애플 새 로그인체계 '패스키' 하반기 도입…"비밀번호 필요없어"

"기기·습관을 바꾸지 않아도 더 강력한 수준의 보안 제공"
구글·아마존·MS·삼성전자 등도 비밀번호 완전 폐지 추진
WSJ " 비밀번호를 완전히 없애기는 아직 일러"

↑ 사진=연합뉴스

애플이 올해 하반기부터 패스키를 도입할 것이라고 예고한 가운데, 애들러 부사장과 커트 나이트 디렉터가 이에 대해 자세히 설명했습니다. 패스키는 앱 혹은 웹사이트에 로그인할 때 쓰이던 기존의 아이디·비밀번호 방식과 달리, 서버에 비밀번호 정보를 남기지 않는 것으로 알려졌습니다.

오늘 연합뉴스 보도에 따르면 애플의 애들러 부사장과 커트 나이트 디렉터는 지난 28일 패스키와 관련한 기능을 기자에게 설명한 뒤 질문에 답하는 방식으로 인터뷰를 진행했습니다. 애플은 여전히 널리 쓰이고 있는 기존 아이디·비밀번호 기반 로그인 체계가 원천적으로 심각한 보안 문제를 노출할 수밖에 없다는 점 때문에 패스키 시스템 도입을 결정한 것으로 알려졌습니다.

나이트 디렉터는 "비밀번호는 추측하기 쉽고 피싱 또는 웹사이트 해킹을 통해 노출될 여지가 크다"면서 "비밀번호 인증을 대체하기 위한 시도가 없던 것은 아니지만 주로 기업용으로 사용하는 데 그쳤다"고 설명했습니다.

↑ 다린 애들러 애플 부사장. / 사진=애플 제공.

패스키는 '종단 간 암호화'(end-to-end encryption) 기술을 이용해 유출되는 개인정보가 없도록 설계됐습니다. 종단 간 암호화 기술은 메시지를 보내는 곳부터 받는 곳까지 모든 과정에서 암호화 기술을 유지하는 정보 전송 방식입니다.

또한 패스키는 공개 키와 비공개 키로 나뉘며, 터치ID 또는 페이스 ID로 생체 인식 인증을 거쳐 로그인할 수 있습니다.

애플의 설명에 따르면, 패스키는 1960년대부터 정보 전송에 사용돼 온 '공개키 암호 방식'(public-key cryptography) 기술을 로그인 체계에 적용한 것입니다. 이용자가 로그인 아이디를 입력하면 서버에 저장된 공개 키가 기기에 있는 비공개 키를 비교·검증한 뒤 로그인 여부를 결정합니다. 이때 공개키는 암호화된 숫자로 구성됐으며 비공개키를 가진 사람이 로그인하는지 확인하는 역할만을 수행합니다.

애플은 패스키가 피싱을 사실상 불가능하게 하며, 해킹 등으로 웹사이트 정보가 유출되더라도 주요 정보에 접근할 수 없도록 한다고 설명했습니다. 애들러 부사장은 "공개키는 비밀이 아니기 때문에 웹사이트에서 정보가 유출되더라도 훔칠 개인정보가 없다"면서 "계정 보안에 대한 웹사이트 개발자들의 부담을 덜어줄 것으로 기대한다"고 말했습니다.

↑ 패스키. /사진=애플 홈페이지 캡처

또한 애플 것이 아닌 다른 운영체제를 사용하는 기기에서도 패스키를 사용할 수 있습니다. 보유한 아이폰·아이패드 카메라로 QR코드 인증을 한 뒤 블루투스 신호를 활용해 가까운 거리에 있다는 것을 증명하면 됩니다.

애들러 부사장은 "비밀번호 없이 로그인할 수 있는 웹 인증(WebAuthn) 표준을 적용했으며 기기를 분실하더라도 아이클라우드(iCloud) 키체인으로 패스키를 복구할 수 있도록 했다"고 덧붙였습니다.

그러면서 "패스키는 이미 가지고 있는 기기, 이미 가지고 있는 습관을 바꾸지 않아도 더 강력한 수준의 보안을 제공한다"라고 강조했습니다.

나이트 디렉터도 "비밀번호·패스워드를 개선하는 것이 아니라 훨씬 더 강력한 기능으로 대체한다"고 힘주어 말했습니다.

↑ 사진=애플 제공.

한편, 애플뿐만 아니라 구글·아마존·MS·삼성전자 등 글로벌 IT(정보 기술) 기업 250여 곳이 참여한 '파이도 연합'도 비밀번호 완전 폐지를 추진하고 있습니다. 파이도 연합은 지난 2012년 미국에서 출범한 비영리단체 ‘빠른 신원 확인을 위한 온라인 연합(FIDO·Fast IDentity Online Alliance)’의 약자입니다.

지난달에는 애플·구글·MS 등 빅테크 3사가 "비밀번호 없는 로그인 방식 확산을 위해 기술 협력을 강화하겠다"고 공동 발표하기도 했습니다.

이들은 지문·홍채·음성·얼굴 등 생체 인식 기술 도입을 집중적으로 연구해왔습니다. 지난 2014년에는 삼성전자와 페이팔이 협력해 '갤럭시S5' 스마트폰에 탑재된 지문 인식 기능으로 간편 결제 서비스 페이팔 인증과 결제를 동시에 해결할 수 있게 했습니다. MS도 '윈도10'에 지문으로 로그인하는 방식을 도입했습니다.

그러나 일각에서는 비밀번호를 완전히 없애기는 아직 이르다는 지적도 나오고 있습니다. 미국 월스트리트저널(WSJ)은 "프라이버시를 중시하는 이용자 일부는 얼굴과 지문만으로 로그인하는 방식을 꺼리고 있다"며 "(비밀번호를 완전히 없게 하려면) 항상 연결돼있는 여러 기기가 있어야 하기 때문에 보편적이지도 않다"고 설명한 바 있습니다.


[안유정 디지털뉴스부 인턴기자 dbwjd5550@naver.com]