요즘 네이버나 카카오에 로그인할 때 비밀번호 대신 지문으로 툭 하고 들어가는 경험, 해보셨죠? 이게 바로 ‘패스워드리스 로그인’입니다. 마이크로소프트는 2025년 5월부터 아예 모든 신규 계정에서 패스워드리스를 기본으로 적용하기 시작했어요. 비밀번호 시대가 정말 끝나가는 걸까요?
그런데 한 가지 궁금증이 생깁니다. 비밀번호보다 정말 안전한 걸까요? 아니면 편리함 뒤에 숨은 새로운 위험은 없을까요? 오늘은 패스워드리스 로그인의 보안 구조를 샅샅이 뜯어보고, 전문가들도 걱정하는 취약점까지 솔직하게 파헤쳐보겠습니다.
패스워드리스 로그인이 뭐길래 이렇게 난리일까?
패스워드리스(Passwordless) 인증은 말 그대로 비밀번호 없이 로그인하는 방식입니다. ‘qwer1234!’ 같은 복잡한 비밀번호 대신 지문, 얼굴 인식, 또는 ‘패스키(Passkey)’라는 암호화 키를 사용하죠.
사실 비밀번호는 문제투성이였어요. 2024년 한국인터넷진흥원 통계를 보면 국내 사이버 침해사고 신고가 1,887건이나 됐는데, 상당수가 비밀번호 유출과 관련이 있었습니다. 여러분도 혹시 같은 비밀번호를 여러 사이트에서 돌려쓰고 계신가요? 바로 이게 문제의 시작이에요.
FIDO2와 패스키, 패스워드리스의 핵심 기술
패스워드리스의 심장은 FIDO2(Fast Identity Online 2) 기술입니다. 애플, 구글, 마이크로소프트가 모두 지원하는 국제 표준이죠.
작동 원리는 이렇습니다
- 공개키-개인키 한 쌍 생성: 회원가입할 때 여러분의 스마트폰이나 컴퓨터에서 암호화 키 2개를 만듭니다.
- 개인키는 기기에, 공개키는 서버에: 개인키는 절대 인터넷을 타고 나가지 않고 여러분 기기에만 저장됩니다. 서버엔 공개키만 보관하죠.
- 로그인할 때: 서버가 “이 문제 풀어봐”라고 문제를 던지면, 여러분 기기가 개인키로 답을 만들어 보냅니다. 서버는 공개키로 확인해서 본인이 맞으면 로그인 완료!
핵심은 비밀번호가 서버에 저장되지 않는다는 겁니다. 해커가 서버를 뚫어도 가져갈 게 없어요.
2025년 대세, 패스키
패스키는 FIDO2를 실생활에서 쓰기 편하게 만든 기술입니다. 아이폰에서 생성한 패스키가 아이클라우드를 통해 맥북, 아이패드에도 자동으로 동기화되죠. 네이버는 2025년 1월부터, 카카오는 2024년 11월부터 패스키 로그인을 도입했습니다.
진짜 안전한가? 보안 전문가들의 평가
가트너는 2027년까지 직원 인증의 75%가 패스워드리스로 전환될 거라고 예측했습니다. 그만큼 보안성을 인정받았다는 뜻이죠.
패스워드리스의 보안 강점
피싱 공격에 강력합니다: 가짜 네이버 사이트를 만들어도 소용없어요. 패스키는 도메인 정보가 포함되어 있어서 진짜 네이버에서만 작동합니다.
무차별 대입 공격 무용지물: 비밀번호 추측? 그런 거 필요 없죠. 암호화 키는 컴퓨터가 생성한 수십 자리 랜덤 코드니까요.
데이터 유출 위험 감소: 2022년 HYPR 보고서에 따르면 전체 보안 침해 사고의 81%가 비밀번호와 관련 있었는데, 패스워드리스는 아예 서버에 비밀번호를 저장하지 않습니다.
하지만 완벽하진 않다. 전문가들이 지적하는 위험요소
1. 클라우드 동기화의 함정
2024년 FIDO 얼라이언스와 유비코가 공동 경고를 발표했습니다. “클라우드 동기화형 패스키는 기업에서 위험할 수 있다”고요.
