패스키 (패스키 인증)

패스키

패스키

/ˈpasˌkēs/
명사
FIDO 표준을 기반으로 하는 패스키는 비밀번호를 대체하여 사용자 디바이스 전반에서 웹사이트와 앱에 더 빠르고 간편하며 안전하게 로그인할 수 있도록 해줍니다. 비밀번호와 달리 패스키는 항상 강력하고 피싱에 강합니다.

패스키는 앱과 웹사이트의 계정 등록을 간소화하고, 사용하기 쉬우며, 대부분의 사용자 디바이스에서 작동하고, 물리적으로 가까운 곳에 있는 다른 디바이스에서도 작동합니다.

왜 패스키인가?
비밀번호가 문제입니다.

지식 기반

사용 및 기억의 번거로움

손쉬운 피싱, 수집, 재생

지식 기반

사용 및 기억의 번거로움

손쉬운 피싱, 수집, 재생

지난 1년간 피싱 공격을 경험한 조직의 비율*입니다.*

지난 1년간 피싱 공격을 경험한 조직의 비율*입니다.*

*HYPR, 2022 비밀번호 없는 보안 현황 보고서 – 여기에서 보고서를 다운로드하세요.

레거시 인증 솔루션은 보안 문제를 해결하지 못하거나 대규모 소비자들이 사용하기에 충분히 유용하지 않습니다.

패스키는 FIDO 인증에 대한 액세스 및 사용성을 최적화합니다.

조직은 다양한 사용 사례에 걸쳐 패스키를 사용하여 FIDO 로그인을 배포할 수 있습니다. 패스키를 사용하면 모든 계정의 모든 디바이스를 다시 등록할 필요 없이 새 디바이스를 포함한 많은 디바이스에서 FIDO 로그인 자격 증명에 액세스할 수 있습니다. 또는 동기화가 필요하지 않은 조직에서는 FIDO 보안 키 또는 플랫폼에 바인딩된 장치 바인딩형 패스키를 사용할 수 있습니다.

사용자는 패스키를 어떻게 사용하나요?

사용자가 앱이나 웹사이트에 로그인하라는 요청을 받으면 사용자는 디바이스(휴대폰, 컴퓨터 또는 보안 키)의 잠금을 해제하는 데 사용하는 것과 동일한 생체 인식 또는 PIN을 사용하여 로그인을 승인합니다. 앱이나 웹사이트에서는 기존의 (안전하지 않은) 사용자 이름과 비밀번호 대신 이 메커니즘을 사용할 수 있습니다.

이것이 의미하는 바는 다음과 같습니다.

패스키 로고 스타일 가이드 파일 다운로드

자주 묻는 질문

What is a Passkey?

비밀번호가 필요 없는 모든 FIDO 자격 증명은 패스키입니다.

패스키는 비밀번호를 대체하여 사용자의 모든 디바이스에서 웹사이트와 앱에 더 빠르고 간편하며 안전하게 로그인할 수 있는 기능입니다. 비밀번호와 달리 패스키는 피싱에 강하고 항상 강력하며 비밀이 공유되지 않도록 설계되어 있습니다.

앱과 웹사이트의 계정 등록을 간소화하고, 사용하기 쉬우며, 사용자의 모든 기기에서 작동하고, 물리적으로 가까운 곳에 있는 다른 기기에서도 작동합니다.

기술적 관점에서 패스키는 브라우저에서 검색할 수 있거나 비밀번호 없는 인증을 위해 기본 애플리케이션 또는 보안 키에 저장된 FIDO 자격 증명입니다. 패스키는 비밀번호를 암호화 키 쌍으로 대체하여 피싱을 방지하는 로그인 보안과 향상된 사용자 경험을 제공합니다. 암호화 키는 사용자 인증을 위해 최종 사용자 장치(컴퓨터, 휴대폰 또는 보안 키)에서 사용됩니다.

휴대폰 또는 컴퓨터 운영 체제로 관리되는 암호 키는 클라우드 서비스를 통해 사용자의 장치 간에 자동으로 동기화됩니다. 또한 클라우드 서비스에는 암호화된 FIDO 자격 증명의 사본이 저장됩니다. 또한 패스키는 복사할 수 없는 단일 장치에서만 사용할 수 있도록 설계할 수도 있습니다. 이러한 패스키를 “단일 장치 패스키”라고도 합니다. 예를 들어, 물리적 보안 키에는 여러 개의 단일 장치 패스키가 포함될 수 있습니다.

