스마트폰 / 퍼스널 컴퓨팅

"로그인의 미래" 애플 패스키 미리 써보니⋯

Glenn Fleishman | Macworld 2022.09.08
애플 ‘패스키(Passkey)’는 올해 말 맥OS 13 벤투라(Ventura), iOS 16, 아이패드OS 16을 통해 공개될 새로운 웹 사이트 로그인 기능이다. 패스키를 이용하면 업계 공통의 산업 표준을 기반으로 한번 설정한 후 간편하게 암호화된 로그인을 할 수 있다. 앞으로 몇 주 또는 몇 개월 안에 패스키가 공개되고 구글과 마이크로소프트가 호환 기술에 대한 지원을 발표하면 올가을 여러 웹 사이트에서 패스키로 로그인하는 옵션을 추가로 볼 수 있게 된다.
 
ⓒ Apple

애플은 iOS 15, 아이패드OS 15의 사파리와 맥OS 12 몬터레이(Monterey)의 사파리 15에 패스키 기능을 내장했다. 덕분에 새 운영체제의 공개 베타를 설치하지 않고도 패스키 기능을 써볼 수 있다. 이제 패스키가 작동하는 프로세스를 살펴보자.
 

웹 사이트에 패스키 등록하기

패스키는 일반적으로 공개키 암호 기법이라고 알려진 한 쌍의 암호화키로 구성된다. 패스키의 기반 기술인 웹오슨(WebAuthn)을 지원하는 서버를 방문하면 브라우저가 암호화 쌍의 공개 키를 제공한다. 공개키는 직접 로그인에 사용할 수 없지만 신원을 증명하는 역할을 한다. 기기에서 생성되고 기기 내에 로그인에 사용되는 비공개 키가 저장된다.

패스키를 등록하려면 먼저 패스키를 지원하는 웹 사이트로 이동한다. 여기서 패스키를 지원한다는 것은, 웹오슨을 지원하거나 FIDO2, CTAP, ‘다중 기기 FIDO 자격 증명’과 호환된다는 것을 의미한다. 용어는 복잡하지만 결국 애플이나 구글, 마이크로소프트 패스키를 로그인 자격 증명으로 사용할 수 있다는 의미다. 참고로 FIDO2는 패스키를 만들고 웹오슨을 실행하는 핵심 기반 기술이다. 애플, 구글, 마이크로소프트가 회원사로 참여한 FIDO 얼라이언스(FIDO Alliance)가 이렇게 이름 붙였다.

패스키 등록 과정은 사이트에서 이중인증(2FA)을 등록하거나 유비코(Yubico)가 만든 것과 유사한 웹오슨용 하드웨어 키를 사용하는 방식과 매우 비슷하다. 이를 자세히 살펴보면 다음과 같다.
 
  1. 기존 사용자 이름과 비밀번호를 사용해 로그인한다.
  2. 사이트가 추가 인증을 요구할 수 있다. 2FA 인증을 위한 이메일, 문자 메시지 코드, 알림이 오거나 아이폰 또는 아이패드에 설치한 앱을 통해 링크가 전송될 수 있다.
  3. 사이트의 보안 섹션에서 패스키 또는 앞서 살펴본 명칭 중 하나를 사용하도록 선택할 수 있다.
  4. 웹 서버가 브라우저로 요청을 푸시해 암호화 정보를 제공한다.
  5. 활성화된 것에 따라 터치 ID, 페이스 ID, 기기 비밀번호 등을 통해 요청을 승인하라는 알림이 나타난다.
  6. 신원을 성공적으로 검증하면 기기가 공개/비공개 키 쌍을 생성한다. 비공개 키는 기기에 저장되고 절대 외부로 전송되지 않는다.
  7. 브라우저는 공개 키와 함께 서버가 제공한 공개 키를 사용해 검증할 수 있는 암호 기법으로 서명된 메시지를 전송한다.
  8. 웹 서버는 나중에도 패스키로 로그인할 수 있도록 공개 키를 저장한다.
 
패스키 적용 과정에서 터치 ID 활성화 여부를 선택할 수 있다.

패스키 로그인을 구성하면 계정의 2FA가 비활성화되거나 2FA 경로 대신에 패스키 로그인을 선택할 수 있다. 패스키는 비밀번호는 물론 이를 저장한 기기를 모두 소유하고 있다는 증거를 제공한다(일부 보안이 높은 사이트와 서비스는 여전히 패스키 외에 또는 추가로 2FA를 요구할 수 있다).

인증 서비스 제공업체 오스0(Auth0)이 만든 사이트 Webauthn.me를 보면 노출된 일부 기본적인 기술 정보로 패스키 프로세스를 확인할 수 있다. 일부 사이트는 현재 패스키 호환 로그인을 제공하지만 그 수가 많지는 않다. 예를 들면 구글 또는 드롭박스 계정이 ‘보안키’를 사용하도록 구성하고 패스키를 대신 사용할 수 있다. 다음은 필자가 직접 경험한 패스키 사용기다.
 

패스키로 로그인하기

등록한 사이트에서 다음번에 로그인할 때 저장된 패스키를 사용할 수 있다. 많은 웹 사이트에서 사용자 이름 또는 계정 이메일 입력과 비밀번호 입력을 분리하기 시작했다는 사실을 알 수 있다. 패스키에 대비해 수정한 것으로 보인다.

