SK텔레콤이 비밀번호 없이 로그인이 가능한 '패스키'(Passkey)를 국내 최초로 도입한다. 기존 패스워드 방식의 보안 취약성을 줄이면서 고객에게 안전하고 편리한 인증 수단을 제공한다는 방침이다.
패스키는 생체인증 국제표준 파이도(FIDO) 기반으로 설계된 차세대 인증 기술이다. 종단 간 암호화(E2E) 기술과 소유 기반 인증을 통해 안전 및 편의성을 높인 것이 특징이다. 애플, 구글, 마이크로소프트(MS) 등 빅테크 3사는 지난해부터 자사 플랫폼에 패스키 지원을 시작했다. SK텔레콤도 지난달 본인인증 서비스 '패스'(PASS) 애플리케이션(앱)에 패스키 기능을 탑재했다. 현재 iOS16 이상 기기에서 사용할 수 있다.
SK텔레콤이 패스키 선제 도입에 나선 것은 보안성과 편의성을 모두 잡으면서 '패스워드리스' 흐름에 발빠르게 대응하기 위해서다.
이성재 SK텔레콤 월렛서비스 프로덕트팀 리더는 “패스워드는 생성 주체가 사람이기 때문에 유출 및 해킹 위험에 쉽게 노출될 수밖에 없다”면서 “이를 보완한 이중인증 역시 피싱 등을 통한 탈취 가능성이 있다”고 말했다.
패스키는 비밀번호 자체를 남기지 않는다. 암호화된 한 쌍의 공개키와 개인키 조합으로 이뤄진다. 생성된 공개키는 서버, 개인키는 사용자 기기에 각각 저장된다. 데이터 서버가 해킹돼 공개키가 유출되더라도 실물 기기가 없으면 무용지물이다. 인증 수단과 서비스 인증 프로토콜을 분리한 것이다.
이 리더는 “사용자 단말을 이용해 소유 기반 인증을 하고 그 결과를 기반으로 비밀키에 접근해서 공개키기반구조(PKI) 인증 프로토콜을 수행하는 구조”라면서 “운용체계(OS)나 브라우저 구분 없이 사용할 수 있고, 단말 분실이나 교체 시에도 간편하게 복원할 수 있다”고 말했다.
플랫폼에서 제공하는 패스키 기능을 적용하기 위해서는 별도의 인증서버가 필요하다. SK텔레콤은 자체 기술로 패스키 인증 서버를 개발했으며, 파이도(FIDO) 얼라이언스로부터 인증서도 획득했다.
파이도 얼라이언스 측은 “SK텔레콤의 패스키를 통한 로그인 지원은 비밀번호 없는 미래를 향한 큰 발걸음”이라며 “이러한 혁신을 통해 한국 내 이용자들이 비밀번호로 인해 발생하는 많은 위협과 공격으로부터 더 안전할 수 있게 됐다”고 평가했다.
SKT는 앞으로 PASS 앱뿐만 아니라 T월드 등 사내의 다양한 서비스에 패스키 기술을 적극 도입, 고객 자산과 신원을 안전하게 보호한다는 계획이다. 안드로이드 OS를 지원하는 패스키도 업데이트를 통해 적용할 예정이다.
이 리더는 “앞으로 '패스워드'라는 고유 명사보다 '패스키'가 더 익숙한 시대가 올 것”이라며 “글로벌 빅테크 3사가 보안 문제 해결을 위해 의기투합해 패스키 확대 지원에 나선 만큼 올해를 기점으로 국내외 기업에 패스키 도입이 급격히 늘어날 것”이라고 말했다.
박준호기자 junho@etnews.com
