안녕하세요. 제로트러스트 기반 phishing-resistant MFA 전문기업 옥타코입니다.👋

오늘은 디지털 인증의 미래를 이끄는 패스키(Passkey)에 대해 알아보려고 합니다. 패스키는 현재 널리 사용되는 비밀번호 기반 인증 방법보다 더 안전하고 사용자 친화적인 대안을 제공합니다. 이 뉴스레터에서는 패스키가 무엇인지, 그 종류와 사용 방법, 전통적인 인증 방법의 위험성, 패스키를 사용했을 때 얻을 수 있는 이점, 그리고 최근 NIST의 인증 가이드라인 변경 사항을 포함하여 전 세계적으로 FIDO 기반 인증이 확산되는 방향에 대해 설명 드리겠습니다.

🔑패스키란 무엇인가요?

패스키는 사용자가 여러 웹사이트와 앱에 로그인할 때 취약하고 번거로운 아이디 패스워드를 입력할 필요없이 생체인식 등을 활용하여 로그인할 수 있는 새로운 로그인 방식입니다. 디지털 장치에서 사용자를 인증하기 위하여 암호화된 키 쌍을 생성하여 개인정보에 해당하는 개인키는 사용자의 장치에 저장되고, 공개키는 FIDO 서버에 저장되어, 간편하고 편리하면서도 안전하게 인증할 수 있도록 도와줍니다.
패스키는 구글, 아마존 등 웹사이트 및 앱, 클라우드 서비스 등을 이용할 때 아이디 패스워드 없이 스마트폰의 생체인증, FIDO보안키, 마이크로소프트의 윈도우 헬로우 플랫폼을 활용하여 간편하고 안전하게 로그인이 가능합니다. 또한 기업 및 기관의 내부시스템에도 연동하여 이용할 수 있습니다.

🔐 패스키의 종류

패스키는 일반적으로 다음과 같은 방식으로 분류됩니다:

1. Device-bound passkey(장치 바인딩 패스키): 특정 장치에만 저장되고 사용할 수 있는 패스키입니다. 옥타코의 이지핑거와 같은 지문보안키, 스마트폰을 이용한 패스키 등이 이에 해당됩니다.

2. Synced passkey(동기화 패스키): 클라우드를 통해 여러 장치에서 동기화되어 사용할 수 있는 패스키입니다. 구글, 삼성, 애플 서비스 등에서 제공하는 패스키는 Synced passkey이며, 이 패스키는 여러 장치에서 접근할 수 있어 더 편리합니다. 

😫 전통적인 인증 방법의 위험성

현재 가장 많이 이용되고 있는 인증 방법은 비밀번호 기반 인증이며, 이는 많은 위험을 내포하고 있습니다.
한 조사에 따르면 인터넷 사용자 한 명이 개인 계정에 대해 평균 168개의 비밀번호를 보유하고 있고, 업무상 이용하는 비밀번호도 평균 87개를 보유하고 있다고 합니다. 코로나로 인해 급격히 늘어난 인터넷 서비스들과 매년 출시되는 새로운 서비스들로 인해 개인 및 기업의 계정수는 매년 증가하고 있습니다.

1. 비밀번호 탈취 :
   통계적으로 전체 비밀번호의 3분의 1은 61가지 조합을 시도하는 것만으로도 알아낼 수 있으며, 숫자로만 구성된 4~11자리 비밀번호는 바로 해킹이 가능합니다. 알파벳 대소문자, 특수문자를 섞은 9자리의 비밀번호도 1시간이면 해독이 가능하여, 해커에 의해 쉽게 탈취될 수 있습니다. 

2. 비밀번호 재사용 :
   많은 사용자가 여러 사이트에서 동일한 비밀번호를 사용합니다. 한 사이트에서 비밀번호가 유출되면, 다른 사이트에서도 같은 비밀번호로 공격을 받을 위험이 있습니다. 

3. 복잡성 :
   강력한 비밀번호는 기억하기 어렵습니다. 많은 사용자가 간단한 비밀번호를 사용하거나 메모장에 비밀번호를 기록하는 등의 취약한 방법을 사용합니다. 

😍 패스키를 사용했을 때 얻을 수 있는 이점

패스키는 전통적인 비밀번호 인증의 문제를 해결하고 다음과 같은 이점을 제공합니다.