문제는 이렇습니다. 아이클라우드나 구글 클라우드 계정이 해킹당하면? 그 안에 저장된 모든 패스키가 위험에 노출됩니다. 계정 복구 과정을 악용해 공격자가 새 기기를 등록할 수도 있죠.
대응 방법: 기업은 클라우드 동기화 대신 USB 보안키 같은 ‘기기 종속형 패스키’를 사용하는 게 안전합니다. 개인 사용자는 클라우드 계정에 강력한 2단계 인증을 꼭 걸어두세요.
2. 기기 도난의 위험
패스키는 ‘온라인 공격’엔 강하지만 ‘오프라인 공격’엔 취약합니다. 스마트폰을 잃어버렸는데 PIN이 ‘1234’ 같은 단순한 번호라면? 도둑이 기기 잠금을 풀고 모든 계정에 접근할 수 있습니다.
대응 방법:
- 기기 PIN을 복잡하게 설정하세요 (최소 6자리, 숫자+문자 조합)
- 생체인식(지문, 얼굴)을 반드시 활성화하세요
- ‘내 디바이스 찾기’ 같은 원격 잠금 기능을 켜두세요
3. 딥페이크 위협의 부상
2025년 아시아-태평양 지역에서 딥페이크 공격이 급증하고 있습니다. 얼굴 인식을 사용하는 패스키의 경우, 고급 딥페이크 기술로 생체정보를 위조할 가능성이 있죠.
최신 스마트폰들은 ‘라이브니스 탐지(Liveness Detection)’ 기술로 진짜 얼굴인지 확인하지만, 기술 경쟁은 계속됩니다.
4. 진짜 패스워드리스가 아닌 경우도 많다
충격적인 조사 결과가 있습니다. 2025년 한 보안 연구에서 “패스워드리스를 사용한다”고 답한 기업 중 실제로는:
- 58%가 여전히 OTP를 쓰고 있었고
- 54%는 하드웨어 토큰을
- 50%는 뒤에서 비밀번호를 숨겨놓고 쓰고 있었습니다
진짜 패스워드리스는 고작 3%뿐이었죠. 이름만 패스워드리스인 ‘가짜 패스워드리스’는 여전히 피싱 공격에 취약합니다.
5. 브라우저 확장 프로그램의 위험
2024년 SquareX 연구팀이 발견한 취약점입니다. 악성 브라우저 확장 프로그램(크롬 확장 등)이 WebAuthn 호출을 가로채서 패스키 등록이나 로그인 과정을 탈취할 수 있다고 합니다.
대응 방법: 출처가 확실하지 않은 브라우저 확장 프로그램은 설치하지 마세요.
6. 레거시 시스템 호환 문제
오래된 사내 시스템이나 공공기관 웹사이트는 아직 FIDO2를 지원하지 않는 경우가 많습니다. 결국 비밀번호와 패스워드리스를 동시에 써야 하는 과도기적 상황이 생기죠.
실제 취약점 사례: CVE-2025-26788
2025년 실제로 발견된 패스키 취약점이 있습니다. 보안 기업 StrongKey의 FIDO 서버에서 발견된 CVE-2025-26788 취약점인데요, 사용자 확인 절차를 우회할 수 있는 버그였습니다.
다행히 빠르게 패치됐지만, 이 사례는 구현 방식에 따라 패스키도 취약할 수 있다는 걸 보여줍니다. 패스키 기술 자체는 안전하지만, 그걸 웹사이트나 앱에 어떻게 구현하느냐가 중요하다는 거죠.
기업이 패스워드리스를 도입할 때 주의사항
1. 단계별 전환이 필수
가트너는 “빅뱅 방식의 전환은 실패한다”고 경고합니다. 한 번에 모든 시스템을 바꾸려 하지 말고, 중요도가 낮은 시스템부터 천천히 적용하세요.
2. 대체 인증 수단 마련
패스키가 작동하지 않을 때를 대비한 백업 방법이 있어야 합니다. 예를 들어 이메일 인증, SMS 인증 등이죠.
