최근 계정에 로그인할 때 비밀번호 대신 얼굴 인식(Face ID)이나 지문을 사용해 본 경험 있으신가요? 이처럼 비밀번호 입력 없이 생체인증이나 기기 PIN 같은 다른 수단으로 로그인하는 방식을 패스키(Passkey)라고 합니다. 최근에는 구글, 애플, 마이크로소프트 같은 글로벌 기업은 물론, 네이버나 카카오 등 국내 주요 플랫폼도 속속 패스키를 도입하면서 많은 사용자들이 비밀번호 없는 로그인 환경을 경험하고 있는데요.

패스키의 가장 큰 장점은 복잡한 비밀번호를 기억하거나 관리할 필요가 없다는 점입니다. 하지만 비교적 새로운 인증 방식이기에, 보안에 대한 우려가 공존하기도 합니다. 과연 패스키는 정말 안전할까요? 이번 글에서는 패스키의 개념부터 올바른 활용 방법, 그리고 주의해야 할 보안 포인트까지 살펴보겠습니다.

‍

■ 비밀번호를 대체하는 차세대 인증 기술, 패스키!

출처: Freepik

패스키(Passkey)는 기존의 비밀번호 입력 방식과는 전혀 다른 인증 구조를 갖습니다. 가장 큰 차이점은 사용자가 더 이상 ‘기억’을 통해 본인을 인증하지 않아도 된다는 점인데요. 우리가 익숙한 로그인 방식은, 사용자가 직접 비밀번호를 입력하고, 이 값을 서버가 저장된 정보와 비교해 본인을 확인하는 구조였습니다.

그러나 패스키는 이런 '기억 기반 인증' 대신, 사용자의 스마트폰이 일종의 전자서명 도장을 대신 찍어주는 방식으로 나를 증명합니다. 사용자가 스마트폰에서 지문이나 얼굴 인식 같은 생체인증을 통과하면, 기기 내부에서 고유한 전자서명이 생성됩니다. 이 전자서명이 바로 ‘나’라는 것을 증명하는 역할을 하는데요. 이 서명이 정말 유효한지, 위조되지 않았는지를 검증하는 절차가 필요하죠. 이 검증을 담당하는 것이 바로 FIDO 서버입니다. 여기서 'FIDO'란 ‘Fast Identity Online’의 약자로, 패스키가 따르는 국제 인증 표준입니다.

패스키는 서버에 비밀번호를 저장하거나 비교할 필요가 없어, 피싱, 크리덴셜 스터핑과 같은 전통적인 해킹 수법을 효과적으로 차단할 수 있습니다. 게다가 사용자의 생체정보나 인증 정보는 절대 외부로 전송되지 않고, 기기 내부에서만 처리되기 때문에 개인정보 보호 측면에서도 매우 유리하죠. 그래서 다중 인증(MFA)을 대체하거나 보완하는 수단으로도 주목 받고 있습니다.

‍

■ 피싱 공격에 속지 않는 패스키의 보안 구조

출처: Freepik

패스키가 주목받는 가장 큰 이유는 피싱 공격에 강력하게 대응할 수 있다는 점입니다. 기존의 비밀번호 기반 로그인은 사용자가 가짜 로그인 페이지에 속아 비밀번호를 입력하면, 그 즉시 계정 정보가 유출되는 치명적인 위험이 존재했습니다. 특히 최근에는 실제 사이트와 매우 유사한 UI 및 도메인을 활용한 피싱 사이트가 늘어나면서 사용자 실수가 보안 사고로 직결되는 경우가 많았죠.

하지만 패스키는 전혀 다른 방식으로 작동합니다. 패스키는 특정 웹사이트의 도메인과 고유하게 연결되어 생성되기 때문에, 해당 도메인에서만 인증이 가능합니다. 예를 들어 네이버에서 생성한 패스키는 네이버의 진짜 도메인에서만 작동하며, 주소를 흉내 낸 가짜 사이트에서는 인증 절차 자체가 시작되지 않습니다.

즉, 사용자가 실수로 가짜 사이트에 접속하더라도 패스키는 그 환경을 '인증할 수 없는 공간'으로 인식하기 때문에, 전자서명이 생성되지 않고 계정도 보호되는 것이죠. 이 구조 덕분에 피싱에 의한 계정 탈취 위험을 원천적으로 차단할 수 있습니다.

또한 패스키는 중간자 공격(Man-in-the-Middle Attack)에 대해서도 강력한 방어력을 갖고 있습니다. 인증 과정에서 사용하는 전자서명은 공개키 기반 암호화 방식으로 처리되기 때문에, 누군가 이 데이터를 네트워크 상에서 가로채더라도 이를 해독하거나 재사용하는 것은 사실상 불가능합니다.

결과적으로 패스키는 단순히 편리한 인증 수단이 아니라, 기존의 비밀번호나 SMS 인증보다 훨씬 높은 수준의 보안을 제공하는 차세대 로그인 방식으로 자리잡고 있습니다.

