패스키 인증 제공업체를 사용하면 10만 달러 이상을 절약할 수 있는 이유

이 글에서는 패스키를 기존 인증 프로세스에 구현할 때 자주 마주치는 5가지 오해를 짚어보고, 샘플 계산을 통해 왜 패스키 전문 제공업체를 찾는 것이 합리적인지 설명합니다.

패스키는 정말 훌륭합니다. 인증 역사상 처음으로 사용자 보안뿐만 아니라 편의성까지 크게 향상되었습니다. 오늘날 대부분의 사람들은 얼굴이나 지문으로 휴대폰 잠금을 해제하는 데 익숙합니다. 이러한 사용자 친화적인 미래를 웹으로 가져오는 것은 당연한 수순입니다. 비대칭 암호화를 활용하는 기본 공개 키 인프라와 함께 패스키는 완벽한 해결책처럼 보입니다. 최종 사용자 관점에서는 사실이지만, 기업 입장에서는 이 새로운 인증 표준을 자체적으로 구현하는 것은 높은 위험과 비용이 수반되는 엄청난 노력입니다. 이 글에서는 패스키에 대한 가장 흔한 오해와 이를 완화하는 방법을 설명합니다.

우선, 패스키는 Microsoft, Apple, Google과 같은 주요 기술 기업과 PayPal, eBay, Visa 같은 다른 기업들이 속한 FIDO(Fast Identity Online) 얼라이언스가 정의한 개방형 표준을 기반으로 합니다.

하지만 이러한 개방형 표준은 문서화가 미흡하여 기존 시스템에 구현하고 사용자 플로우에 통합하는 것이 실제로는 어렵습니다. 사용자 플로우 정의와 기술 통합을 처음부터 새로 구상해야 합니다. 기존 사용자를 위한 인증 시스템이 이미 있는 경우, 패스키를 추가하기 위해 기본적인 문서와 구현만으로는 충분하지 않습니다.

더욱이, 패스키는 (부분적으로) 기기에 종속되기 때문에 여러 기기를 사용하는 다양한 플랫폼(iOS, Android, Windows)의 사용자가 있다면 문제는 더 복잡해집니다. 구현 방식과 사용자 경험이 플랫폼에 따라 달라지므로, 모든 사용자에게 패스키를 선호하는 로그인 방법으로 제공하는 것은 복잡한 작업이 됩니다. 특히 요즘처럼 많은 사용자가 하나 이상의 기기를 사용하는 상황에서는 모든 기기와 운영체제를 제대로 지원하는 것이 필수적입니다.

이론적으로는 맞지만, 특히 통합 및 유지보수에 내재된 비용이 있습니다. 처음에는 프로세스 플로우와 UX에 대한 컨셉 작업을 해야 하며, 이는 보통 1~2명의 프로덕트 매니저가 수행합니다. 이 작업은 최대 2개월이 걸릴 수 있으며, 프로덕트 매니저의 경험에 따라 최대 3만 달러의 비용이 발생할 수 있습니다. 이 작업이 끝나면 시스템 아키텍트, 프로덕트 매니저, 그리고 이 솔루션을 통합할 개발자가 필요합니다. 그런 다음, FIDO2 서버 운영과 같은 유지보수 노력이 필요합니다. 또한, 사용자가 당황하지 않도록 원활한 사용자 전환을 신경 써야 하는데, 이는 내부적으로 설계하고 구현하기가 매우 복잡하고 비용이 많이 듭니다.

추가적으로, 인프라를 운영해야 합니다. 오늘날 서버와 데이터베이스는 무료가 아닙니다. 특히 애플리케이션의 중요한 지점에서 보안과 신뢰성을 갖추고 높은 가용성으로 운영해야 한다면 더욱 그렇습니다. 이 모든 비용은 핵심 기능에 사용하는 것이 더 나은 많은 돈을 필요로 합니다.

또한, 이메일이나 SMS 서비스와 같은 주변 (대체) 시스템을 제공하기 위해 다른 외부 업체를 선정, 관리 및 모니터링해야 합니다. 물론 이 작업도 직접 할 수 있지만, 사용자들은 매우 빠른 전환 이메일 전송과 높은 가용성을 기대합니다. 저희를 믿으세요. 이메일 전송을 직접 최적화하고 싶지는 않으실 겁니다. 이러한 서비스는 무료가 아니며 비용을 추가합니다.