3. 직원 교육이 중요
“이제 지문으로 로그인하세요”라고만 하면 안 됩니다. 왜 안전한지, 기기를 분실하면 어떻게 대응해야 하는지 충분히 교육해야 합니다.
개인 사용자를 위한 패스워드리스 안전 수칙
- 클라우드 계정 보안 강화: 구글, 애플, 마이크로소프트 계정에 2단계 인증을 반드시 설정하세요.
- 기기 보안 철저히: PIN은 복잡하게, 생체인식은 필수로 켜두세요.
- 정기적인 보안 점검: 어떤 기기에서 패스키를 사용 중인지 확인하고, 쓰지 않는 기기는 삭제하세요.
- 신뢰할 수 있는 서비스만: 아무 사이트에나 패스키를 만들지 마세요. 네이버, 카카오, 구글 같은 대기업 서비스 위주로 사용하는 게 안전합니다.
- 복구 방법 미리 확인: 기기를 잃어버렸을 때 계정을 어떻게 복구할 수 있는지 미리 알아두세요.
2025년 이후 패스워드리스의 미래
양자컴퓨팅 대비 시작
양자컴퓨터가 상용화되면 현재의 암호화 방식이 뚫릴 수 있습니다. 이미 ‘포스트 양자 암호화(PQC)’ 알고리즘 개발이 진행 중이에요.
행동 기반 인증의 결합
타이핑 패턴, 마우스 움직임, 위치 정보를 활용한 ‘행동 분석(UEBA)’ 기술이 패스워드리스와 결합될 예정입니다. 로그인 후에도 지속적으로 본인인지 확인하는 거죠.
블록체인 기반 분산 ID
블록체인 기술을 활용한 ‘분산 ID(DID)’가 패스워드리스와 만나면, 개인정보를 직접 관리하면서도 안전하게 인증할 수 있습니다.
결론: 패스워드리스, 써야 할까 말아야 할까?
답은 “조심스럽게 써야 한다”입니다.
패스워드리스는 분명 비밀번호보다 훨씬 안전한 기술입니다. 피싱 공격, 무차별 대입 공격, 데이터 유출 위험을 크게 줄여주죠. 마이크로소프트는 “99% 이상의 사용자가 윈도우 헬로로 로그인한다”고 발표했고, 실제로 보안 침해 사고가 줄었다고 합니다.
하지만 만능은 아닙니다. 클라우드 계정 보안, 기기 도난, 딥페이크 위협, 구현 오류 같은 새로운 위험 요소가 있어요. 중요한 건 어떻게 사용하느냐입니다.
개인 사용자라면 네이버, 카카오 같은 서비스부터 패스키를 시도해보세요. 단, 클라우드 계정 보안을 먼저 강화하고요. 기업이라면 중요 시스템에는 기기 종속형 패스키를 사용하고, 단계적으로 전환하는 게 안전합니다.
비밀번호 없는 세상이 정말 올까요? 아마도 그럴 겁니다. 하지만 그 세상에서도 우리는 계속 조심해야 할 거예요. 기술은 진화하지만, 해커들도 함께 진화하니까요.
자주 묻는 질문
Q. 패스키를 사용하는 기기를 잃어버리면 어떻게 하나요? A. 클라우드 동기화를 사용했다면 다른 기기에서 로그인할 수 있습니다. 만약 하드웨어 키만 있었다면, 대부분의 서비스는 이메일이나 SMS로 계정을 복구할 수 있는 절차가 있습니다.
Q. 모든 웹사이트에서 패스키를 쓸 수 있나요? A. 아니요. 웹사이트가 FIDO2를 지원해야 합니다. 2025년 현재 구글, 애플, 마이크로소프트, 네이버, 카카오 등 주요 서비스는 지원하지만, 작은 사이트나 오래된 사이트는 아직 지원하지 않는 경우가 많습니다.
Q. 패스키가 비밀번호보다 정말 안전한가요? A. 온라인 공격(피싱, 해킹)에는 훨씬 안전합니다. 하지만 기기를 도난당하거나 클라우드 계정이 해킹당하면 위험할 수 있으므로, 기본 보안 수칙을 반드시 지켜야 합니다.