비밀번호의 종말, 패스키 도입

'임호'라는 개념은 아주 오래전 부터 있었다.

학창시절에 얇은 종이에 글씨를 쓰고 볼펜에 돌돌말아본 적이 있을 것이다.

이것이 고대시대 때 있었던 암호 기술 중 하나인 '스키테일'이다

 

이후 컴퓨터가 등장하고 여러 발전을 거치면서 현재 가장 많이 쓰이는 방식은 'RSA공개키 암호'이다.

공개키 암호화는 비대칭키 암호화라고도 하는데 암호화 키와 복호화 키(암호를 해독하는 키 라고 보면 된다)를 다르게 설정한 것이다.

 

아무튼, 현재 우리가 사용하는 여러 앱, 웹에서는 아이디와 비밀번호를 요구한다. 그런데 RSA암호화와는 별개로 비밀번호를 사용하는 것 자체로 발생하는 몇가지 치명적인 점들이 있다.

 

1. 탈취가 쉽다

     -피싱 사이트를 만들어 사용자가 아이디와 비밀번호를 입력하면 해커에게 비밀번호가 그대로 노출된다거나, 'qwerty12345'와 같은 쉬운 비밀번호를 사용해 탈취에 대응하기 어렵다

 

2. 비밀번호는 사용자가 '직접' 만드는 것이다

     -비밀번호 자체를 사람이 만들기 때문에 사이트마다 일정한 규칙이 있을 수 있고 완전히 랜덤한 조합을 만들기 어렵다

 

3. 기억하기 어렵다.

     -1, 2번에서 파생된 문제이다. 한 사이트의 비밀번호가 유출됐을 경우를 대비 해 사이트마다 비밀번호를 다르게 하거나 자주 변경하는 경우 이를 모두 기억해야 한다. 그런데 사이트가 많아질 수록 비밀번호를 기억하기에는 더 어렵다

 

이런것들에 대응하기 위해 만들어진 패스키 라는 것이 있는데 얼마전 구글에서도 이러한 방식을 도입하기로 했다.     

 

패스키는 '종단 간 암호화' 기술로 개인정보 유출을 막는다. 또한 클라우드에 안전하게 암호화 돼 여러 디바이스에서 지문인식이나 faceID와 같은 생체인증으로 비밀번호를 대체할 수 있다.

 

쉽게 말해 스마트폰에 저장해놓고 필요할 때마다 꺼내쓴다고 보면된다.(공개키는 서버에 저장되고 프라이빗키는 사용자의 기기에 저장되기 때문에 어느 한 곳이 공격받는다고 해도 개인정보를 탈취할 수 없다)

 

구글은 이런 기술의 도입을 두고 '비밀번호의 종말'이라고 언급했다.

 

정보보안의 영역은 화이트해커가 아닌 악의적인 해커들의 다양한 공격수법에 의해 발달해 왔다고 생각한다.

패스키의 도입으로 정보보안 기술이 더욱 발전하는 계기가 되기를 바란다.

 

※참고자료※

https://zdnet.co.kr/view/?no=20221211102028 

"매번 털리는 패스워드 안녕…이젠 패스키로 가야 할 때"

https://www.newspim.com/news/view/20230504000016

비밀번호 종말 선언한 구글, 패스키 기술 도입

https://seed.kisa.or.kr/kisa/intro/EgovHistory.do

KISA 암호이용활성화 - 소개 - 암호기술의 역사