 시 영구적인 손실로 이어집니다.
의료 및 보험: 규정 준수 요구 사항은 물론 의료 신원 도용으로 인한 환자 안전 위험에 직면해 있습니다.
정부 및 중요 인프라: 정교한 스피어 피싱(spear-phishing) 캠페인을 벌이는 국가 지원 해커(nation-state actors)들의 타겟이 됩니다.

이러한 조직에는 즉각적인 조치가 필수적이지만, 성공하려면 여전히 체계적이고 점진적인 롤아웃 접근 방식이 필요합니다. 오늘 바로 시작하되, 높은 도입률을 확보하고 사용자 잠금을 방지하기 위해 전략적으로 배포하십시오.

5.2 점진적인 롤아웃 전략#

소규모 하위 그룹부터 시작: 패스키를 지속적으로 사용하는 사용자를 대상으로 패스워드리스 전환을 시작하십시오. 이러한 얼리 어답터들은 전체 배포 전에 잠재적인 문제를 파악하는 데 도움을 줄 것입니다.

사용자 행동 패턴 분석:

로그인 빈도 및 사용 방식
기기 유형 및 패스키 호환성
인증 실패 시도
복구 흐름 사용 현황
기기 간(cross-device) 인증 패턴

이러한 패턴을 기반으로 한 비밀번호 비활성화 대상 사용자:

패스키를 통해 지속적으로 인증하는 사용자 - 신기술에 익숙함을 보여줌
여러 기기에서 패스키를 사용하는 사용자 - 백업 액세스 방식을 보유하고 있음을 의미함
최근 30~60일 동안 비밀번호나 복구 흐름을 사용하지 않은 사용자 - 비밀번호 기반 인증에 의존하지 않음을 증명함

6. Corbado가 도와드릴 수 있는 방법#

Corbado는 위에서 설명한 패스워드리스 여정의 네 가지 단계를 모두 안내하는 포괄적인 플랫폼을 조직에 제공합니다. 초기 패스키 도입부터 완전한 비밀번호 제거 달성에 이르기까지, Corbado의 솔루션은 기술적인 복잡성을 처리하는 동시에 성공적인 사용자 도입에 필요한 도구들을 제공합니다.

1단계 및 2단계 지원: Corbado는 기존 인증 스택과 원활한 패스키 통합을 지원하며, 도입률을 극대화하는 지능형 프롬프트와 패스키 생성 및 사용 패턴을 추적할 수 있는 상세한 분석 기능을 제공합니다. 플랫폼의 Passkey Intelligence 기능은 기기 기능과 사용자 행동을 기반으로 사용자 경험을 자동으로 최적화하여 순조로운 온보딩을 보장합니다.

3단계 및 4단계 구현: 비밀번호를 완전히 제거할 준비가 된 조직을 위해 Corbado는 안전하고 피싱 방지 기능이 적용된 복구 흐름을 유지하면서 사용자의 준비도에 따라 점진적으로 비밀번호를 비활성화할 수 있도록 지원합니다.

Corbado는 크로스 플랫폼 호환성, 대체 메커니즘 및 사용자 경험 최적화를 처리함으로써 패스워드리스 전환을 수년에서 수개월로 앞당깁니다. 이를 통해 조직은 핵심 비즈니스에 집중하면서 동시에 피싱 방지 인증(phishing-resistant authentication)을 달성할 수 있습니다.

결론#

진정한 패스워드리스 인증으로 가는 여정은 서두에 제기했던 두 가지 중요한 질문에 대한 해답을 제공합니다.

왜 패스키만으로는 완벽한 보안에 충분하지 않을까요? 보안의 강도는 가장 약한 고리의 강도와 같기 때문입니다. 대체 수단으로라도 비밀번호를 계속 사용할 수 있는 한 공격자들은 간단히 방향을 틀어 피싱, 크리덴셜 스터핑 또는 다운그레이드 공격을 통해 비밀번호를 노릴 것입니다. 시스템 내에 존재하는 모든 비밀번호는 패스키의 피싱 방지 이점을 무너뜨립니다.

왜 계정 복구가 숨겨진 취약점이 될까요? 복구 흐름은 간과되기 쉬운 백도어입니다. MGM 리조트 및 Okta 침해 사고에서 입증되었듯이, 공격자들은 SMS OTP나 이메일 매직 링크와 같은 취약한 복구 방법을 악용하여 강력하게 구축된 패스키 보안망을 점점 더 자주 우회하고 있습니다. 이는 창문을 열어둔 채 철제 문을 설치하는 것과 같습니다.

진정한 패스워드리스 보안을 달성하려면 패스키 도입, 도입 확대, 비밀번호 완전 제거, 그리고 피싱 방지 방법을 통한 복구 흐름 보호라는 전체 여정을 완수해야 합니다. 복구 프로세스에 숨겨진 문을 포함해 모든 비밀번호라는 문을 닫아야만 조직은 진정으로 안전한 인증을 실현할 수 있습니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →