패스키는 비밀번호의 대안으로 간주되며, 일반적으로 더 안전하고 사용하기 쉽다. 대부분 데이터 유출 사고의 주요 원인인 비밀번호를 더 이상 사용하지 않고, 인증 보안 수준을 높이기 위해 많은 기업이 (패스키를) 꾸준하게 도입 중이다.
이를테면 지난 5월 구글은 모든 주요 플랫폼의 구글 계정에서 패스키를 지원하기 시작했다. 작년에는 여러 빅테크 기업이 FIDO 얼라이언스(FIDO Alliance)와 월드 와이드 웹 컨소시엄(World Wide Web Consortium)에서 만든 비밀번호 없는 로그인 표준을 지원한다고 발표했다.
비밀번호 : 데이터 유출의 주요 원인
깃허브의 직원 제품 관리자 허쉬 싱갈은 “대부분의 보안 침해는 제로데이 공격의 산물이 아니라 공격자가 피해자 계정과 리소스에 광범위하게 접근할 기회를 제공하는 소셜 엔지니어링, 자격증명 도용 또는 유출 같은 비용이 적게 드는 공격의 결과”라면서, “실제로 모두가 사용하는 비밀번호는 데이터 유출 원인의 80% 이상을 차지한다”라고 말했다.패스키는 기존 보안키를 기반으로 더 쉬운 구성과 향상된 복구 기능을 추가해 계정 잠금의 위험을 최소화하면서 계정을 보호할 수 있는 안전하고, 비공개적이며, 사용하기 쉬운 방법을 제공한다고 싱갈은 언급했다. “무엇보다 패스키를 통해 ‘비밀번호 없는 인증’이라는 비전을 실현하는 데 더 가까워졌다. 비밀번호 기반의 침해를 완전하게 근절하는 데 도움이 된다”라고 싱갈은 전했다.
깃허브 계정으로 패스키를 사용하려면 ‘설정’ 사이드바로 이동해 ‘기능 미리보기’ 탭을 찾은 다음 ‘패스키 활성화’를 클릭한다. 아울러 깃허브 패스키는 사용자 인증이 필요하다. 싱갈에 따르면 사용자 인증은 사용자 본인을 나타내는 것 또는 사용자가 알고 있는 것(지문, 얼굴 또는 PIN) 그리고 사용자가 가지고 있는 것(물리적 보안키 또는 기기) 2가지 요소가 합쳐져 있다.
또 패스키는 휴대폰의 존재를 확인해 여러 기기에서 사용할 수 있으며, 일부 패스키는 여러 기기에서 동기화할 수 있어 키 분실로 계정이 잠기는 일이 없도록 할 수 있다고 싱갈은 덧붙였다.
소프트웨어 공급망 보안의 핵심 ‘개발자 계정 보호’
“개발자 계정은 소셜 엔지니어링 및 계정 탈취(ATO)의 빈번한 표적이 되며, 이런 유형의 공격으로부터 개발자를 보호하는 것이 공급망 보안에서 가장 중요한 첫 번째 단계다”라고 싱갈은 강조했다.싱갈에 의하면 패스키는 가장 강력한 보안과 안정성을 제공하며, SMS, TOTP 및 기존 단일 기기 보안키 같은 다른 2FA 방식에서 여전히 문제가 되고 있는 액세스 손상 없이 개발자 계정을 안전하게 보호할 수 있다. 싱갈은 “패스키를 통해 보안이 강화되면 비밀번호가 필요 없어져 비밀번호 도용 및 ATO를 방지할 수 있다”라고 덧붙였다.
editor@itworld.co.kr