비밀번호 없는 인증 (Passwordless Authentication)이란 무엇인가?
비밀번호 없는 인증 (Passwordless Authentication)은 사용자가 비밀번호나 기타 지식 기반의 비밀을 입력하거나 기억하지 않고 컴퓨터 시스템에 로그인할 수 있는 인증 방법입니다.
예를 들어, 스마트폰을 지문이나 얼굴 인식을 사용하여 잠금 해제하거나 이메일 계정에 로그인하기 위해 SMS로 일회용 코드를 받는 것 - 이러한 것들은 우리가 일상에서 사용하는 일반적인 비밀번호 없는 인증 방법입니다.
비밀번호 없는 인증 (Passwordless Authentication)의 유형은 무엇인가?
일상에서 접할 수 있는 몇 가지 일반적인 비밀번호 없는 인증 (Passwordless Authentication) 유형이 있습니다:
생체 인증 (Biometric Authentication)
생체 인증 (Biometric Authentication)은 지문 스캔, 얼굴 인식, 홍채 스캔을 통해 우리의 고유한 신체적 특성을 활용하여 신원을 확인합니다. 우리는 일상에서 이러한 상황을 접합니다:
- 커피를 살 때 Face ID로 iPhone 잠금 해제
- 지문으로 은행 앱에 로그인
- 홍채 스캐너를 사용하여 보안 시설에 접근
매직 링크 (Magic Links)
매직 링크 (Magic Links)는 이메일로 전달되는 특별한 일회용 링크로, 원활한 인증 경험을 제공합니다. 많은 인기 서비스에서 이를 찾을 수 있습니다:
- 이메일에서 Slack의 “로그인” 링크 클릭
- Medium의 “이메일로 로그인” 옵션으로 로그인 링크 받기
- Notion의 이메일 기반 인증 시스템
자세한 내용은 매직 링크 를 참조하세요.
일회용 코드 (OTP)
일회용 코드 (OTP)는 일반적으로 SMS나 이메일로 전달되며, 가장 널리 사용되는 비밀번호 없는 방법 중 하나입니다:
- Google 계정에 로그인하기 위한 6자리 코드 받기
- 온라인 뱅킹 거래를 위한 인증 코드 받기
- Google Authenticator와 같은 인증 앱 사용
자세한 내용은 일회용 비밀번호 (One-time password, OTP) 를 참조하세요.
패스키 (Passkeys)
패스키 (Passkeys)는 피싱 공격으로부터 계정을 보호하기 위해 고급 암호화를 사용하는 FIDO 기반의 전통적인 비밀번호에 대한 안전한 대안입니다. 작동 방식은 다음과 같습니다:
- 서비스별 고유: 서비스에 등록할 때, 기기는 해당 서비스의 도메인에 연결된 고유한 패스키를 생성합니다.
- 기기 기반: 패스키는 일반적으로 기기에 내장된 하드웨어 보안 모듈이나 별도의 보안 키에 저장됩니다.
- 공개-비공개 키 쌍: 기기는 비공개 키를 안전하게 저장하고, 공개 키를 서비스와 공유합니다. 이러한 암호화 키 쌍을 패스키라고 합니다.
- 하드웨어 보안: 많은 패스키는 전용 하드웨어 보안 모듈로 보호되어 있어 매우 어렵게 타협됩니다.
- 기기 간 동기화: 패스키는 클라우드 저장소(예: Apple의 iCloud Keychain 또는 Google Password Manager)를 사용하여 기기 간에 안전하게 동기화될 수 있습니다.
일반적인 사용 시나리오:
- USB 보안 키를 사용하여 업무용 노트북에 접근
- Google 계정에 로그인하기 위해 휴대폰(보안 키로서)을 탭하기
- 고도로 안전한 시스템에 접근하기 위해 하드웨어 보안 키 연결
자세한 내용은 패스키 (Passkey) 를 참조하세요.
왜 비밀번호 없는 인증 (Passwordless Authentication)을 사용해야 하는가?
