구글, 애플, 페이스북, 메타 등과 같은 소비자 서비스 덕분에 패스키가 점점 더 보편화되고 있습니다. 패스키를 사용하면 기존의 비밀번호 기반 로그인에 비해 보안이 크게 강화됩니다.
이메일에 이모티콘 반응을 보낼 수 있는 것처럼 일부 소비자 솔루션이 업무용으로 확장되는 경우가 종종 있습니다. 하지만 인스타그램에서 패스키를 사용하여 로그인할 수 있다고 해서 기업에서도 그렇게 해야 할까요?
간단히 말해, 패스키를 기업에서 사용할 준비가 되었나요?
그리고 FIDO 얼라이언스 는 2013년 여러 기업이 두 번째 요소로 사용할 인증 표준을 개발하기 위해 설립한 단체로, 오늘날 FIDO는 강력한 비밀번호 없는 인증 수단으로 사용되고 있습니다.
2013년부터 FIDO는 온라인에서 빠른 신원 확인을 제공한다는 이름에 걸맞게 가장 인기 있는 비밀번호 없는 로그인 방법 중 하나로 자리 잡았습니다. FIDO 얼라이언스는 소비자 환경에 중점을 두고 있습니다. 가장 큰 규모의 회원사가 이 분야에서 활발히 활동하고 있으니 당연한 결과입니다: 애플, 구글, 페이팔, 마이크로소프트입니다. (RSA는 FIDO 얼라이언스의 회원입니다. 엔터프라이즈 배포 워킹 그룹의 공동 의장을 맡고 있습니다.)
FIDO 자격 증명은 비대칭 키 쌍을 사용하여 서비스에 인증합니다. FIDO 자격 증명이 서비스에 등록되면 FIDO 인증자에 새 키 쌍이 생성되고 서비스는 해당 키 쌍과 해당 키 쌍만을 신뢰합니다. 키 쌍은 서비스의 정확한 도메인 이름에 연결됩니다.
사용자가 실제 사이트에 대해 생성된 패스키로 가짜 피싱 사이트에 로그인을 시도하면 도메인 이름이 키 쌍과 일치하지 않기 때문에 실패하게 되므로 서비스와 FIDO 자격증명 간의 엄격한 페어링이 높은 수준의 피싱 저항성을 만들어냅니다.
2022년에 애플, 구글, 마이크로소프트는 새로운 유형의 FIDO 자격 증명에 대한 지원을 시작했습니다. 패스키. 2023년에 FIDO 얼라이언스는 "패스키"를 모든 유형의 FIDO 자격 증명에 사용할 수 있으므로 조직에서 "패스키"를 언급할 때 정확히 무엇을 의미하는지 혼동할 가능성이 있습니다.
이러한 모호성은 FIDO 얼라이언스에서 해결했지만(아래 참조), 여전히 조직에 존재할 수 있습니다. 모든 패스키가 동일하게 만들어지거나 기업에서 사용하기에 적합한 것은 아니므로 이러한 모호성을 해결하는 것이 중요합니다.
패스키 유형
이제 FIDO 얼라이언스에서 정의한 대로 장치 바인딩형과 동기화형 두 가지 유형의 패스키가 있습니다.
디바이스 바인딩 패스키와 동기화된 패스키 비교
디바이스 바운드 패스키는 일반적으로 특정 '보안 키' 디바이스에서 호스팅됩니다. 장치 바인딩형 패스키에서는 키 쌍이 하나의 장치에 생성되어 저장되며, 키 자료 자체가 해당 장치를 벗어나지 않습니다. 이 패스키 유형은 일반적으로 개인 키가 디바이스를 벗어나지 않으므로 추출이나 원격 해킹에 강하기 때문에 더 안전한 것으로 간주됩니다. 그러나 이는 또한 디바이스를 분실하거나 손상된 경우 사용자가 디바이스를 복구한 후 디바이스에 패스키를 다시 등록하거나 필요한 경우 새 디바이스에 추가해야 한다는 것을 의미합니다. 디바이스 바인딩 패스키는 보안 키 또는 TPM(신뢰할 수 있는 플랫폼 모듈)과 같은 하드웨어를 활용하는 고수준 보안 보장 환경 및 기업 사용 사례에서 특히 선호됩니다.
동기화된 암호 키
동기화된 패스키를 사용하면 키 자료가 소위 원격 동기화 패브릭을 통해 저장되며, 동일한 사용자가 소유한 다른 장치에서 키 자료를 복원할 수 있습니다. 현재 주요 동기화 패브릭은 Microsoft, Google, Apple입니다. 즉, Android 휴대폰을 패스키로 등록하면 곧바로 다른 모든 Android 기기에서 해당 키 자료를 사용할 수 있습니다.