1. 강화된 보안 :
   패스키는 암호화된 키 쌍을 사용하여 보안을 강화합니다. 개인 키는 사용자의 장치에만 저장되므로 해커가 서버를 공격해도 개인 키를 탈취할 수 없습니다. 특히, 패스키 중에서도 옥타코의 이지핑거 시리즈와 같은 지문보안키를 이용하는 경우에는 NIST의 가장 높은 인증레벨인 AAL3를 충족하여 더 높은 보안성을 보장받을 수 있습니다. 지문보안키는 디바이스 내부에 TPM, TEE와 같은 안전영역을 구축하고 그 안에 암호화된 지문 정보 등 개인정보를 저장하며 해당 정보는 절대 디바이스를 떠나지 않습니다. 인증시에도 사용자의 진위여부만 확인하고 Yes or No의 값만 서버에 전달하기 때문에 보안을 보장받을 수 있습니다. (Synced passkey는 NIST기준 AAL2에 해당합니다.) 

2. 사용 편의성 :
   패스키를 사용하면 비밀번호를 기억하거나 입력할 필요가 없습니다. 생체 인식(지문, 얼굴 인식)이나 PIN 코드를 사용하여 빠르고 간편하게 인증할 수 있습니다. 

3. 비밀번호 관리의 부담 감소 :
   패스키를 사용하면 비밀번호를 자주 변경하거나 여러 비밀번호를 관리할 필요가 없어집니다. 이는 사용자에게 큰 편리함을 제공합니다. 

4. 동기화 기능 :
   동기화된 패스키(Synced passkey)는 여러 장치에서 사용 가능하여 사용자가 어디서든 접근할 수 있습니다. 이는 사용자 경험을 크게 향상시킵니다. 

📜 NIST 인증 가이드라인과 FIDO 기반 인증의 확산

최근 NIST(미국 국립표준기술연구소)는 인증 가이드라인*을 업데이트하여 패스키와 같은 FIDO 기반 인증 방법을 더욱 권장하고 있습니다. 기존 NIST의 인증 가이드라인에서는 사용자의 인증키는 복제하는 것을 제한하였으나, 생태계가 변화함에 따라 보안성을 제공하면서도 사용자가 편리하고 안전하게 디지털 라이프를 즐길 수 있도록 암호화된 사용자의 인증키가 동기화되어도 AAL2 인증요구를 지원하도록 업데이트함으로써 보안성을 제공하면서도 사용자 친화적인 인증방법으로의 전환을 촉구하고 있습니다.
이러한 변화는 전 세계적으로 FIDO 기반 인증이 확산되는 방향으로 가고 있음을 보여줍니다.

NIST의 디지털 인증 가이드라인(Digital Identity Guidelines)은 미국의 연방정보보안현대화법에 기초하여 연방시스템에서 사용자의 신원을 증명하고 인증, 승인하는 방법에 대한 가이드를 제공하고 있습니다. 구현 기술 및 보증 수준에 따라 1~3단계로 나누며, AAL1레벨은 낮은 보안수준을 제공하는 인증방법으로 비밀번호와 같은 단일인증 또는 SMS 등을 이용한 다중인증이 이에 해당하며, AAL2는 암호화기술이 적용된 인증으로 스마트폰 앱 인증, 동기화 패스키 등이 이에 해당됩니다. AAL3는 키 소유기반 증명을 기반으로 하는 매우 높은 신뢰를 제공하는 인증방법으로 FIDO 지문 보안키가 본 레벨에 해당됩니다. 관련된 자세한 사항은 https://pages.nist.gov/800-63-3/를 참고하세요.

패스키는 현재 널리 사용되는 비밀번호 기반 인증의 한계를 극복하고 더 안전하고 편리한 인증 방법을 제공합니다. 디지털 보안이 점점 더 중요해지는 현대 사회에서 패스키는 사용자와 기업 모두에게 큰 혜택을 줄 수 있습니다. 특히, NIST의 인증 가이드라인 변경과 FIDO 기반 인증의 확산은 패스키의 중요성을 더욱 부각시키고 있습니다.

더 자세한 정보나 사용 방법에 대해 궁금하신 사항이 있으시면 언제든지 문의해 주세요.
감사합니다. 😊