수십 년 동안 비밀번호는 인증의 기본 방법이었습니다. 오늘날에도 대부분의 온라인 계정은 여전히 비밀번호에 의존하고 있습니다. 그러나 이 전통적인 접근 방식은 점점 더 많은 도전에 직면하고 있으며, 우리는 왜 비밀번호 없는 인증 (Passwordless Authentication)을 사용해야 하는지에 대해 의문을 제기하고 있습니다.
비밀번호는 충분히 안전하지 않다
회사가 데이터 유출을 겪을 때, 수백만 개의 비밀번호가 한 번에 노출될 수 있습니다. 공격자는 자동화된 도구를 통해 이러한 비밀번호를 쉽게 악용할 수 있으며, 특히 많은 사용자가 여러 서비스에서 비밀번호를 재사용하기 때문에 더욱 그렇습니다. 예를 들어, 공격자가 손상된 게임 웹사이트에서 사용자의 비밀번호를 얻으면, 동일한 자격 증명을 사용하여 해당 사용자의 이메일이나 은행 계정에 접근할 수 있습니다.
이 블로그에서 비밀번호가 어떻게 해킹되는지 를 알아보세요.
비밀번호는 사용 및 관리가 어렵다
온라인 계정을 관리하는 것을 생각해보세요: 각기 다른 웹사이트와 서비스에 수십 개의 계정이 있으며, 각각 고유한 비밀번호 요구 사항이 있습니다. 일관된 비밀번호를 사용하려고 해도, 다양한 비밀번호 정책이 특수 문자, 숫자 추가 또는 기타 변형을 강요합니다. 한 웹사이트는 최소한 하나의 특수 문자를 요구하고, 다른 웹사이트는 특정 기호를 허용하지 않으며, 세 번째 웹사이트는 최소 12자를 요구합니다.
로그인하려고 할 때, 이 특정 사이트에 어떤 변형을 사용했는지 기억할 수 없습니다. 끝에 느낌표가 있는 것이었나? 아니면 ”@” 기호가 있는 것이었나? 여러 번의 실패 시도 후, 계정이 잠기고 또 다른 시간 소모적인 비밀번호 재설정 과정을 거쳐야 합니다.
이러한 좌절스러운 시나리오는 매일 수백만 번씩 조직 전반에서 발생하며, 지속적인 비밀번호 재설정, 시간 낭비, 생산성 저하로 이어집니다.
비밀번호 없는 인증 (Passwordless Authentication)은 비밀번호보다 더 안전하다
대신 모든 업무 애플리케이션에 접근하기 위해 지문이나 얼굴 인식을 사용하는 것을 상상해보세요. 이러한 생체 인식 요소는 비밀번호처럼 도난당하거나 추측할 수 없기 때문에, 공격자가 회사의 데이터베이스를 침해하더라도 이 정보를 사용하여 사용자를 가장할 수 없습니다. 또한, 보안 키와 같은 비밀번호 없는 방법은 사용자와 웹사이트의 진위를 확인하여 피싱 공격으로부터 보호합니다.
비밀번호 없는 인증 (Passwordless Authentication)은 사용자 친화적이다
비밀번호 없는 인증 (Passwordless Authentication)을 사용하면 계정에 접근하는 것이 스마트폰 잠금 해제만큼 간단해집니다.
예를 들어, 로그인 시도를 승인하기 위해 휴대폰에서 푸시 알림을 받을 때, 기기를 빠르게 탭하거나 한 번 쳐다보는 것만으로 인증할 수 있습니다. 이러한 원활한 경험은 여러 비밀번호를 기억해야 하는 인지적 부담을 없애면서 높은 보안 표준을 유지합니다.
비밀번호 없는 인증 (Passwordless Authentication)은 어떻게 작동하는가?
인증은 일반적으로 세 가지 유형의 요소에 의존합니다:
- 사용자가 알고 있는 것: 비밀번호나 PIN과 같은 것
- 사용자가 가지고 있는 것: 물리적 기기나 토큰과 같은 것
- 사용자가 어떤 사람인지: 생체적 특성.
