Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

패스키

“비밀번호를 안전하고 편리하게 대체한다” 패스키의 이해

비밀번호는 기업 인프라와 보안 관행에서 가장 중요한 부분이다. 데이터 유출 사건의 81%와 연관된 가장 큰 취약점이기도 하다. 태생적인 편성 문제로 인해 비밀번호는 안전하게 관리하기 어렵다. 그동안 비밀번호의 보안과 편의를 모두 확보하기 위한 패스워드리스(passwordless) 인증에 대한 연구가 활발하게 진행됐다.   가장 대표적인 것이 패스키(Passkey)다. 최근 많은 주목을 받으며 채택이 늘고 있는 패스키는 기업의 보안에 안전한 초석을 마련한다. 물론 안전하지 않은 OS를 실행하는 기기와 동기화되는 경우처럼 100% 안전을 보장할 수는 없지만, 일반적인 비밀번호보다는 훨씬 안전한 환경을 마련한다. 패스키와 비밀번호의 차이점 비밀번호의 근본적인 문제는 보안 설정된 리소스에 대해 소유자가 누구인지 고려하지 않고 잠금을 해제할 수 있는 단순 문자열이라는 점이다. 마치 차 키만 있으면 누구든지 잠긴 자동차의 문을 열고 시동을 거는 것과 같다. 범죄자가 입수한 것으로 집계되는 비밀번호 인증정보의 수는 우려할 수준이며, 해마다 악화하고 있다. 패스키는 일종의 다중 인증(Multi-Factor Authentication)이다. 1단계 인증요소는 기기 자체이며, 이 기기를 2단계 인증요소와 통합함으로써 ‘사용자가 아는 것’만 요구하는 방식에서 ‘사용자가 보유한 것과 아는 것’을 요구하는 방식으로 진화했다. 인증 서비스 제공업체 오스제로(Auth0) CTO 마티아스 월로스키의 말처럼 “비밀번호 대신 스마트폰이 훨씬 강력한 1단계 인증요소로 자리 잡으면서 사용자 경험은 물론 보안도 개선될 전망”이다. 패스키는 스마트폰뿐 아니라 태블릿, 노트북 컴퓨터, PC 등 같은 기기에서도 이용할 수 있다.  월로스키는 애플, 구글, 마이크로소프트 모두 패스키를 지원한다는 사실을 강조했다. 바로 이 부분에서 패스키 채택을 이끈 원동력과 패스키의 작동 방식을 짐작할 수 있다. 클라우드를 통해 기기 간 동기화를 지원한다는 점에서 사용자가 이용하는 클라우드...

패스키 애플 구글 1일 전

크롬 브라우저, 비밀번호 필요 없는 패스키 지원 시작

구글 크롬 브라우저가 사용자의 일상 생활을 더욱 안전하게 보호하는 패스키 기능을 추가했다. 웹 사이트 인증 시 스마트폰을 토큰으로 사용해 비밀번호 유출을 원천적으로 막는 기능이다. 구글에 따르면 패스키는 구글 비밀번호 관리자(Google Password Manager)나 패스키 지원 앱 안에 저장된다. 윈도우 11, 맥OS, 안드로이드 운영체제와 최신 버전 크롬 브라우저에서 지원된다. 가장 큰 장점은 직관적이라는 것이다. 사용자는 ID와 비밀번호 시스템에 이미 익숙하다. 비밀번호는 문자와 숫자의 복잡한 조합으로 이루어져 있고, 보통은 비밀번호가 길수록 더 안전하다. 그러나 일단 노출된 비밀번호를 알아내는 것은 엄청나게 쉽다. 따라서 비밀번호 관리자 프로그램을 쓰는 것이 가장 이상적이다. 무료 제품이라도 좋다. 무작위로 숫자와 영문 대소문자를 조합해 어려운 비밀번호를 제안하고 안전하게 저장하기 때문이다. 그러나 패스키는 비밀번호 구도를 떠나 스마트폰 안에 저장된 토큰이다. 인증 요청을 받으면 폰 안의 토큰이 사이트나 앱과 통신한다. 비밀번호는 아예 필요하지 않고, 저장되지도 입력될 일도 없다. 구글은 패스키가 모바일 기기 내에 머무르고 다른 곳으로 이전되거나 옮겨 가지 않는다고 밝혔다. 안전하게 생성된 코드가 전송될 뿐이고, 비밀번호와는 달리 유출될 것이 없다는 주장이다. 지난 5월 애플, 마이크로소프트, 구글이 합의한 비밀번호 없는 로그인 정책의 일환이기도 하다. 실제 사용례는 다음과 같다.   예시 속 가상의 은행 앱에서는 저장된 비밀번호를 입력하거나 패스키를 사용하는 선택지가 주어진다. 화면 잠금 패턴이나 지문 센서로 인증을 대체하면 된다. 그러나 일부 모바일 뱅킹 앱에는 이미 이 선택지가 있다. 사용자는 웹사이트 액세스와 동일하게 생체 인식 로그인 방식을 이용한다. 앱이 더 안전하다면 굳이 은행의 웹사이트를 방문할 필요가 없을 것이다. 그러나 패스키를 사용하면 지원하는 웹사이트에서도 비밀번호를 대체해 보안 수준을 높일 수 있다. ...