‘패스키’라는 단어는 일반 명사이므로 ‘비밀번호’라고 부르는 것과 같은 방식으로 생각하면 됩니다. 문장을 시작할 때를 제외하고는 소문자로 작성해야 합니다. ‘패스키'(및 복수형 ‘패스키’)라는 용어는 특정 플랫폼에 국한된 기능이 아닌 크로스 플랫폼에서 일반적으로 사용되는 용어입니다.

구분이 필요한 경우, 클라우드 서비스를 통해 사용자의 디바이스 간에 동기화되는 패스키를 일반적으로 “동기화된 패스키”라고 하며, 단일 디바이스(UAF 앱에 있는 패스키 포함)를 벗어나지 않는 패스키를 “디바이스 바인딩된 패스키”라고 합니다.

What are the use cases for passkeys?

패스키의 주요 사용 사례는 계정 인증의 첫 번째/기본 요소로서 비밀번호를 대체하는 것입니다.

예를 들어, 사용자는 휴대폰에서 비밀번호 대신 패스키를 사용하여 웹 서비스에 로그인할 수 있습니다. 휴대폰 기반 암호 키는 사용자의 모든 장치에서 동기화되므로 새 휴대폰으로 업그레이드하는 과정이 원활하게 진행됩니다.

How does a user experience Passkeys?

사용자가 앱이나 웹사이트에 로그인하라는 요청을 받으면 사용자는 장치(휴대폰, 컴퓨터 또는 보안 키)의 잠금을 해제할 때 사용하는 것과 동일한 생체 인식 또는 PIN 또는 장치 내 비밀번호를 사용하여 로그인을 승인합니다. 앱이나 웹사이트에서 기존 사용자 이름과 비밀번호 대신 이 메커니즘을 사용할 수 있습니다.

Is the user’s biometric information safe?

예. 현재 사용자 장치(휴대폰, 컴퓨터, 보안 키)가 수행하는 로컬 생체 인식 처리에는 아무런 변화가 없습니다. 생체 인식 정보 및 처리는 장치에 계속 남아 있으며 원격 서버로 전송되지 않고 서버는 생체 인식 확인이 성공했다는 확인만 확인합니다.

Why are passkeys better than password + second factor?

비밀번호 재사용과 데이터베이스 침해가 만연하면서 수년 동안 비밀번호는 피싱 공격과 크리덴셜 스터핑 공격의 대상이 되어 왔습니다.

기본 요소인 비밀번호는 여러 가지 방법으로 근본적으로 취약하기 때문에 업계에서는 두 번째 요소를 추가하는 레이어링을 널리 채택하고 있습니다. 하지만 안타깝게도 일회용 비밀번호(OTP) 및 전화 승인과 같이 가장 많이 사용되는 두 번째 요소는 불편하고 안전하지 않습니다. 피싱을 당할 수 있으며 현재도 대규모로 피싱이 이루어지고 있습니다.

패스키는 FIDO 인증정보이므로, 이제 패스키만 단독으로 사용해도 ‘비밀번호 + OTP’ 또는 ‘비밀번호 + 전화 승인’의 조합보다 더 안전한 기본 요소를 갖추게 되었습니다.

Isn’t it unsafe for passkeys to leave the device and be synced to other devices?

패스키 동기화는 종단 간 암호화되어 있으며 동기화 제공업체는 강력한 계정 보안 보호 기능을 갖추고 있습니다.

또한 동기화는 가능한 한 많은 곳에서 비밀번호를 대체하여 로그인을 더 쉽고 근본적으로 안전하게 만든다는 FIDO의 사명을 달성하는 데 매우 중요합니다.

비밀번호를 대체한다는 것은 3차원에 걸쳐 비밀번호와 ‘경쟁’하는 것을 의미하기 때문입니다:

  • 속도: 비밀번호를 만들거나 사용하는 것보다 빨라야 합니다.
  • 편의성: 비밀번호를 사용하는 것보다 더 편리하지는 않더라도 최소한 동등하게 편리해야 합니다.
  • 보안: 피싱에 강해야 하며 앱/웹사이트/서비스별로 고유해야 합니다.