비밀번호 없는 인증 (Passwordless Authentication)은 전통적인 “사용자가 알고 있는 것” 접근 방식에서 벗어나 다른 두 가지 요소에 초점을 맞춥니다.
“사용자가 가지고 있는 것”을 사용할 때, 인증 과정은 일반적으로 이메일 주소나 전화번호로 시작합니다. 은행 계정에 로그인한다고 상상해보세요 - 비밀번호를 입력하는 대신, SMS나 이메일로 일회용 코드를 받을 수 있습니다. 또는 이러한 코드를 자동으로 생성하는 인증 앱을 휴대폰에 설정했을 수도 있습니다. 일부 서비스는 푸시 알림을 휴대폰으로 보내어 “승인”을 탭하여 로그인할 수 있게 합니다. 더 높은 보안 요구 사항을 위해, 디지털 키를 삽입하는 것과 유사하게 기기에 연결하는 물리적 보안 키를 사용할 수 있습니다.
“사용자가 어떤 사람인지” 접근 방식은 훨씬 더 간단하며, 아마도 이미 익숙할 것입니다. 스마트폰을 지문으로 잠금 해제하거나 화면을 쳐다보아 얼굴 인식을 통해 잠금 해제할 때, 생체 인증을 사용하고 있는 것입니다. 일부 시스템은 특정 문구를 말하여 신원을 확인할 수 있는 음성 인식을 사용하기도 합니다. 이러한 생체적 요소는 사용자에게 고유하며, 기기에서 안전하게 처리됩니다.
비밀번호 없는 인증 (Passwordless Authentication)과 다중 요소 인증 (MFA)의 차이점은 무엇인가?
비밀번호 없는 인증 (Passwordless Authentication)과 다요소 인증 (Multi-factor authentication, MFA) 는 때때로 유사한 맥락에서 언급됩니다. 따라서 이 두 용어를 별도로 정의하고 그 차이점을 이해하는 것이 필요합니다:
- 비밀번호 없는 인증 (Passwordless Authentication)은 비밀번호 기반 인증을 다른 요소로 대체합니다.
- MFA는 사용자의 신원을 확인하기 위해 두 개 이상의 인증 요소를 사용하는 것을 의미합니다.
“요소”는 앞서 언급한 세 가지 다른 유형의 인증 정보를 의미합니다. 예를 들어, 사용자가 인증 중에 이메일 주소 + OTP만 사용하는 경우, 이는 “사용자가 가지고 있는 것”과 관련된 요소이며, 사용자의 인증을 비밀번호 없는 것으로 간주할 수 있습니다.
일반적인 MFA 구현에는 비밀번호를 강화하기 위해 두 번째 (비밀번호 없는) 인증 요소를 사용하는 것이 포함되지만, MFA는 완전히 비밀번호 없을 수도 있습니다. 예를 들어, 애플리케이션은 첫 번째 인증 요소로 지문을 사용하고 두 번째 인증 요소로 이메일 주소 + OTP를 사용할 수 있습니다.
비밀번호 없는 인증 (Passwordless Authentication)과 SSO의 차이점은 무엇인가?
단일 로그인 (Single sign-on, SSO) (SSO)와 비밀번호 없는 인증 (Passwordless Authentication)은 아이덴티티 관리에서 두 가지 별개의 개념입니다:
- SSO는 사용자 인증을 중앙 집중화하여 사용자가 단일 로그인으로 여러 애플리케이션에 접근할 수 있도록 하는 것입니다.
- 비밀번호 없는 인증 (Passwordless Authentication)은 사용자가 비밀번호 없이 신원을 증명하는 방법에 중점을 둡니다.
이들은 서로 다른 목적을 가지고 있지만, 함께 작동할 수 있습니다.
예를 들어, SSO 시스템은 인증을 위해 비밀번호 없는 방법(생체 인식이나 보안 키)을 사용할 수 있습니다. 이 조합은 싱글 사인온의 편리함과 비밀번호 없는 인증의 보안 이점을 제공합니다.