‍

■ 패스키도 완벽하지 않다: 한계와 보안 리스크

출처: Freepik

패스키는 비밀번호를 대체하는 보다 안전한 인증 수단으로 주목받고 있지만, 모든 기술이 그렇듯 절대적으로 완벽하다고 볼 수는 없습니다. 실제로 최근 공개된 CVE-2025-26788 사례는 패스키 시스템에서도 구현 방식에 따라 보안 취약점이 발생할 수 있다는 사실을 보여줍니다.

해당 사례는 보안 기업 StrongKey에서 운영하던 FIDO 서버에서 발생했는데요. 원래는 패스키 인증 시 반드시 거쳐야 하는 사용자 확인 절차를 공격자가 우회할 수 있는 가능성이 발견된 것입니다. 이 취약점이 악용될 경우, 공격자가 타인의 계정을 자신의 기기에서 인증 없이 로그인하는 것이 가능해질 수 있었죠.

다행히 StrongKey는 즉각적인 보안 패치를 통해 문제를 해결했지만, 이 사례는 패스키가 안전한 인증 수단이라 하더라도, 구현과 운영 방식에 따라 취약점이 생길 수 있음을 경고하는 신호탄이 되었습니다.

또한 패스키는 특정 디바이스에 저장되는 구조이기 때문에, 사용자의 기기에 대한 의존성이 큽니다. 만약 스마트폰을 분실하거나, 생체인식 기능이 제대로 작동하지 않을 경우, 계정 접근 자체가 어려워질 수 있습니다. 일부 플랫폼은 복구를 위한 대체 인증 수단을 제공하지만, 아직까지는 제한적이며 사용자 혼란이 발생할 여지가 존재합니다.

게다가 패스키는 아직 모든 온라인 서비스에서 표준으로 채택되지 않았습니다. 이로 인해 사용자들은 여전히 비밀번호와 패스키를 병행 사용해야 하는 이중 구조를 감수해야 하며, 이는 기대했던 로그인 단순성과는 거리가 있는 현실이죠.

결국, 패스키 역시 ‘도입과 운영의 신중함’이 필요한 기술이며, 각 기업과 사용자 모두 잠재적 한계를 인지하고 대비책을 마련하는 것이 중요합니다.

‍

■ 현재의 ‘비밀번호+패스키’ 조합, 보안 위협과 예방책은?

현재 국내의 웹사이트는 패스키를 도입하더라도, 기존 비밀번호 인증을 완전히 대체하지 않고 비밀번호와 패스키를 병행하는 경우가 많은데요. 이와 같은 ‘비밀번호+패스키’ 혼용 환경에서는, 패스키의 높은 보안성에도 불구하고 여전히 비밀번호가 보안의 취약 지점이 될 수 있으므로 각별한 관리가 필요합니다. 비밀번호 자체의 보안성을 강화할 수 있도록, 복잡하고 고유한 비밀번호를 설정하고, 주기적으로 변경하는 것이 안전하죠.

스마트폰 자체의 보안을 철저히 지키기 위해 최신 보안 업데이트를 빠짐없이 적용하고, 신뢰할 수 있는 모바일 백신을 활용해 악성 앱이나 의심스러운 동작을 지속적으로 감시해야 하는데요. SK쉴더스의 ‘모바일가드’는 스마트폰 보안을 강화하여 패스키 사용 환경을 보다 안전하게 만들어주는 보안 앱으로, 다음과 같은 기능을 통해 사용자 기기를 다양한 사이버 위협으로부터 보호합니다.

‍

‍

✔ 악성 앱 탐지로 실시간 차단 가능!

AI 백신 엔진을 기반으로 스마트폰 내 설치된 앱의 악성 여부를 실시간 검사합니다. 신종·변종 악성 앱은 물론, 최근 보이스피싱 수법에 악용되는 원격제어 앱까지 탐지해 안전하게 삭제할 수 있습니다.

‍

✔ 스미싱·피싱 탐지 및 신고

일반 문자(SMS)뿐 아니라 채팅플러스(RCS) 같은 메신저 앱에서 유통되는 악성 링크를 실시간으로 탐지·차단합니다. 의심 메시지는 모바일가드 앱 내에서 KISA(한국인터넷진흥원)에 즉시 신고할 수 있어, 추가 피해 예방에 효과적입니다.

‍

✔ 앱 잠금/권한 관리로 개인정보 보호

앱 잠금 기능을 통해 보안이 필요한 앱에 비밀번호를 설정할 수 있으며, 앱 권한 관리 기능으로 설치된 앱들의 개인정보 접근 권한을 한눈에 확인하고 제어할 수 있습니다.

‍

✔ 저장 공간 관리 및 메모리 최적화

스마트폰 내 불필요한 캐시 파일, 빈 폴더 등을 정리해 저장 공간을 확보합니다. 또한 사용하지 않는 앱을 종료해 메모리를 최적화하고 기기 속도를 향상시킵니다.

‍

‍

비밀번호 없는 세상을 열어가는 혁신적인 인증 기술, 패스키. 그 편리함과 보안성을 제대로 누리기 위해서는 기기 보안부터 챙기는 것이 기본입니다. SK쉴더스의 모바일가드는 여러분의 스마트폰을 지키는 첫걸음이 되어, 패스키를 포함한 다양한 인증 환경을 보다 안전하게 사용할 수 있도록 돕습니다.

‍