작성자: Masha Borak
보도일자: 2024년 9월 1일
출처: Biometricupdate.com

패스키는 점점 더 많은 조직과 정부가 비밀번호 없는 인증 방식을 채택함에 따라 빠르게 인기를 얻고 있습니다. 패스키 표준을 만드는 데 중요한 역할을 한 FIDO Alliance는 최근 바이오메트릭 업데이트 웹 세미나에서 공공 부문에서의 확산과 생성형 AI와 같은 위협에 대한 대응에 대해 논의했습니다. 이 웹 세미나는 기고 편집자인 Joel R. McConvey가 진행했습니다.

FIDO Alliance는 전 세계의 비밀번호 의존도를 줄이기 위해 개방적이고 무료인 인증 표준을 만드는 것을 목표로 하고 있습니다. 이를 실현하기 위해, 업계 협회는 피싱에 저항할 수 있고 다중 요소 인증 요건을 충족하는 확장 가능한 솔루션이 필요했습니다. 그러나 게임 체인저는 사용자 경험이었으며, 더 쉽게 로그인할 수 있는 방법이라고 FIDO Alliance의 최고 마케팅 책임자인 Mehan Shamas는 말합니다.

"우리는 전 세계 주요 기업의 UX 전문가 30~40명이 이 작업을 하고 있지만, 실제 소비자와 시민을 대상으로 이러한 경험과 무엇이 공감을 얻고 무엇이 공감을 얻지 못하는지에 대한 연구도 진행하고 있습니다," 라고 그녀는 말합니다.

오늘날 정부 기관들은 패스키를 적극적으로 홍보하고 있으며, 미국 상무부 산하 국가표준기술연구소(NIST)와 기타 규제 기관들도 이 기술에 대한 지침을 도입하기 시작하고 있습니다. NIST가 패스키에 관심을 갖게 된 계기는 정부 기관들이 이 기술의 안전성에 대해 질문을 제기했기 때문이라고 Venable LLP 법률 회사의 기술 및 비즈니스 전략 관리 이사인 Jeremy Grant는 말합니다.

"이름이 본격적으로 알려지기 시작한 지 불과 2년 정도 지났을 뿐인데, 정말 빠르게 채택되고 인정을 받았습니다,"라고 여러 나라 정부에 자문을 제공하고 있는 Grant는 말합니다.

한 가지 예로, 미국 미시간주의 정부 서비스 포털인 MiLogin은 18개 이상의 기관에 걸쳐 360개 이상의 애플리케이션과 서비스를 지원합니다. 패스키 도입 이후, 이 플랫폼은 월 평균 약 18,000명의 신규 가입자를 기록하고 있으며, 로그인 포기율은 지난 1년 동안 73% 감소했습니다.

"이 숫자는 정말 놀랍습니다. 많은 민간 부문 파트너에서도 이와 같은 현상을 목격했습니다,"라고 그는 말합니다.

정부는 점점 더 정교해지고 성공적인 피싱 공격, 특히 사회 공학을 통한 공격 때문에 패스키를 주목하고 있습니다.

"이제는 나이지리아 왕자에게서 온 이메일이 아니라, 매우 정교하게 다듬어진 공격입니다," 라고 FIDO Alliance의 Shamas는 말합니다. "패스키는 사용자가 이러한 공격을 식별해야 할 부담을 덜어줍니다. 패스키는 악의적인 사람에게 넘겨줄 수 없기 때문입니다."

패스키 개발은 Mastercard, Apple, Google, Microsoft, X와 같은 기업들의 도입으로도 탄력을 받고 있습니다.

"생성형 AI는 많은 생체 인식을 속일 수 있지만, 공개 키 암호화는 속일 수 없습니다", 라고 Grant는 말합니다. "패스키든 다른 공개 키 암호화를 기반으로 한 솔루션이든, 키를 소지하고 있음을 입증할 수 있는지 여부가 인간인지, 특정한 인간인지 판별하는 중요한 요소가 될 것입니다."

FIDO Alliance는 이번 주에 패스키의 이점과 조직이 이를 채택하여 보안을 개선할 수 있는 방법을 설명하는 백서를 발표했습니다. 그러나 이 기술은 몇 가지 단점도 가지고 있는데, 예를 들면 패스키가 장치에 묶여 있거나 특정 장치와 운영 체제만 지원하며, 파편화된 벤더 생태계와 오래된 기업 보안 정책 등이 문제로 지적되고 있습니다. 무엇보다도, 시장 조사 회사 IDC는 최근 보고서에서 패스키가 여전히 해킹될 수 있다고 강조했습니다.

그럼에도 불구하고 Grant는 2026년 말까지 패스키가 새로운 계정에 가입하거나 정부 및 산업의 대중 서비스에 접근할 때 사람들이 자신을 인증하는 주요 방식이 될 것이라고 믿고 있습니다.