모바일 앱의 WebView가 패스키에 어려운 과제인 이유는 무엇인가요?

Q: 모바일 앱의 WebView가 패스키에 어려운 과제인 이유는 무엇인가요?

모바일 앱의 WebView는 제한적인 WebAuthn 지원, 일관되지 않은 구현 및 보안 제약으로 인해 패스키를 사용하기 어렵습니다. 이를 해결하려면 대체(Fallback) 옵션과 네이티브 솔루션이 필요합니다.

모바일 앱의 WebView가 패스키에 어려운 과제인 이유는 무엇인가요?#

모바일 앱에서 웹 콘텐츠를 렌더링하는 데 자주 사용되는 WebView는 패스키를 구현할 때 고유한 과제를 안겨줍니다. 이러한 과제는 많은 WebView 환경에서 WebAuthn 기능에 대한 지원이 제한적이기 때문에 발생합니다.

WebView에서 패스키를 사용할 때의 주요 과제#

1. 제한적인 WebAuthn 지원#

많은 WebView가 WebAuthn API를 완벽하게 지원하지 않아 패스키 기능을 활성화하기 어렵습니다.
Chrome이나 Safari 같은 네이티브 브라우저는 일반적으로 WebView보다 패스키 준비가 더 잘 되어 있습니다. 대안으로 iOS 또는 Android 앱에서 패스키를 네이티브로 구현할 수도 있습니다.

2. 일관되지 않은 구현#

WebView 기능은 플랫폼과 버전에 따라 다릅니다:

iOS의 WKWebView는 더 나은 지원을 제공하지만 여전히 핵심 WebAuthn 기능이 부족할 수 있습니다.
Android WebView 구현은 종종 덜 일관적이며 사용자 지정 구성이 필요할 수 있습니다.

15분 안에 무료 passkey assessment를 받아보세요.

무료 상담 예약

3. 보안 제약#

WebView는 종종 Face ID, Touch ID 또는 Android 생체 인식과 같은 로컬 Authenticator에 대한 액세스를 제한하는 환경을 가지고 있습니다.
이로 인해 앱 내에서 원활한 패스키 생성이나 사용이 방해될 수 있습니다.

4. 사용자 경험(UX) 문제#

WebView 내에서 패스키가 작동하지 않으면, 사용자가 인증을 위해 외부 브라우저나 앱으로 전환해야 할 수 있어 로그인 흐름이 끊깁니다. 일반적으로 최상의 패스키 UX는 각 iOS 또는 Android 앱 개발 프레임워크(예: Kotlin, Swift)에서 패스키의 네이티브 구현을 사용할 때 달성할 수 있습니다.

엔터프라이즈 Passkey 백서. passkey 프로그램을 위한 실무 가이드, 도입 패턴, KPI.

백서 받기

WebView 과제를 해결하기 위한 전략#

WebView 호환성 테스트:
- State of Passkeys의 데이터를 사용하여 WebView의 한계를 파악하세요.
- 앱에서 사용하는 특정 WebView 유형(예: WKWebView 대 Android WebView)을 평가하세요.

실제로 얼마나 많은 사람이 passkeys를 쓰는지 확인하세요.

도입 데이터 보기

대체(Fallback) 옵션:
- WebView 지원이 불충분한 경우, 사용자를 네이티브 브라우저로 리디렉션하여 인증하도록 합니다.
- 전환 기간 동안에는 대체 MFA 수단을 유지하세요.
네이티브 구현 권장: 가능한 한 WebView에 의존하지 말고 패스키 기능을 위해 네이티브 앱 구성 요소를 사용하세요.
벤더와의 협력: 향후 업데이트에서 더 나은 WebAuthn 지원을 이끌어내기 위해 WebView 및 플랫폼 제공업체와 협력하세요.

결론#

WebView는 제한적인 WebAuthn 지원과 보안 제약으로 인해 패스키 도입에 큰 어려움을 줍니다. 이러한 한계를 이해하고 대체 옵션 제공 및 네이티브 앱 구성 요소 활용과 같은 전략을 실행하면, 패스키를 훨씬 원활하게 도입할 수 있습니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →