작성자: Joel R. McConvey
보도일자: 2024년 12월 16일
출처: Biometricupdate.com


패스키는 2025년에 주목해야 할 생체인식 보안 트렌드다. FIDO 얼라이언스는 제11회 연례 FIDO 도쿄 세미나의 주제를 패스키 도입 가속화로 정했으며, 이 자리에는 Google, Sony Interactive Entertainment, Mastercard를 비롯한 다양한 조직들이 비밀번호 없는 생활로의 여정을 함께 했다. Microsoft는 패스키에 대한 사람들의 호감을 높이는 방법에 대한 조언을 확정하며, 4억 명의 Outlook 365 사용자를 노출시킨 주요 취약점을 해결했다.

주요 기술 브랜드, 패스키 로그인 대중화 주도

FIDO의 보도 자료에 따르면, 지난해의 패스키 성공 사례들이 강조되었다.

2024년, Amazon은 전 세계 모든 사용자에게 패스키를 제공했으며, amazon.com에 대한 로그인용 패스키가 1억 7,500만 개 생성되었다. Google은 8억 개의 Google 계정이 현재 패스키를 사용 중이며, 지난 2년간 25억 건 이상의 패스키 로그인이 이루어졌고 성공률은 30% 향상되었다고 밝혔다. Sony는 전 세계 플레이스테이션 커뮤니티에 패스키를 도입한 후 웹 어플리케이션에서 로그인 시간이 24% 단축되었다고 발표했다.

Hyatt, IBM, Target, TikTok 등은 직원 인증 옵션에 패스키를 추가했으며, 다양한 자격 증명 관리 제품들이 패스키 옵션을 제공하면서 사용자들에게 더 많은 유연성을 제공하고 있다.

일본 민간 및 학계도 패스키 도입에 합류

일본 시장에서도 패스키 도입이 눈에 띄게 증가했다. Nikkei, Nulab, Tokyu Corporation 등이 비밀번호 없는 인증 기술을 도입했으며, Nikkei는 Nikkei ID에 2025년 2월부터 패스키를 배포할 예정이다. Tokyu Corporation은 TOKYU ID 사용자 중 45%가 패스키를 사용 중이라고 밝혔고, Nulab은 패스키 도입에서 “극적인 개선”을 발표했다.

학계는 혁신을 주도하고 있으며, 게이오 대학과 와세다 대학 팀은 여러 해커톤과 워크숍에서 연구와 프로토타입으로 인정을 받았다.

FIDO는 일본 기업들이 패스키 구현을 더 잘 활용할 수 있도록 Passkey Central 웹사이트를 일본으로 제공하고 있다. 이 사이트는 도입 전략, UX 및 디자인 가이드라인, 상세한 배포 가이드를 포함하고 있다.

FIDO Japan Working Group은 66개 회원사와 함께 패스키 인식을 높이기 위해 9년째 활동 중이다.

기존 패스키 프로그램의 긍정적인 결과

패스키에 대한 인식은 개선되고 있으며, FIDO의 최근 연구에 따르면 패스키가 도입된 지난 2년 동안 소비자 인식은 50% 증가했다. 이는 초기 도입 기업들이 패스키 기술의 비즈니스 개선 사례를 강조한 덕분으로 보인다.

KDDI는 패스키 도입으로 고객 지원 센터로의 문의 전화가 약 35% 감소했다. 메르카리는 700만 명의 패스키 사용자를 확보했으며, Yahoo! JAPAN ID(LY Corporation 소속)는 현재 2,700만 명의 활동적인 패스키 사용자를 보유하고 있다. 스마트폰 사용자 인증의 50%가 패스키로 이루어지고 있다고 발표했다.

패스키 도입을 위한 친근하면서도 강력한 접근법

Authenticate 2024에서의 발표를 바탕으로 Microsoft는 블로그에 “10억 명의 사용자들이 패스키를 사랑하게 만드는 방법: UX 디자인 인사이트”를 게시했다.

이제는 익숙한 비밀번호 시대의 종말 선언으로 이야기가 시작된다. Microsoft는 이렇게 말한다. “의심의 여지가 없습니다. 비밀번호 시대는 끝나가고 있습니다.”

Microsoft는 인증 솔루션과는 어울리지 않는 강한 감정에 초점을 맞추며 인사이트를 제공한다. 고객들이 패스키를 사랑하게 만들 수 있을까? 블로그는 이렇게 설명한다. “우리는 매우 크고 다양한 사용자 집단이 익숙한 행동을 영구적으로 바꾸도록 설득해야 했고, 그 변화에 흥분까지 하게 만들어야 했습니다.”

