[이슈칼럼] 패스키 전쟁: 빅테크는 왜 당신의 비밀번호를 갖고 싶어 하는가 작성일 06-14 60 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8FcPVssArY"> <p contents-hash="67248b5a971d114252d9b50171d0e3c0db3e4d21587e397a067c5c0aab880171" dmcf-pid="63kQfOOcIW" dmcf-ptype="general"><strong>“저장하시겠습니까?”의 진짜 의미</strong></p> <p contents-hash="a69bec3e4587fd546e0b7cbefd79b3a61d09c5f672987196b5c6e321e2961a6e" dmcf-pid="PhxUtnnQDy" dmcf-ptype="general">[보안뉴스= 김동현 OWASP 서울 챕터 리더/크리밋 대표] 웹사이트에 로그인할 때마다 익숙한 팝업이 뜬다. “이 비밀번호를 저장하시겠습니까?” 대부분 별 생각없이 ‘저장’을 누른다. 편하니까.</p> <figure class="figure_frm origin_fig" contents-hash="4b36f84cd080d457d5e76057b345a3a2977a6317eaf4e46d25cac76b84a35301" dmcf-pid="QlMuFLLxDT" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/14/552815-KkymUii/20260614082103051rfub.jpg" data-org-width="750" dmcf-mid="4a7TC22usG" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/14/552815-KkymUii/20260614082103051rfub.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: 생성형 AI 이미지 활용] </figcaption> </figure> <div contents-hash="603df5d2e8f9b8420cbffd365327d323146f5cad6e98e9177bb46ecccb7478f8" dmcf-pid="xSR73ooMrv" dmcf-ptype="general"> <br>그러나 이 작은 버튼은 생각보다 무거운 결정이다. 크롬에서 누르면 구글 계정에, 아이폰에서 누르면 애플 계정에 쌓인다. 인터넷 사용자는 평균 100개가 넘는 계정을 사용한다. 몇 년이 지나면 수백여개의 로그인 정보가 한 회사의 금고에 모이고, 그 금고는 다른 회사의 제품으로 이동할 때 쉽고 들고 나갈 수 없다. </div> <p contents-hash="092e18cba5defe14f4d1dadb8d3c664c8073f79b88a27bd8c72c7b04946d2fe4" dmcf-pid="y6YkattWwS" dmcf-ptype="general">비밀번호는 단순한 문자열이 아니다. 이메일이나 사진, 결제 수단, 구독 서비스까지 우리의 디지털 생활 전부가 계정 너머에 있다. 이 열쇠 꾸러미를 통째로 보관하는 회사는 사용자들을 자사의 생태계에 묶어둘 수 있다. 구글과 애플이 패스워드 매니저를 꽁짜로 제공하는 이유, 1패스워드(1Password) 같은 전문 업체가 여기에 사활을 거는 이유다.</p> <p contents-hash="e540d3de314aec9c79fab3cbf561fde59cea5813742705f919f7717e5330161e" dmcf-pid="WPGENFFYIl" dmcf-ptype="general"><strong>애플과 구글 그리고 패스워드 전문업체... 세 진형의 싸움법</strong><br>애플은 오랜 기간 아이클라우드(iCloud) 키체인이라는 이름으로 설정 메뉴 깊숙한 곳에 비밀번호를 보관했다. 그러다 2024년 ‘암호’(Passwords)라는 독립 앱을 내놓으며 전면에 나섰다. 아이폰을 쓴다면 따로 돈을 내고 앱을 깔 필요가 없다는 메시지였고, 유료 앱 업계에는 사실상 선전포고였다.</p> <p contents-hash="7be041be75f82172a37e910b675617458f283357a2eda05f56b98db85d04a88a" dmcf-pid="YQHDj33Gsh" dmcf-ptype="general">구글의 방식은 더 조용했다. 그래서 더 강력하다. 크롬과 안드로이드는 패스워드 매니저가 처음부터 들어있다. 사용자가 무언가 선택하지도 않았는데, 어느새 수백여개의 비밀번호가 구글 계정에 묶여 있다. ‘기본 설정’의 힘이다.</p> <p contents-hash="7430199257b27e3c8ffd73d61cffd794a6b6e79528d0916225c52fc768ca2606" dmcf-pid="GxXwA00HmC" dmcf-ptype="general">1패스워드나 비트워든(Bitwarden) 같은 전문 업체들은 다른 카드를 꺼냈다. 중립성이다. 아이폰이든 갤럭시든 윈도우든 가리지 않고 작동한다. 운영체제나 디바이스를 무기로 삼을 수 없으니, 어디에도 묶이지 않는다는 점 자체를 세일즈포인트로 삼았다.</p> <p contents-hash="9e974fe2b2b805434b0d509ea8978f8aade3d1c18aeda712346db88eb1ac17e2" dmcf-pid="H9lgJGGhOI" dmcf-ptype="general">마이크로소프트(MS)가 없어서 의아할 수 있지만, 이 싸움의 주전장은 스마트폰이다. PC를 위한 윈도우 운영체제는 있지만 휴대폰이 없는 MS는 비밀번호 저장소 경쟁에서 변방에 머물렀다. 대신 지난해부터 새 계정을 비밀번호 없이 만들게 하는 등 비밀번호를 모으는 대신 없애는 쪽으로 전략을 수정했다.