[IT 동아] [IT하는법] 로그인 쉬워지는 ‘패스키’, 이용 방법은?

[IT동아 권택경 기자] 지난해 12월 삼성전자가 갤럭시 원 UI 업데이트에서 패스키 지원을 추가하며 해당 기술이 주목받은 바 있다. 패스키는 비밀번호를 대체하는 차세대 인증 수단이다. 비밀번호가 많은 보안 사고의 원인이 되자, 이를 대체할 수단을 마련하기 위해 정보통신 업계와 관련 단체들이 머리를 맞댄 결과로 개발됐다.

쉽고 빠르면서도 안전한 인증수단을 만드려는 기업들의 연합(FIDO 얼라이언스), 웹 표준을 개발하는 컨소시움 등이 함께 패스키의 기반이 되는 웹오슨(WebAuthn)이라는 표준을 마련했다. 구글, 마이크로소프트, 애플 등 주요 스마트폰 제조사, 빅테크 기업들도 최근 1~2년 사이 패스키 지원에 나서며 힘을 싣고 있다.

패스키는 공개 키와 비공개 키, 두 키의 짝으로 이뤄진 ‘키쌍’으로 비밀번호를 대체한다. 예를 들어 구글 계정에서 패스키를 만들면 구글 서버에는 공개 키가, 이용자의 기기에는 비공개 키가 저장된다. 두 키를 비교·검증해서 이용자 신원이 확인됐을 때만 로그인된다.

이 때 공개 키는 암호화가 되고, 비공개 키는 이 공개 키의 암호를 푸는 역할을 한다. 그래서 설령 서버에서 공개 키가 유출되더라도 암호를 풀 비공개 키가 없다면 무용지물이다.

물론 패스키도 완벽한 보안 수단인 건 아니다. 하지만 편의성이 높으면서도 패스워드보다도 안전하다는 게 장점이다. 문자 메시지나 OTP를 통한 2단계 인증처럼 번거로운 과정이 필요 없고, 생체인증, 비밀번호, 보안 패턴 등으로 스마트폰이나 노트북의 잠금 해제만 하면 로그인할 수 있다.

현재 패스키를 지원하는 사이트 중 대표적인 곳인 구글에서 패스키를 사용하는 법을 소개한다.

구글에서 패스키를 추가하려면 먼저 스마트폰이나 PC 웹브라우저로 구글에 로그인한다. 로그인 후 계정 관리 화면의 ‘보안’ 메뉴에 들어가면 ‘Google에 로그인하는 방법’ 항목 아래에서 패스키 추가 버튼을 누른다.

이후 스마트폰에서 지문, 얼굴인증 등 기기 잠금 해제와 같은 인증 절차만 거치면 패스키가 생성된다.

패스키 생성을 마쳤다면 다음에 구글에 로그인할 때 번거롭게 비밀번호를 입력하거나, 2단계 인증을 하지 않아도 손쉽게 로그인 가능하다.

패스키를 지원하는 다른 웹사이트, 서비스들도 과정은 대체로 비슷하다. 계정을 만들 때부터 패스키를 생성하거나, 계정을 만든 후라면 계정 관리 화면에서 패스키를 추가로 생성할 수 있다. 패스키를 만들고 나면 이후에는 기기 인증 과정만 거치면 바로 로그인되니 패스키를 지원하는 곳에서는 적극적으로 활용해보길 권한다.

참고로 스마트폰에서 생성한 패스키로 PC 로그인을 경우에는 QR 코드나 블루투스 연동으로 인증해 로그인하는 방법도 사용할 수 있다. 다만 웹사이트에 따라서는 아직 이런 연동 기능이 지원되지 않는 경우도 있다. 이럴 때는 기기마다 패스키를 따로 등록해서 사용하면 된다.

글 / IT동아 권택경 (tk@itdonga.com)