동기화된 비밀번호는 WhatsApp이나 Facebook과 같이 널리 사용되는 서비스를 지원하는 것 외에도 일반적인 비밀번호 사용이 급격히 증가한 주된 이유입니다. 많은 계정과 많은 디바이스를 가진 한 명의 사용자가 모든 디바이스에서 동일한 동기화된 비밀번호를 사용할 수 있기 때문입니다.
패스키는 기존 비밀번호를 암호화 키 쌍으로 대체하여 강력하고 피싱에 강한 인증을 제공합니다. 사용자가 서비스에 등록하면 디바이스에서 고유한 개인-공개 키 쌍을 생성합니다. 비공개 키는 사용자의 디바이스에 안전하게 저장되고 공개 키는 서비스와 공유됩니다. 로그인하는 동안 디바이스는 서비스의 챌린지에 서명하여 개인 키의 소유를 증명하고, 서명은 저장된 공개 키를 사용하여 확인됩니다. 공유된 비밀이 전송되지 않고 비밀번호가 생성되거나 저장되지 않으므로 자격 증명 도용 또는 리플레이 공격의 위험이 크게 줄어듭니다.
기존 비밀번호는 추측, 도용 또는 피싱될 수 있는 공유 비밀에 의존하기 때문에 공격자들이 흔히 사용하는 진입 지점입니다. 이러한 비밀번호는 여러 계정에서 재사용되는 경우가 많고, 안전하지 않게 저장되며, 무차별 대입 공격이나 크리덴셜 스터핑 공격에 취약합니다.
패스키는 비밀번호를 공개-개인 키 암호화로 대체하여 이러한 위험을 제거합니다. 개인 키는 사용자의 디바이스를 떠나지 않으며, 인증은 전송 없이 해당 키의 소유를 증명하는 방식으로 이루어집니다. 이 접근 방식은 피싱, 인증정보 도용, 비밀번호 재사용 등 대부분의 일반적인 공격 경로를 무력화합니다. 조직의 경우, 패스키는 비밀번호 재설정 및 지원 티켓의 부담을 줄이면서 보안 인증의 비약적인 발전을 제공합니다.
- 피싱 방지: 패스키는 기존의 피싱 공격을 방지하도록 설계되었습니다. 비밀번호가 포함되어 있지 않기 때문에 도용하거나 재사용할 수 없습니다.
- 빠르고 편리함: 패스키를 사용하여 로그인하는 것은 생체 인식(예: Face ID 또는 지문)을 사용하는 것만큼이나 간단하여 사용자의 경험을 더욱 원활하게 만들어 줍니다.
- 익숙한 사용자 경험: 패스키 로그인은 일반적인 모바일 인증 패턴과 유사하므로 학습 곡선이 거의 또는 전혀 없습니다.
- 도메인 매칭 보안: 패스키는 키 자료가 원래 서비스 도메인에서만 작동하도록 하여 추가적인 보호 계층을 제공하며, 이는 모든 MFA 방식이 제공하지 않는 이점입니다.
- 정부 승인: 미국에서는 피싱 방지가 연방 정부의 주요 의무 사항입니다. 행정 명령 14028 중요한 인프라를 보호하기 위해 비밀번호가 필요 없는 피싱 방지 인증이 필요합니다.
패스키는 상당한 이점을 제공하지만 몇 가지 중요한 과제와 문제점도 있습니다.
- 사용자 환경: 예를 들어 USB 포트에 보안 키를 삽입하거나 비밀번호를 입력하라는 등의 패스키 프롬프트는 운영 체제 및 브라우저에 따라 다르게 표시됩니다. 이러한 프롬프트는 사용자를 교육하기 어렵게 만들고 지원 요청을 증가시킬 가능성이 높습니다.
- 다른 공격으로부터의 주의 분산: 패스키를 사용하면 갑자기 소셜 엔지니어링 공격과 같은 MFA 우회에 면역이 된다고 생각하는 사람은 매우 큰 착각을 하고 있는 것입니다. 패스키는 한 가지 유형의 소셜 엔지니어링 공격인 피싱을 방지하는 데 도움이 됩니다. 안타깝게도 다른 변종도 존재합니다. 라스베가스의 MGM 리조트나 시저스 팰리스에 대한 공격에는 헬프 데스크를 악용하여 공격자가 직접 MFA 인증자를 등록할 수 있도록 하는 사회 공학적 요소가 있었습니다.
