비밀번호의 대안: Google Workspace에 도입되어 고객의 보안을 혁신적으로 개선해 주는 패스키

* 본 아티클의 원문은 2023년 6월 6일 Google Cloud 블로그(영문)에 게재되었습니다.

비밀번호가 컴퓨터에 60년 넘게 사용되어 왔지만 이제 비밀번호만으로 사용자와 조직의 데이터를 안전하게 보호하기엔 역부족인 시대가 되었습니다. 피싱 공격은 비밀번호의 보안 취약점을 악용하는 방식으로 갈수록 그 규모와 정교함을 더해가고 있습니다. 예를 들면 다음과 같습니다.

• 2021년에 발생한 정보 유출의 60% 이상에 사용자 인증 정보 탈취 또는 피싱 수법이 이용됨
• 2022년 피싱으로 인한 정보 유출이 조직에 끼친 손실이 평균 491만 달러에 달함
• 2022년 피싱 공격이 6개월 만에 61% 증가하며 2억 5,500만 건에 이름

Google은 지난 10년간 피싱 및 비밀번호 관련 위협을 막는 데 앞장서 왔습니다. 이러한 노력의 일환으로 Google AI 기반의 자동 방어 기능을 선보였으며, 실물 보안 키를 개발하고 FIDO Alliance와 함께 이를 표준화하는 데에도 앞장섰습니다. 전반적으로 더 간단하고 안전해 비밀번호의 대안으로 각광받는 패스키는 전 세계 수십억 명의 사용자를 피싱으로부터 보호하는 기술을 개발하기 위해 애써온 노력의 결정체입니다. 5월 초, Google에서는 개인 Google 계정의 추가 로그인 옵션으로 패스키를 사용할 수 있도록 제공한 바 있습니다. 오늘부터는 900만 개가 넘는 조직에서 공개 베타 버전을 통해 사용자에게 비밀번호 대신 패스키를 사용해 Google Workspace 및 Google Cloud 계정에 로그인할 수 있는 옵션을 지원할 수 있게 되었습니다.

패스키는 사용자에게 보안 및 사용성 측면에서 의미 있는 이점을 제공합니다. Google은 주요 퍼블릭 클라우드 제공업체로는 최초로 이 기술을 중소기업부터 대기업, 학교 및 정부에 이르는 고객사에 제공하게 되어 기쁘게 생각합니다. 사용자는 여전히 비밀번호를 통해 업무용 및 개인용 Google 계정에 로그인할 수 있지만, 더 간단하고 안전한 대안인 패스키를 사용하면 피싱 및 기타 소셜 엔지니어링 공격의 영향을 줄일 수 있습니다.

패스키란?

패스키는 비밀번호를 없앤 신개념 로그인 수단으로, 사용자가 스마트폰, 노트북, 데스크톱에서 디지털 지문, 얼굴 인식, 기타 화면 잠금 메커니즘으로 로그인할 수 있도록 웹사이트와 앱 전반에 편리하고 안전한 인증 환경을 구현합니다. 패스키는 업계 표준을 기반으로 하며 Android, ChromeOS, iOS, macOS, Windows를 비롯해 사람들이 일상적으로 사용하는 인기 브라우저와 운영체제 전반에서 사용할 수 있습니다. 비밀번호와 달리 패스키는 기억하거나 입력할 필요가 없고 기록되거나 악의적 사용자에게 의도치 않게 유출되는 것도 불가능합니다. 패스키는 확실히 사용이 더 간편합니다. 실제로 Google의 초기 데이터(2023년 3월~4월)에 따르면 패스키가 비밀번호에 비해 속도는 2배 더 빠르고 오류 발생률은 4배 더 적은 것으로 나타났습니다.

패스키는 Titan 보안 키 등의 실물 보안 키와 동일한 공개 키 암호화 프로토콜을 기반으로 하므로 피싱 및 기타 온라인 공격에 더 강합니다. 실제로 Google의 연구 결과, 보안 키는 SMS, 앱 기반 일회용 비밀번호, 기타 기존 2단계 인증(2FA) 방식보다 자동 봇, 대규모 피싱 공격, 표적 공격에 맞서 더 강한 보호 역량을 발휘하는 것으로 확인되었습니다. 표적 공격을 받을 위험이 높아 고급 보호 프로그램에 가입한 사용자는 이제 패스키의 높은 피싱 방어력 덕분에 실물 보안 키에 더해 패스키까지 사용할 수 있게 되었습니다.

Snap Inc.에서는 이미 패스키를 활용해 직원의 비밀번호 관리 부담을 줄이고 보안을 강화했습니다. Snap Inc의 CISO인 짐 히긴스는 "Google Workspace팀과 협력해 비밀번호를 패스키 방식으로 바꾼 결과 비밀번호 유출 가능성과 직원 계정 탈취 위험이 줄었습니다."라고 이야기하며 다음과 같이 덧붙였습니다. "당사 보안팀은 Google과의 보안 협력을 강화하고 있으며 패스키 도입을 전사적으로 확장해 보다 안전하고 편리한 로그인 환경을 제공할 수 있게 되어 기쁘게 생각합니다."

패스키는 사용자 개인 정보 보호까지 고려해 설계되었습니다. 사용자가 패스키로 Gmail이나 Google Drive 같은 Workspace 앱에 로그인할 때, 패스키는 사용자에게 기기에 대한 액세스 권한이 있으며 사용자가 디지털 지문, 얼굴 인식 또는 기타 화면 잠금 메커니즘으로 기기의 잠금을 해제할 수 있는지 확인할 수 있습니다. 사용자의 생체 인식 데이터는 Google 서버 또는 다른 웹사이트 및 앱으로 절대 전송되지 않습니다. 패스키의 작동 방식을 좀 더 자세히 살펴보려면 기술 블로그 게시물을 확인하세요.

시작하기

Google은 오늘부터 몇 주에 걸쳐 사용자용 패스키와 Workspace 관리자용 제어 기능을 순차적으로 공개할 예정입니다.

관리자는 조직 내 사용자가 패스키를 사용해 로그인할 때 비밀번호를 건너뛰도록 허용할 수 있습니다. 기본적으로는 이 설정이 해제되어 있기 때문에 사용자가 로그인할 때 비밀번호 입력을 건너뛸 수 없지만 2단계 인증(2SV) 수단으로 패스키를 생성하고 사용하는 것은 가능합니다. 사용자가 비밀번호를 건너뛸 수 있도록 허용하려면 관리자가 관리 콘솔에서 간단한 설정 단계를 따르면 됩니다.

Google Workspace와 Google Cloud에서 패스키를 비밀번호 대신 또는 2단계 인증 수단으로 사용하려는 사용자는 g.co/passkeys를 방문하세요.