실제로 사람들이 패스키에 흥분했는지는 알 수 없지만, 결과는 스스로 증명하고 있다. Microsoft에 따르면, 패스키를 이용한 로그인이 기존 비밀번호보다 3배 빠르며, 비밀번호와 기존 다중 인증(MFA)을 사용할 때보다 8배 더 빠르다. 또한 사용자들은 패스키를 사용할 때 비밀번호보다 3배 더 높은 성공률을 보인다 (98% vs 32%). 패스키 등록 과정을 시작한 사용자 중 99%가 이를 완료한다고 한다.

Microsoft의 전략은 다음 세 가지로 요약된다. 작게 사랑하고, 실험하며, “광범위하게 확장하라”. 중요한 지점에서 패스키 로그인 옵션을 제공하고, 사용자들이 패스키가 무엇인지 이해하도록 해야 한다. 즉, 자신이 제공받는 기술이 정확히 무엇인지 알 수 있도록 해야 한다는 것이다. Microsoft는 “패스키”라는 용어가 때로는 낯설었지만, “얼굴, 지문 또는 PIN”이라는 표현은 일반적으로 잘 이해되었기 때문에 UX(사용자 경험)에서 이 두 개념을 연결하는 것이 중요했습니다라고 강조했다.

둘 중 하나가 살아남는 한, 다른 하나는 사라질 수 없다: 비밀번호는 반드시 제거되고 묻혀야 한다

결국, 마지막 두 단계는 패스키를 피할 수 없는 기본 옵션으로 만드는 것을 의미한다. 소극적인 옵션들은 실망스러운 결과를 가져왔지만, 패스키 로그인을 기본값으로 설정하고 아직 등록하지 않은 사용자들에게 전략적으로 “유도”하는 방식이 훨씬 더 나은 수치를 보였다. (사용자들은 여전히 다른 인증 방식을 사용할 수 있지만, 더 이상 선호되지 않는 옵션일 뿐이다.) 다시 말해, 핵심은 긍정적 경험에 있다. “사용자들이 패스키가 새로운 표준이 될 것이라는 사실에 익숙해지기를 원합니다.”

그렇다고 해서 이 긍정적인 분위기 뒤에 강제성이 없는 것은 아니다. Microsoft는 말한다. “사용자들에게 패스키 등록을 권하는 것을 주저하지 마세요. 패스키를 최대한 쉽게 등록하고 사용할 수 있도록 하세요.” 또한 “피싱에 저항할 수 있는 자격 증명만을 사용하도록 지금부터 계획을 세우세요.”

Microsoft의 예측대로 수백만 명의 사용자가 앞으로 수개월 내에 패스키 게정을 만들더라도, 여전히 방 안 구석에 썩어가는 시체와 같은 문제가 남아 있다. Microsoft는 이렇게 경고한다. “계정이 여전히 비밀번호에 연결되어 있는 한, 피싱 공격의 대상이 됩니다.” 우리의 궁극적인 목표는 비밀번호를 완전히 제거하고, 피싱에 저항할 수 있는 자격 증명만을 지원하는 계정을 만드는 것입니다.

AuthQuake, 속도 제한 부재를 악용해 4억 명의 Microsoft 고객을 노출시키다

Microsoft가 비밀번호에 대해 긴급한 태도를 보이는 이유 중 하나는 기존 다중 인증(MFA) 방식이 무너지고 있다는 불안감 때문일 수 있다. Redmond Microsoft 블로그에 따르면, 사이버 보안 기업 Oasis Security는 Microsoft의 2단계 인증(2FA)에서 보안 조치를 우회할 수 있는 취약점을 발견했으며, 이 과정에서 어떠한 경고도 발생하지 않았다.

Oasis는 보고서에서 이 우회 기법을 AuthQuake라고 명명하며, “실행에 약 1시간이 소요되고 사용자 상호작용이 전혀 필요하지 않으며 어떠한 알림도 발생하지 않는다”고 설명했다. 이 취약점은 Outlook, OneDrive, Teams, Azure를 포함한 Microsoft Office 365를 사용하는 4억 명 이상의 고객에게 영향을 미칠 수 있었다. 주요 원인은 속도 제한의 부재와 만료되지 않은 일회용 비밀번호(OTP)의 코드 유효 시간 연장에 있었다. 이 두 가지 문제로 인해 공격자들은 특정 시간 내에 더 많은 공격을 실행할 수 있었다.

Oasis는 이 취약점을 6월에 Microsoft에 보고했으며, Microsoft는 10월 9일에 영구적인 수정 조치를 적용했다.