패스키를 준비한 사이트에서 사용자 이름 또는 계정 이메일 필드를 누르거나 클릭하면 사파리가 패스키 로그인을 검증하라고 알림을 보낸다. 때에 따라 사파리가 먼저 사이트에서 터치 ID 또는 ‘보안키’ 로그인을 허용할지 물어볼 수 있다. 허용(Allow)을 클릭해 계속 진행한다. 등록할 때와 마찬가지로 터치 ID, 페이스 ID, 기기 비밀번호를 통해 인증할 수 있다. 패스키를 사용하는 방법은 놀랍도록 간단하다. 지금 설명한 것이 전부다. Webauthn.me 사이트에서 이를 테스트해 볼 수 있다.
 
패스키를 적용한 후 처음 로그인하면 보안 로그인을 허용하라는 알림이 나타날 수 있다.

웹오슨을 지원하기는 하지만 아직 간소화된 패스키 프로세스를 도입하지 않은 일부 사이트는 사이트가 브라우저에 패스키를 요청하는 시퀀스를 개시하기 전에 일반적인 사용자 이름과 비밀번호를 입력해 로그인하도록 요청할 수 있다.

 
암호가 패스키로 대체된 것을 확인할 수 있다.
필자는 드롭박스에서 보안키(Security Key) 옵션을 선택하고 맥OS용 사파리의 알림에 따라 패스키로 등록할 수 있었다. 사파리를 통해 드롭박스에 로그인된 상태에서 우측 상단 모서리의 아바타를 클릭하고 보안(Security) 링크를 클릭한 후 ‘보안키’ 옆의 추가(Add)를 클릭한다. 키를 삽입했는지 물으면 확인을 누르면 된다.

이후의 로그인은 맥OS용 사파리에서는 작동했지만 iOS용 사파리에서는 그렇지 않았다. 아마도 새 운영체제 공개 전 아이클라우드 키체인 동기화를 지원하지 않기 때문일 것이다. iOS 16, 아이패드OS 15, 맥OS 벤투라에서는 아이클라우드 키체인이 활성화된 상태에서 패스키가 동기화된다. iOS/아이패드OS에서는 설정(Settings) > 비밀번호(Passwords), 벤투라에서는 시스템 설정(System Settings) > 비밀번호를 확인하면 된다.

애플은 에어드롭을 통해 안전하게 전송해 다른 애플 사용자와 패스키를 공유하도록 허용할 것으로 보인다. 공개 및 비공개 키 모두를 공유하며 사람들에게 계정의 사용자 이름, 비밀번호, 이중 토큰을 제공한 것과 같은 수준의 계정 액세스를 제공한다.
 

다른 기기에서 로그인하기

일부 사이트는 패스키 로그인을 유일한 방법으로 지정할 수 있다. 그렇다면 공동 또는 가족 컴퓨터, 직장에 있는 기기, 여행 중 사용하는 기기 등 패스키가 저장되지 않은 기기에서는 어떻게 로그인할 수 있을까? 혹은 윈도우 시스템이나 안드로이드 스마트폰을 사용해 사이트에 접속해야 하는 경우에는 어떨까? 애플은 2022 WWDC(Worldwide Developer Conference) 행사에서 패스키를 소개하면서 QR 코드와 블루투스를 대안으로 제시했다. 구체적인 방식은 다음과 같다.
 
  1. 운영체제 또는 브라우저가 웹오슨 로그인을 지원할 만큼 최신인 기기에서 패스키를 사용하는 웹 사이트에 계정 이름을 입력한다.
  2. 이 사이트는 브라우저에 패스키를 요청하고, 브라우저는 패스키가 없음을 발견한다. 그러면 ‘새 스마트폰 추가(Add a new phone)’ 등을 클릭해 프록시를 통해 패스키를 제공할 수 있다.
  3. 사이트는 쿼리를 전송해 브라우저가 QR 코드를 표시하도록 한다.
  4. 아이폰 또는 아이패드에서는 QR 코드를 스캔하고 ‘패스키로 로그인(Sign in with a passkey)’ 메시지를 누른다.
  5. 기기에서 계속(Continue)을 클릭한 후 터치 ID, 페이스 ID, 기기 비밀번호로 로그인을 승인한다.
  6. 브라우저에 로그인이 표시된다.
 
패스키가 없는 기기에서는 QR 코드와 블루투스를 이용해 안전하게 로그인할 수 있다.

이런 과정을 통해 QR 코드가 표시된 기기와 아이폰 또는 아이패드가 블루투스를 통해 조용히 연결하고 키 정보를 교환한다. 그러면 기기가 원격 공격을 방지하기 위해 가까운 기기를 사용하고 암호화된 채널이 브라우저 연결과 분리한 블루투스 백채널을 사용해 로그인이 이뤄지도록 한다. 가짜 로그인을 제공하는 피싱 공격을 방지한다. 다른 기기에서 로그인을 인증한 후 세션이 정상적으로 진행된다. 필요한 작업을 마치면 상태를 삭제하기 위해 확인하고 로그아웃하면 된다.
 

미래는 패스키다

패스키는 그 단순한 작동 방식 때문에 이것이 얼마나 정교한 기술인지 간과하는 경우가 많다. 그러나 패스키를 통해 오버헤드 없이 프로세스를 쉽게 관리하고 최고 수준의 보안을 확보할 수 있다. 각 로그인은 고유하며 저장되고 (기기와 사이트에 의해) 양방향으로 검증돼 기기에 액세스하는 사람만 사이트에 로그인할 수 있도록 지원한다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.