속도
패스키를 생성하면 사용자가 비밀번호 복잡성 요건을 준수할 필요가 없습니다. 생체 인증이나 PIN 코드 입력만으로 간편하게 등록할 수 있으며, 이후 패스키로 다시 로그인할 때는 비밀번호를 입력하는 것보다 더 빠른 생체 인증 또는 PIN 코드만 입력하면 됩니다.

편의성
비밀번호 대체 수단의 사용 편의성은 비밀번호의 편의성과 경쟁해야 하며, 비밀번호의 주요 사용 편의성 이점 중 하나는 모든 디바이스에서 사용할 수 있다는 점입니다.

동기화란 동일한 동기화 제공업체를 사용하는 모든 사용자의 장치에서 패스키를 사용할 수 있다는 의미입니다. 비밀번호와 마찬가지로 다른 디바이스에서 웹사이트를 방문할 때 자격증명 등록/생성 과정을 거칠 필요가 없으며, 블루투스 저에너지(BLE)를 사용하여 물리적 근접성을 확인하는 FIDO Alliance 클라이언트-인증자 프로토콜(CTAP)의 개선을 통해 교차 디바이스 로그인이 지원됩니다.

암호화 키가 사용자의 컴퓨터나 모바일 디바이스에 바인딩되어 있는 경우, 사용자가 새 디바이스를 사용할 때마다 RP는 다른 인증 방법(일반적으로 비밀번호와 같은 지식 기반 자격증명)으로 돌아가야 합니다. 실제로 이는 새 디바이스에서 처음 로그인할 때 불편함과 피싱 가능성이 동시에 존재한다는 것을 의미합니다.

패스키는 사용자가 필요할 때, 즉 해당 장치에서 웹사이트에 처음 로그인할 때부터 사용자의 장치에서 사용할 수 있기 때문에 이 문제를 해결합니다. 마지막으로, 사용자들은 비밀번호를 잊어버리거나 백업 이메일과 전화번호를 설정하지 않는 경우가 많습니다. 패스키를 사용하면 사용자가 디바이스만 가지고 있으면 로그인할 수 있으므로 잊어버릴 염려가 없습니다. 패스키를 백업할 수 있으므로 분실로부터 더 잘 보호할 수 있습니다.

보안
FIDO 자격증명인 패스키를 사용하면 피싱, 자격증명 스터핑, 비밀번호 데이터베이스 침해 등의 지속적인 위협에 직면한 신뢰 당사자가 비밀번호를 FIDO 자격증명으로 대체할 수 있습니다. FIDO는 신뢰 당사자에게 비대칭 암호화를 기반으로 하는 챌린지 응답 인증 프로토콜을 제공합니다. 즉, 피싱을 방지하고 서버의 민감한 비밀을 제거하여 보안을 크게 향상시킬 수 있습니다.

피싱 방지 기능은 FIDO 인증의 핵심 설계 목표입니다. 이 목표는 암호화 키가 하드웨어에 바인딩되어 있는지 여부와 관계없이 로그인 시 달성할 수 있습니다. 또한, 해커에게 매력적인 표적이 될 수 있는 비밀번호 데이터베이스의 침해는 더 이상 훔칠 비밀번호가 없기 때문에 위협이 되지 않습니다.

How can an online service (aka “Relying Party [RP]”) use a passkey for authentication?

RP는 내장된 WebAuthn(웹사이트용) 및 플랫폼 FIDO API(앱용)를 사용하여 로그인을 위한 패스키를 실행합니다. 패스키는 주요 모바일 및 데스크톱 운영 체제 및 브라우저에서 기본으로 지원됩니다.

What is the availability of passkeys across various OS platforms?

사용자의 모든 장치에 자동으로 동기화되는 내장형 패스키가 현재 및 가까운 시일 내에 출시될 예정입니다:

  • Apple은 2022년 9월에 iOS 16, 2022년 10월에 iPadOS 16 및 macOS Ventura를 지원한다고 발표했습니다.
  • 구글은 2022년 10월부터 Android에서 패스키를 지원한다고 발표했으며, 2023년까지 ChromeOS에서 패스키를 지원할 계획입니다.
  • Microsoft는 Windows 인사이더 빌드에서 암호키 지원을 발표했으며 2023년 말과 2024년 내내 암호키를 더 광범위하게 지원할 것으로 예상됩니다.