패스키 비밀번호관리자 크롬브라우저 2022.12.12

글로벌 칼럼 | 애플이 하면 낯선 것도 표준이 된다

이른바 ‘고질라 문제(Godzilla Problem)’다. 애플은 워낙 크고 영향력도 막강해서 한 걸음 한 걸음이 어딘가의 누군가에게 막대한 영향을 미친다. 고질라가 지나간 곳에는 거대한 발자국과 그 발에 밟힌 잔해가 남는다.  몸집이 큰 모든 ‘공룡 ’기업이 그렇듯이, 애플도 조심조심 걸어야 할 때와 전력을 다해 질주해야 할 때를 안다. 애플의 모든 선택, 특히 아이폰과 관련된 선택은 시장을 움직이고 공급업체의 흥망성쇠를 결정하고 기술 업계의 궤도를 바꾼다.   애플은 처음 아이폰을 발표하면서 그때까지 사용자의 휴대폰을 좌지우지했던 이동통신사의 지배력을 없앴다. 애플은 직접 만든 인터페이스를 건드리지 않는 데 동의한 사업자에만 아이폰을 공급했다. 미국에서는 AT&T(당시 Cingular)가 동의했고, 동의하지 않은 나머지는 역사 속으로 사라졌다. 그리고 지금, 그때와 똑같은 상황이 다시 벌어지고 있다. eSIM에 대해 애플은 그 강력한 힘을 활용해 아이폰 14를 통해 신기술인 eSIM 도입을 이끌고 있다. 지금까지 모든 스마트폰에는 이동통신망 연결을 위해 기기의 ‘ID’가 저장된 SIM이라는 초소형 스마트카드가 탑재됐다. 그런데 시간이 지나면서 이 정보를 기기에 손쉽게 저장하고 다른 기기로 전송할 수도 있게 되면서 SIM의 필요성이 없어졌다. 누군가가 SIM 역할을 대체할 eSIM을 고안했고 SIM 카드는 곧 사라질 운명에 처했다. (많은 새로운 기술에서 그랬듯이 이번에도 애플은 eSIM 지원 스마트폰을 출시한 최초의 기업이 아니다. 최초 타이틀은 삼성이 차지한 것으로 보인다.) 그러나 eSIM으로의 변화는 빠르게 일어나지 않았다. 하던 대로 하는 것이 훨씬 쉬웠기 때문이다. eSIM의 인기가 높아진 것은 사실이지만, SIM 카드는 여전히 수많은 국가에서 필수 요건이다. 이동통신사들은 물리적 카드의 필요성을 없앨 경우 고객이 더 쉽게 통신사를 바꿀 수 있다는 점을 우려하는 것으로 보인다. 그러나 필자가 생각하...

애플 eSIM SIM 2022.09.29

"로그인의 미래" 애플 패스키 미리 써보니⋯

애플 ‘패스키(Passkey)’는 올해 말 맥OS 13 벤투라(Ventura), iOS 16, 아이패드OS 16을 통해 공개될 새로운 웹 사이트 로그인 기능이다. 패스키를 이용하면 업계 공통의 산업 표준을 기반으로 한번 설정한 후 간편하게 암호화된 로그인을 할 수 있다. 앞으로 몇 주 또는 몇 개월 안에 패스키가 공개되고 구글과 마이크로소프트가 호환 기술에 대한 지원을 발표하면 올가을 여러 웹 사이트에서 패스키로 로그인하는 옵션을 추가로 볼 수 있게 된다.   애플은 iOS 15, 아이패드OS 15의 사파리와 맥OS 12 몬터레이(Monterey)의 사파리 15에 패스키 기능을 내장했다. 덕분에 새 운영체제의 공개 베타를 설치하지 않고도 패스키 기능을 써볼 수 있다. 이제 패스키가 작동하는 프로세스를 살펴보자.   웹 사이트에 패스키 등록하기 패스키는 일반적으로 공개키 암호 기법이라고 알려진 한 쌍의 암호화키로 구성된다. 패스키의 기반 기술인 웹오슨(WebAuthn)을 지원하는 서버를 방문하면 브라우저가 암호화 쌍의 공개 키를 제공한다. 공개키는 직접 로그인에 사용할 수 없지만 신원을 증명하는 역할을 한다. 기기에서 생성되고 기기 내에 로그인에 사용되는 비공개 키가 저장된다. 패스키를 등록하려면 먼저 패스키를 지원하는 웹 사이트로 이동한다. 여기서 패스키를 지원한다는 것은, 웹오슨을 지원하거나 FIDO2, CTAP, ‘다중 기기 FIDO 자격 증명’과 호환된다는 것을 의미한다. 용어는 복잡하지만 결국 애플이나 구글, 마이크로소프트 패스키를 로그인 자격 증명으로 사용할 수 있다는 의미다. 참고로 FIDO2는 패스키를 만들고 웹오슨을 실행하는 핵심 기반 기술이다. 애플, 구글, 마이크로소프트가 회원사로 참여한 FIDO 얼라이언스(FIDO Alliance)가 이렇게 이름 붙였다. 패스키 등록 과정은 사이트에서 이중인증(2FA)을 등록하거나 유비코(Yubico)가 만든 것과 유사한 웹오슨용 하드웨어 키를 사용하는 방식과 매우 비슷하다. 이를 ...

패스키 PassKey 2022.09.08

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.