</p> <p contents-hash="83bf09a89898c462db10f9c92469a231317e75806bfe77cc419c724d812d8387" dmcf-pid="X2SaiHHlDO" dmcf-ptype="general"><strong>패스키, 보안은 좋아졌는데, 족쇄도 단단해졌다</strong><br>비밀번호를 둘러싼 IT 기업들의 전략이 흥미로워지는 건 다음 대목이다. 최근 몇 년 새 ‘비밀번호 없는 로그인’을 내건 패스키(Passkey)가 빠르게 퍼졌다. 지문이나 얼굴 인식으로 로그인하는 방식으로 원리부터 비밀번호와 달랐다. 비밀 키는 내 기기 안에만 있고, 서버에는 공개 키만 저장해 서버가 해킹당해도 훔쳐 갈 것이 없다. 가짜 사이트에서는 아예 작동하지 않아 피싱 위험도 원천 차단된다. 보안면에서 분명한 진보다.</p> <p contents-hash="43393844f65189e918f2491cd3c5e19d0b5bd16c5dda0c3e6526a52d124fd639" dmcf-pid="ZVvNnXXSws" dmcf-ptype="general">문제는 이사였다. 비밀번호는 최악의 경우, 파일로 만들어 다른 앱으로 옮길 수 있다. 하지만 초창기 패스키는 만들어진 생태계에 종속되는 구조였다. 아이폰에서 갤럭시로 기기를 변경하려면 모든 사이트에 패스키를 다시 만들어야 했다. ‘비밀번호 없는 미래’란 구호가 역설적으로 가장 단단한 족쇄가 된 것이다. 패스키를 많이 만들수록 이동이 힘들어졌다. 플랫폼들로선 나쁠 것 없는 그림이었다.</p> <p contents-hash="6508af9532dd3cadd5adf52a484993177c4a8c3d588b1a78b37800530efde810" dmcf-pid="5fTjLZZvOm" dmcf-ptype="general"><strong>FIDO가 제시한 휴전 협정</strong><br>비판이 거세지자 업계가 움직였다. 인증 표준 단체인 FIDO 얼라이언스를 중심으로, 패스키와 비밀번호를 안전하게 옮길 수 있는 표준이 만들어지고 있다. 데이터 형식을 정의한 CXF와 전송 절차를 정의한 CXP다. 참여 명단이 흥미롭다. 애플과 구글, MS, 1패스워드, 비트워든, 삼성, SK텔레콤까지 어제까지 경쟁하던 진영이 전부 한 테이블에 앉았다.</p> <p contents-hash="f23d880e1513567651c0aed1d2011ba535828a79667f82b70f45e1a0ac456193" dmcf-pid="14yAo55Twr" dmcf-ptype="general">말뿐인 약속도 아니었다. 애플은 iOS 26을 통해 이 표준을 처음으로 구현한 메이저 플랫폼이 됐다. 이제 애플 암호 앱은 1패스워드, 비트워든 사이에서 패스키를 옮길 수 있다. 파일로 내보내는 위험한 방식도 아니다. 앱과 앱이 암호화된 상태로 주고받는 방식이다.</p> <p contents-hash="7b8b3c4ff27478c6ede6056eaddbabc34a11ac8e63fb58e5c9a32e652078a596" dmcf-pid="t8Wcg11yEw" dmcf-ptype="general">그렇다면 전쟁이 끝난 것일까? 대답은 ‘글쎄’다. 이사 트럭이 생겼다고 이사할 사람이 갑자기 늘지는 않는다. 기본으로 깔린 앱, 처음부터 들어 있는 기본 기능의 중력은 여전히 강력하다. 업체들이 비밀번호 이동의 자유에 합의할 수 있었던 배경에는 자유를 줘도 떠나지 않을 것이라는 계산이 깔려 있을 것이다.</p> <p contents-hash="d0da6ee629be68a2799fd5dbc61b244ec0dd13434522e6e746be191c4cce174a" dmcf-pid="F6YkattWsD" dmcf-ptype="general"><strong>그래서, 우리는 어떻게 할 것인가</strong><br>거창할 건 없다. 세 가지만 기억하자. 첫째, 패스워드 매니저는 어떤 것이든 쓰는 편이 안 쓰는 것보다 낫다. 모든 사이트에 같은 비밀번호를 돌려 쓰는 것보다 위험한 습관은 없다.</p> <p contents-hash="a8aeaf5c497d20f3c92b785fa7ee604e9948e4881e9d1b8961b97d8a1e0b9a7e" dmcf-pid="3PGENFFYDE" dmcf-ptype="general">둘째, 저장을 누르는 순간 내 열쇠가 어디에 보관되는지 한 번쯤 의식해보자. 구글인지, 애플인지, 독립 업체인지, 그 선택이 몇년 뒤 플랫폼을 옮길 때 자유도를 결정한다.</p> <p contents-hash="e2d8c6a3faf1f81dda9e3cea2b42b9f2c7858739884da71370e96ae0a0c97db4" dmcf-pid="03kQfOOcIk" dmcf-ptype="general">셋째, 이제는 옮길 수 있다. 패스키 이동 표준이 실제로 작동하기 시작했다. 특정 플랫폼에 묶여 있다는 이유만으로 이동을 망설일 필요가 없어졌다.</p> <p contents-hash="8f58cfad7d6abc88d69666d8811651dde2980cf8d2740dd6319f69df58f3db0b" dmcf-pid="p0Ex4IIkEc" dmcf-ptype="general">빅테크들이 당신의 비밀번호를 보관해 주는 데에는, 무료로 편의를 제공하는 것에는 이유가 있다. 그 이유를 생각해보는 것만으로도 우리는 조금 더 자유로운 선택을 할 수 있다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 라두카누, US오픈 신화 이후 5년 만의 우승이 보인다 06-14 다음 조명우, 토브욘 블롬달 제압하며 4강 진출…바오 프엉 빈과 격돌 (앙카라 3쿠션 월드컵) [포커스] 06-14 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.