- 장치 분실 또는 업그레이드 문제: 사용자가 장치에 액세스하지 못하고 동기화나 백업을 활성화하지 않은 경우, 특히 장치에 연결된 키의 경우 패스키를 복구하는 데 어려움을 겪을 수 있습니다.
- 모든 서비스에서 제한적으로 지원됩니다: 도입이 증가하고 있지만 아직 모든 웹사이트나 기업 시스템이 패스키를 지원하는 것은 아니기 때문에 일상적인 사용성에 제한이 있을 수 있습니다.
- 사용자 혼란 또는 인식 부족: 패스키의 개념은 아직 많은 사용자에게 생소하기 때문에 설정, 동기화 또는 실제 내부에서 일어나는 일에 대해 혼동을 일으킬 수 있습니다. 업계 전반에서 다양한 용어(패스키, 보안 키, FIDO 키)와 진화하는 표준으로 인해 이러한 혼란이 가중되고 사용자와 조직이 모범 사례를 명확하게 이해하고 일관되게 패스키를 구현 및 채택하기가 어려워질 수 있습니다. 또한 설정 및 사용 중 실수가 발생하고 지원 요청이 증가하며 보안에 잠재적인 공백이 생길 수 있습니다.
- 인프라 준비: 특히 레거시 인증에서 벗어나려면 조직에서 ID 플랫폼, 디바이스 관리 정책 및 교육 노력을 업데이트해야 할 수 있습니다. 조직은 웹 전용 인증으로 인해 레거시 또는 온프레미스 리소스가 비밀번호와 호환되지 않을 수 있습니다. 이러한 경우 조직은 다양한 환경을 아우르고 레거시 인프라를 유지할 수 있는 비밀번호 없는 기능으로 MFA를 현대화해야 합니다.
다양한 브라우저, 디바이스, 운영 체제에서 일관된 워크플로우를 제공하는 데 있어 오늘날의 패스키가 직면한 문제를 고려할 때, 업계가 진정으로 원활한 크로스 플랫폼 경험을 보장하기 위해 무엇을 할 수 있을까요? 사용자를 혼란스럽게 하고 광범위한 채택을 지연시킬 수 있는 불일치를 해결하기 위한 최선의 방법을 어떻게 결정할 수 있을까요? RSA의 UX 리더십은 일관된 사용자 경험을 옹호하기 위해 FIDO 얼라이언스의 워킹 그룹에 적극적으로 참여하고 있습니다. 당사는 인사이트를 제공함으로써 최종 사용자에게 혼란을 줄이고 마찰을 줄이며 통일성을 높일 수 있는 표준을 형성하는 데 도움을 주고자 합니다.
모빌리티는 여러 환경에서 원활한 패스키 환경을 구축하는 또 다른 측면입니다. 직원들은 점점 더 모바일 우선 워크플로우의 편리함을 기대하고 있습니다. 스마트폰에서 회사 리소스에 액세스하는 것이 같은 기기의 잠금을 해제하는 것처럼 직관적으로 느껴진다면, 패스키와 같은 새로운 인증 방법을 훨씬 더 쉽게 채택할 수 있습니다. 마찰 없는 모바일 환경은 사용자의 거부감을 없애고 학습 곡선을 최소화하며 비밀번호에서 훨씬 더 원활하게 전환할 수 있도록 도와줍니다. 친숙하고 권한에 대해 투명하며 사용자의 디바이스나 플랫폼에 관계없이 일관된 인터페이스를 제공함으로써 조직은 혼란을 줄이고 신뢰를 향상시킬 수 있습니다. RSA 모바일 FIDO 솔루션은 디바이스에 구애받지 않는 방식으로 패스키를 구현하는 방법의 예시입니다.
망치만 있으면 모든 것이 못처럼 보인다는 말이 있습니다. 아무리 훌륭한 솔루션이라도 원래 소비자용이었던 솔루션을 기업용 애플리케이션으로 전환하는 것은 상당한 위험을 초래할 수 있습니다.
이 글을 읽는 동안 "동기화 패브릭"이라는 단어가 언급되는 순간 아찔한 기분이 들었을 수도 있습니다. 여러분의 직감이 맞았습니다.
사용자가 Apple 또는 Google을 통해 로그인하는 모든 디바이스에서 마치 마법처럼 패스키가 나타난다는 사실은 기업 환경에서 중대한 위험 신호이며 몇 가지 중요한 의문을 제기해야 합니다:
- 사용자가 인증에 여러 대의 디바이스(사적으로 사용하는 디바이스도 가능)를 사용할 수 있도록 허용해야 하나요? 그렇다면... 몇 개나 허용할까요?
