2025년 현재, 디지털 인증의 패러다임이 빠르게 바뀌고 있습니다. 그 중심에 있는 기술이 바로 패스키(Passkey)입니다. 한 번의 지문, 혹은 얼굴 인식만으로 로그인은 끝납니다. AI 피싱과 크리덴셜 스터핑 공격이 일상이 된 지금, 비밀번호는 더 이상 안전하지도, 효율적이지도 않습니다. 글로벌 기업들이 앞다퉈 패스키를 도입하는 이유, 왜 지금 이 기술이 주목받는지, 그리고 어떻게 로그인 미래를 바꿔놓을지, 지금부터 살펴보겠습니다.

패스키란(Passkey)?

패스키(Passkey)는 FIDO2 표준을 기반으로 한 비밀번호 없는 인증 방식으로, 사용자가 비밀번호를 입력하지 않고도 안전하게 로그인할 수 있는 기술이죠. 이 방식에서는 사용자 기기에서 공개키-개인키 쌍을 생성해, 공개키는 서버에 저장되고 개인키는 기기 내에만 보관됩니다. 지문, 얼굴 인식, PIN 등으로 본인을 인증하면, 두 키의 일치를 통해 로그인 승인이 이루어집니다. 클라우드 동기화 패스키란 기기 내 안전 영역에 저장되는 개인키를 애플이나 구글 등 클라우드 플랫폼 영역에 동기화하여, 인증 시에 패스키 로그인 버튼을 클릭한 뒤 스마트폰의 생체인식으로 손쉽게 로그인할 수 있도록 기능을 제공합니다. 외부로 유출될 비밀번호 자체가 존재하지 않아 피싱이나 크리덴셜 스터핑에도 매우 강한 보안성을 가집니다

주요 장점

• 피싱 차단: 등록된 도메인 외에는 인증이 작동하지 않음

• 정보 유출 방지: 서버가 해킹돼도 개인키는 유출되지 않음

• 빠르고 간편: 로그인 속도는 비밀번호 대비 40% 이상 빠름

• 운영 비용 절감: 비밀번호 재설정 요청 85% 감소, 헬프데스크 콜 30% 감소 (출처: 디지털투데이 및 아이티데일리)

글로벌과 국내의 패스키 확산 흐름

FIDO 얼라이언스에 따르면, 패스키에 대한 인지도는 2022년 39%에서 2024년 57%로 크게 증가했습니다. 현재 전 세계적으로 약 80억 개 이상의 사용자 계정에 패스키가 적용되었으며, 한 번 패스키를 사용해본 경험이 있는 사용자 중 62%는 이후에도 계속해서 패스키를 사용하는 것으로 나타났습니다. 이는 패스키가 단순한 보안 기술을 넘어, 실제 사용성과 지속성을 모두 갖춘 인증 방식으로 자리 잡아가고 있음을 보여줍니다. (출처: 아이티데일리)

대표 기업의 적용 사례

• 구글: 8억 계정에 패스키 서비스 제공, 25억 건 이상 로그인 완료

• 마이크로소프트: MS Authenticator에서 비밀번호 저장 기능 종료, 패스키 서비스 제공

• 애플: iCloud를 통해 애플 패스키 서비스 제공 • 아마존: 전체 사용자에 클라우드 동기화 패스키 적용, 로그인 속도 2배 향상

• 메타: 페이스북, 메신저에서 클라우드 동기화 패스키 로그인 적용 확대

국내 도입 현황

• 카카오: 웹 기반 로그인 패스키 전면 도입

• SK텔레콤: 인증 앱 ‘패스(PASS)’에 패스키 기능 탑재, B2B SaaS 제공

• KT: 자사 모바일 앱에서 패스키 로그인 기능 운영

• 금융권: 주요 은행, 증권사 등 2025년 시범 적용 본격화 예정

왜 지금 패스키인가?

AI 피싱의 진화

AI 기술의 발전으로 피싱 공격도 더욱 정교해졌습니다. 실제 로그인 페이지와 거의 구분이 안 되는 피싱 사이트가 AI 툴로 쉽게 만들어지면서, 사용자는 속기 쉬운 환경에 놓이게 되었죠. 이런 상황에서 비밀번호 기반 인증은 피싱에 속수무책일 수밖에 없습니다. 결국, 비밀번호 자체를 없애는 패스키 방식이 더 안전한 대안으로 떠오르고 있습니다.