대부분의 플랫폼은 이미 휴대폰이나 보안 키와 같은 주변 장치의 암호 키로 로그인하는 기능을 지원합니다. 여기에는 다음이 포함됩니다:

  • Windows의 Microsoft Edge 및 Google Chrome
  • macOS의 Edge, Safari 및 Google Chrome
  • ChromeOS

자세한 내용은 다음 두 가지 질문도 참조하세요.

패스키는 2018년부터 모든 플랫폼과 브라우저에서 사용할 수 있는 동일한 WebAuthn API를 사용하여 액세스합니다. 패스키의 장치 간 동기화는 OS에서 투명하게 관리합니다.

How does a passkey become available across a user’s devices?

디바이스 OS 플랫폼은 디바이스(예: 휴대폰 또는 노트북 컴퓨터)의 비밀번호를 사용자의 플랫폼 계정(예: iOS/macOS의 경우 Apple ID, Android 및 ChromeOS의 경우 Google 계정, Windows의 경우 Microsoft 계정)에 연결된 디바이스 클라우드에 동기화하는 기능을 구현하고 있습니다. 패스키 동기화는 종단 간 암호화됩니다.

사용자가 어느 기기에서든 패스키를 생성하면 동일한 사용자의 플랫폼 계정으로 로그인되어 있는 동일한 OS 플랫폼을 실행하는 사용자의 다른 모든 기기와 동기화됩니다. 따라서 한 장치에서 생성한 패스키를 모든 장치에서 사용할 수 있습니다.

특히 사용자가 동일한 플랫폼 OS를 사용하는 새 기기를 구입하여 플랫폼 계정으로 설정하면 사용자의 비밀번호가 동기화되어 새 기기에서 로그인에 사용할 수 있습니다.

How does the user sign-in if a passkey for the RP is NOT already available on the device?

예를 들어 사용자가 이미 RP에 대한 패스키를 가지고 있는 Android 휴대폰을 가지고 있다고 가정해 보겠습니다. 이제 이전에 RP에 로그인한 적이 없는 Windows 컴퓨터에서 RP 웹사이트에 로그인하려고 합니다.

사용자가 Windows 컴퓨터에서 RP 웹사이트를 방문합니다. 그런 다음 RP의 로그인 웹 페이지에 ‘로그인’ 버튼이 표시되면 해당 버튼을 누릅니다. 이제 사용자에게 다른 기기를 사용하여 RP에 로그인할 수 있는 옵션이 표시됩니다.

다른 디바이스(예: 휴대폰)가 Windows 컴퓨터와 물리적으로 가까워지면(BLE 범위 내) 사용자는 Android OS에서 팝업을 보게 됩니다. 이 팝업은 “근처에 있는 컴퓨터에서 RP에 로그인하려고 하는 것 같습니다. 여기 계정이 있습니다“라고 묻습니다. 사용자가 계정을 선택하면 Android OS에서 “이 계정으로 컴퓨터에 로그인을 승인하려면 잠금 해제를 수행하세요“라는 메시지가 표시됩니다. 사용자가 잠금 해제를 수행하면 웹사이트에 로그인됩니다.

또는 사용자는 매우 유사한 흐름으로 RP에 등록된 보안 키 장치를 사용할 수 있습니다. 이 경우 사용자는 Windows 컴퓨터에서 RP 웹사이트를 방문하게 됩니다. RP의 로그인 웹 페이지에 ‘로그인’ 버튼이 표시되면 해당 버튼을 누릅니다. RP가 인증을 요청하면 사용자는 보안 키 장치를 삽입하고 생체 인식 또는 PIN으로 보안 키를 잠금 해제하면 웹사이트에 로그인할 수 있습니다.

위의 예에서 설명한 흐름은 사용자의 휴대폰이 실행 중인 OS, 로그인 대상 디바이스(예: 컴퓨터, 태블릿, TV 등)에서 사용 가능한 OS 및 브라우저 또는 사용자가 보유한 FIDO 호환 보안 키의 모델에 관계없이 작동합니다.

설명된 흐름은 현재 Chrome OS, Windows, Mac, Linux의 Google Chrome 및 Microsoft Edge에서 사용할 수 있습니다.