고객과 이야기할 때, 이것은 아마도 가장 흔한 오해이자 인증의 진정한 어려움일 것입니다. 새로운 그린필드 애플리케이션에 패스키를 제공하는 것은 꽤 간단하게 할 수 있습니다. 까다로운 부분은 기존 사용자를 패스키로 전환하는 것입니다. 대부분의 경우, 사용자 기반은 매우 이질적입니다. 어제라도 당장 비밀번호를 버리고 가능한 한 빨리 패스키를 사용하고 싶어 하는 얼리 어답터가 있는가 하면, 비밀번호를 고수하고 싶어 하는 사람들도 있습니다. 이제 모든 사용자를 원활하고 스마트하게 패스키로 유도하면서 개별적인 플로우를 만드는 것이 진정한 과제입니다.

초기 통합 후, 많은 사람들은 패스키가 저절로 작동하고 도입도 자연스럽게 이루어질 것이라고 생각합니다. 이는 또 다른 흔한 오해입니다. 패스키는 많은 위험을 수반하는 보안에 민감한 기능이기 때문입니다. 이는 패스키를 모니터링해야 하며, 이를 모니터링하는 팀은 풍부한 경험을 갖춘 보안 전문가여야 한다는 것을 의미합니다.

또한, 패스키 도입은 지속적으로 모니터링하여 전환 단계에서 발생할 수 있는 잠재적인 문제를 감지하고 구현 변경이 필요한지 확인해야 합니다.

패스키의 기술적 구현을 생각하고 코딩에 착수하기 전에, 먼저 많은 개념적인 작업이 이루어져야 합니다. 특히 패스키와 같이 기존 모범 사례와 문서의 질과 양이 부족한 신기술을 통합할 때는 많은 개념적 프로세스를 고려해야 합니다. 가장 중요한 것들은 다음과 같습니다.

1. 전체 가입 및 로그인 프로세스 구상하기: 가입 또는 로그인 시작부터 성공적인 인증까지의 흐름을 설계할 때, 수많은 프로세스 단계가 백그라운드에서 실행됩니다. 이러한 단계들은 복잡한 로직 트리로 모델링하고 구조화해야 합니다. 표준 케이스의 설계만으로도 복잡한 작업이며, 모든 가능한 엣지 케이스를 처리하는 데 필요한 훨씬 더 큰 노력과는 비교할 수 없습니다. 궁극적으로, 모든 잠재적 시나리오에서 작동하고 사용자를 인증하는 인증 프로세스가 있어야 합니다.
2. 크로스 플랫폼 사용 고려하기: 사용자가 크로스 디바이스 및 크로스 플랫폼 환경 모두에서 패스키를 사용할 수 있도록 하고, 패스키를 아직 사용할 수 없는 경우에도 인증 프로세스를 원활하게 안내하는 것이 중요합니다.
3. 하위 호환성 보장하기: 패스키 사용을 촉진하려면, 사용자가 인증하려는 모든 기기의 패스키 준비 상태를 자동으로 감지할 뿐만 아니라, 사용자가 애초에 패스키로 로그인하기를 원하는지 여부도 파악하는 메커니즘을 개발해야 합니다. 만약 사용자가 비밀번호, 소셜 로그인 또는 SSO와 같은 현재 로그인 옵션을 계속 사용하기를 선호한다면, 하이브리드 인증을 병렬로 실행해야 합니다.
4. 복구 서비스 제공하기: 당연하게 들릴 수 있지만, 셀프서비스 비밀번호 재설정 및 오류 발생 시 가능한 대체 옵션을 위한 플로우를 만드는 것은 가장 어려운 작업 중 하나입니다. 사용자가 비밀번호를 잊어버렸거나 설정한 적이 없는 경우에도 인증할 수 있도록 보장해야 하기 때문입니다.
5. 훌륭한 UX 디자인하기: UX는 단순히 사용자 친화적인 인터페이스를 만드는 것 이상입니다. 소프트웨어 전반에 걸쳐 기기 및 사용자 환경 설정 관리, 사용자 커뮤니케이션, 그리고 CI(기업 아이덴티티)에 맞는 맞춤형 디자인이 중요한 역할을 합니다. 패스키는 기기에 종속되므로, 기업은 모든 사용자의 기기에서 패스키 사용이 완벽하게 작동하도록 주로 기기 관리에 집중해야 합니다. 사용자 커뮤니케이션에 있어서는 미리 정의되고 테스트된 사용자 메시지로 사용자를 교육하는 것이 필요합니다.