크리덴셜 스터핑, 반복되는 유출

크리덴셜 스터핑 공격 또한 갈수록 심각해지고 있습니다. 재사용된 비밀번호를 무작위로 대입해 계정을 탈취하는 방식으로, 2024년 한 해에만 4억 건 이상 발생했습니다. 많은 기업들이 2단계 인증이나 서버 보안을 강화하고 있지만, 비밀번호 자체가 존재하는 한 근본적인 해결은 어렵습니다.

*크리덴셜 스터핑: 유출된 계정 정보(아이디/비밀번호)를 이용하여 여러 웹사이트나 서비스에 무단으로 접근하려는 사이버 공격 기법

FAQ: 패스키에 대해 자주 묻는 질문

Q1. 패스키는 생체인증만 가능한가요?

아닙니다. 패스키는 생체정보 외에도 기기에 등록된 PIN, 패턴, 디바이스 잠금 방식 등 사용자의 본인 인증 수단을 그대로 활용합니다. 즉, 생체인증이 불가능한 환경에서도 기기 내 인증 수단만 설정되어 있다면 패스키 사용이 가능합니다. 이는 FIDO2(WebAuthn) 표준에서 정의된 인증 장치의 로컬 인증 방식을 따르기 때문입니다.

Q2. 기기를 분실하거나 초기화하면 패스키도 사라지나요?

패스키는 사용자의 플랫폼 계정(Google, Apple 등)과 연동되어 클라우드에 안전하게 백업·동기화됩니다. 따라서 새로운 기기에서 동일한 계정으로 로그인하면 패스키가 자동 복원됩니다. 단, 클라우드 기반이 아닌 디바이스 바인딩 방식의 패스키는 해당 기기와만 연동되기 때문에 복구가 불가능하며, 재등록이 필요합니다. 기업 환경에서는 두 방식을 선택적으로 적용할 수 있습니다.

Q3. 크로스 플랫폼 환경에서도 패스키 사용이 가능한가요?

네. 드림시큐리티는 크로스 플랫폼 인증을 지원하는 구조를 제공합니다. 예를 들어, PC(Windows)에서 로그인 요청을 하고, 모바일(iOS)에서 지문으로 인증하는 등의 흐름이 가능합니다. 이는 WebAuthn의 “hybrid transport” 구조와 플랫폼 간 passkey 동기화를 지원하는 FIDO2 플랫폼 인증기(Authenticator) 연동을 통해 가능합니다.

드림시큐리티가 제안하는 Passkey

드림시큐리티에서는 구글, 애플 등 글로벌 플랫폼에서 제공하는 패스키 기능과 드림시큐리티의 FIDO 인증 기술을 결합해, 플랫폼 호환성과 보안성을 동시에 갖춘 인증 환경을 제공합니다.

• 크로스 플랫폼 인증 지원 (예: PC에서 로그인 요청 → 모바일에서 인증 진행)

• 서비스별 고유 Passkey 생성 및 자동 동기화

• 클라우드/디바이스 바인딩 방식 모두 지원

• FIDO 인증 기반의 안전한 생체 인증

• 다양한 OS 및 브라우저 호환 (iOS, Android, Chrome, Safari 등)

결론: 패스키가 바꾸는 미래. 로그인은 더 빠르고, 더 간편하게

패스키는 단순히 비밀번호를 대체하는 기술 그 이상입니다. 지문이나 얼굴 인식만으로 빠르고 간편하게 인증할 수 있어 사용자 경험이 크게 향상되며, 서비스 제공자 역시 인증 실패 감소와 헬프데스크 부담 완화라는 효과를 얻을 수 있습니다. AI 피싱과 대규모 인증 공격이 현실이 된 지금, 패스키는 더 이상 선택이 아닌 필수 보안 전략입니다. 글로벌 기업들은 이미 패스키로 전환하고 있으며, 국내도 이제 전환의 시점에 와 있습니다. 드림시큐리티는 인증 보안 전문 기업으로서, 다양한 시스템과의 연동 구축 역량을 바탕으로 비밀번호 없는 디지털 환경을 고객과 함께 만들어 가고 있습니다.