Is it safe for the user to do a FIDO sign-in on a nearby device using Bluetooth?

CTAP 2.2를 활용하는 FIDO 교차 장치 인증 흐름은 Bluetooth 저에너지(BLE)를 사용하여 물리적 근접성을 확인하지만, 실제 로그인 보안을 위해 Bluetooth 보안 속성에 의존하지 않습니다. ‘하이브리드’로 명명된 CTAP 전송은 표준 Bluetooth 보안 속성 위에 표준 암호화 기술을 추가로 사용하여 데이터를 보호합니다.

Are passkeys considered multi-factor authentication?

패스키는 사용자의 디바이스(사용자가 “가지고 있는”)에 보관되며, RP가 사용자 인증을 요청하는 경우 생체인식 또는 PIN(사용자가 “가지고 있는” 또는 “알고 있는”)을 통해서만 사용할 수 있습니다. 따라서 패스키를 사용한 인증은 다중 요소 보안의 핵심 원칙을 구현합니다.

RP는 플랫폼 공급업체 계정의 단일 요소(예: 비밀번호)를 통해 공격자가 패스키를 사용할 수 있다는 점을 우려할 수 있습니다. 그러나 실제로는 그렇지 않습니다. 플랫폼 공급업체는 사용자를 인증하고 디바이스에 패스키를 복원할 때 사용자에게 보이는 것과 보이지 않는 것 등 사용자의 비밀번호 외에 여러 신호를 고려합니다.

패스키를 공식적으로 나열된 다중 인증 수단 중 하나로 인정하려면 아직 일부 규제 제도가 발전해야 한다는 점에 유의하세요. 이는 FIDO Alliance 적극적으로 참여하고 있는 분야입니다.

How can the user switch to a new mobile platform as the sign-in device (eg, from Android to iOS or vice versa)?

사용자가 이전 디바이스를 계속 소유하고 있는 경우, 이전 디바이스(예: Android 디바이스)의 비밀번호를 사용하여 새 디바이스(예: iOS 디바이스)에서 계정에 로그인할 수 있습니다. 로그인한 사용자는 새 플랫폼 계정에서 패스키를 생성할 수 있습니다.

사용자에게 FIDO 보안 키가 있는 경우 이를 사용하여 새 장치에서 안전하게 인증할 수 있습니다.

사용자에게 이전 디바이스나 보안 키가 없는 경우, RP는 새 디바이스(다른 공급업체의 디바이스일 수 있음)에서 로그인하는 것을 정상적인 계정 복구 상황으로 간주하고 사용자가 로그인할 수 있도록 적절한 조치를 취할 수 있습니다.

Can FIDO Security Keys support passkeys?

예, 현재 FIDO 보안 키는 단일 디바이스 패스키를 지원하며, 2019년부터는 사용자 인증을 통해 검색 가능한 자격 증명을 통한 비밀번호 없는 로그인에 대한 지원이 추가된 FIDO2를 지원하고 있습니다. 모든 클라이언트 플랫폼과 브라우저에는 이미 보안 키 실행을 위한 기본 지원이 있습니다. 보안 키 공급업체는 향후 패스키 동기화를 지원하도록 선택할 수 있습니다.

웹 서비스는 패스키를 활용하여 다양한 사용 사례를 지원할 수 있습니다. 예를 들어, 사용자가 새 컴퓨터를 구입한 경우 보안 키를 컴퓨터에 가까이(예: USB에 연결하거나 NFC를 탭하는 방식) 제시하고 온라인 계정에 로그인할 수 있습니다.

모든 패스키가 FIDO 자격증명이기 때문에 FIDO를 지원하는 웹 서비스는 모든 패스키 구현을 지원할 수 있습니다.

특정 규정 준수 요구사항이 있는 특정 환경에서는 사용 가능한 암호화 키 사본이 하나만 있어야 할 수도 있습니다. FIDO 보안 키의 패스키는 이러한 사용 사례에 적합한 솔루션입니다.

또한 사용자가 패스키가 동기화된 다른 모든 모바일 및 기타 장치에 대한 액세스 권한을 잃은 시나리오에서 이러한 FIDO 보안 키는 복구 자격증명 역할을 할 수 있습니다.