- 동기화된 비밀번호를 사용하면 Google 또는 Apple의 계정 복구 프로세스를 통해 "분실된" 비밀번호를 복원할 수 있습니다. 하지만 이러한 프로세스가 충분히 안전할까요?
- 사용자가 친구나 가족과 패스키를 공유할 수 있는 Apple 기능은 꽤 좋은데, 기업용 애플리케이션에 로그인하는 데 사용되는 패스키에도 적용되나요?
동기화된 암호키를 사용하면 회사의 보안이 갑자기 Apple과 Google의 기술 및 조직 보안에 크게 좌우됩니다. 물론, 어쨌든 다음과 같은 사용으로 인해 어느 정도 의존성이 있습니다. iOS 및 Android-하지만 동기화된 패스키는 이 종속성을 상당히 증가시킵니다.
이것은 이론적인 취약점도 아닙니다. 작년에 리툴은 위협 공격자들이 이 취약점을 이용해 시스템에 액세스하는 방법에 대해 논의한 바 있습니다: Retool 는 이 기능에 대해 "구글 계정이 유출되었다면 이제 MFA 코드도 유출된 것"이라고 설명했습니다.
이것은 이론적인 취약점도 아닙니다. 작년 Retool 에서 위협 행위자가 이 기능을 사용하여 시스템에 액세스하는 방법에 대해 설명했습니다: 레툴은 이 기능이 "구글 계정이 유출되면 이제 MFA 코드도 유출된다"는 것을 의미한다고 설명했습니다.
회사에서 패스키를 사용해야 하는지 여부는 일반적인 방법으로 답할 수 없습니다. 조직마다 상황이 다르기 때문에 고유한 보안과 운영 우선순위의 균형을 맞춰야 합니다.
또한, 패스키 사용 여부는 예/아니오의 문제가 되어서는 안 됩니다. 일반적으로 패스키 또는 비밀번호 없는 로그인의 도입은 조직의 전체 MFA 프로세스를 근본적으로 검토하는 데 사용되어야 합니다. 15년 동안 하드웨어 OTP 토큰에 적합했던 방식이 오늘날에는 패스키나 다른 MFA 방식에 더 이상 적합하지 않을 수 있습니다.
RSA는 패스키가 조직의 전략에 부합하고 조직이 다음 질문에 대한 답을 충분히 고려한다면 기업용으로 패스키를 배포할 수 있다고 믿습니다. 조직에서 패스키를 성공적으로 사용하는 사례는 다음과 같습니다. RSA® ID Plus, 는 비밀번호가 필요 없는 다양한 옵션을 제공하는 종합적인 ID 및 액세스 관리(IAM) 플랫폼입니다.
저희는 보안을 최우선으로 하는 조직이며 설계 시 보안/기본값 보안 원칙을 사용하기 때문에 기본적으로 동기화된 패스키를 사용하지 않습니다. RSA 환경에서는 기본적으로 디바이스 바인딩된 패스키만 사용할 수 있어 관리자의 추가 작업 없이도 최대한의 보안 수준을 바로 사용할 수 있습니다.
조직은 패스키 도입 여부를 평가할 때 다음과 같은 질문을 해야 합니다. 인증자는 어떻게 등록되어 있는가? "인증자를 분실했을 때" 시나리오를 안전하게 처리할 수 있는 프로세스가 있는가? 사용자, 애플리케이션 및 데이터의 분류는 어떻게 되어 있나요?
패스키는 다음과 같습니다. MFA 방법 가 대표적입니다. 예, 피싱 방지 기능은 훌륭하지만 사용자가 원격 데스크톱에서 이 기능을 사용하여 로그인할 수 있을까요?
이러한 이유와 기타 여러 가지 이유로 MFA 시스템은 기술적으로 최신 상태일 뿐만 아니라 QR코드, 생체인식, OTP, 푸시 메시지, 패스키 등 다양한 MFA 방법을 지원하는 것이 중요합니다.
MFA 관련 프로세스를 새로운 위협에 맞게 조정하는 것도 중요합니다. 헬프 데스크도 소셜 엔지니어링 공격으로부터 안전한가요?
패스키가 이해가 되신다면 저희가 도와드리겠습니다. 문의하기 자세히 알아보거나 시작하려면 ID Plus 45일 무료 체험판.