이 모든 단계는 프로덕트 매니저와 개발자에게 많은 시간을 요구하며, 소프트웨어 개발에서 종종 간과됩니다.

소프트웨어를 직접 구축할 것인가, 구매할 것인가에 대한 논쟁은 전혀 새로운 것이 아닙니다. 이를 결정할 때는 많은 요소를 고려해야 합니다. 모든 회사에 있어 핵심 요소는 소프트웨어 개발 또는 구매에서 발생하는 비용 블록입니다. 패스키 인증과 같은 소프트웨어 솔루션을 구매할 때, 초기 비용이 매우 높다는 주장이 종종 제기됩니다. 그러나 기업들은 자체 개발이 최소한 그만큼 비싸다는 사실을 잊곤 합니다. 자체 개발 비용은 소프트웨어 자체의 복잡성, 제품 관리, UX/UI 디자인, 개발팀, 그리고 종종 많은 숨겨진 비용(특히 유지보수 및 업데이트)에 따라 달라지기 때문입니다.

인증 소프트웨어 개발 비용을 명확히 하기 위해, 데스크톱, 모바일 및 네이티브 앱 사용자를 위해 서비스를 제공하는 사내 인증 팀이 있는 회사를 위한 기본 계산을 제시합니다. 이들은 이메일/전화번호 및 비밀번호 인증 외에 소셜 로그인도 제공합니다.

• 백엔드 개발자 2명: $126,000
• 프론트엔드 개발자 1명: $60,000
• iOS 개발자 1명: $60,000
• Android 개발자 1명: $68,000
• 프로덕트 매니저 2명: $170,000
• 프로젝트 매니저 1명: $85,000

이 금액은 Glassdoor의 업계 표준 평균 연봉을 기준으로 한 총 연봉이며, 비임금 노동 비용은 제외되었습니다.

• 기간: 1.5개월
• 소프트웨어 개발팀의 이해관계자: 프로덕트 매니저 2명, 프로젝트 매니저 1명
• 총비용 (급여): $31,875

• 기간: 3.0개월
• 소프트웨어 개발팀의 이해관계자: 프로덕트 매니저 2명, 프로젝트 매니저 1명, 백엔드 개발자 2명, 프론트엔드 개발자 1명, iOS 개발자 1명, Android 개발자 1명
• 총비용 (급여): $143,750

총 소프트웨어 개발 비용: $175,625

물론, 이것은 전환 또는 교육 비용과 같은 많은 비용을 고려하지 않은 단순화된 계산입니다. 서버 및 데이터베이스와 같은 추가적인 인프라나 클라우드 서비스가 필요한 경우 추가 비용이 발생합니다. 특히 개인 데이터를 최대한 보호해야 하는 인증 소프트웨어의 경우 비용이 훨씬 더 높을 가능성이 높으므로, Corbado와 같은 전용 패스키 제공업체를 사용하는 것이 좋습니다.

요약하자면, 패스키는 누구나 무료로 통합할 수 있는 개방형 표준입니다. 하지만 이는 매우 근시안적인 생각입니다. 패스키 사용의 영향을 자세히 살펴보면, Corbado와 같은 패스키 제공업체를 사용하는 것이 훨씬 더 현명하고 비용을 절약하는 방법이라는 것이 분명해집니다. 특히 인증은 핵심 기능이라기보다는 당연히 제공되어야 하는 부가 기능에 가깝기 때문에, 현대적인 제품에서는 외부 전문가의 노하우와 역량을 활용하는 것이 현명한 선택입니다.

아직 확신이 서지 않으신가요? 오늘 바로 Corbado의 솔루션을 무료로 위험 부담 없이 사용해 보세요.