애플 새 로그인체계 '패스키' 하반기 출시.."안전·편의 함께"

애들러 부사장·나이트 디렉터, 연합뉴스와 국내 단독 인터뷰
"기기·습관을 바꾸지 않아도 더 강력한 수준의 보안 제공"

패스키 [애플 홈페이지 캡처. 재판매 및 DB 금지]

(서울=연합뉴스) 오규진 기자 = 안전과 편리함, 두 마리 토끼를 동시에 잡는 보안 체계.

다린 애들러 애플 인터넷 기술 부문 부사장이 연합뉴스와 화상 인터뷰에서 이 회사의 새로운 로그인 시스템 '패스키'에 대해 내린 정의를 요약하면 이랬다.

패스키는 앱 혹은 웹사이트에 로그인할 때 쓰이던 기존의 아이디·비밀번호 방식과 달리, 서버에 비밀번호 정보를 남기지 않는다. 또한 '종단 간 암호화'(end-to-end encryption) 기술을 이용해 유출되는 개인정보가 없도록 설계됐다. 종단 간 암호화 기술은 메시지를 보내는 곳부터 받는 곳까지 모든 과정에서 암호화 기술을 유지하는 정보 전송 방식이다.

패스키는 공개 키와 비공개 키로 나뉘며, 터치ID 또는 페이스 ID로 생체 인식 인증을 거쳐 로그인할 수 있다.

앞서 애플은 지난 6월 연례 개발자 행사 '세계개발자대회(WWDC) 2022'에서 올해 하반기 패스키 도입을 예고했다.

애들러 부사장과 커트 나이트 애플 플랫폼 부문 제품 마케팅 시니어 디렉터는 지난달 28일 패스키 기능을 기자에게 설명한 뒤 질문에 답하는 방식으로 인터뷰를 했다.

다린 애들러 애플 부사장 [애플 제공. 재판매 및 DB 금지]

공개키 암호방식을 로그인 체계로…안전과 편리함 모두 잡는 패스키

애플이 패스키 시스템을 도입키로 한 것은, 여전히 널리 쓰이고 있는 기존 아이디·비밀번호 기반 로그인 체계가 원천적으로 심각한 보안 문제를 노출할 수밖에 없다는 점 때문이다.

나이트 디렉터는 "비밀번호는 추측하기 쉽고 피싱 또는 웹사이트 해킹을 통해 노출될 여지가 크다"면서 "비밀번호 인증을 대체하기 위한 시도가 없던 것은 아니지만 주로 기업용으로 사용하는데 그쳤다"고 분석했다.

애플의 설명에 따르면, 패스키는 1960년대부터 정보 전송에 사용돼 온 '공개키 암호 방식'(public-key cryptography) 기술을 로그인 체계에 적용한 것이다.

이용자가 로그인 아이디를 입력하면 서버에 저장된 공개 키가 기기에 있는 비공개 키를 비교·검증한 뒤 로그인 여부를 결정한다.

이때 공개키는 암호화된 숫자로 구성됐으며 비공개키를 가진 사람이 로그인하는지 확인하는 역할만을 수행한다. 이 과정에서 인수분해 등에 관한 수학 이론이 활용된다.

애플은 패스키가 피싱을 사실상 불가능하게 하며, 해킹 등으로 웹사이트 정보가 유출되더라도 주요 정보에 접근할 수 없도록 한다고 설명했다.

애들러 부사장은 "공개키는 비밀이 아니기 때문에 웹사이트에서 정보가 유출되더라도 훔칠 개인정보가 없다"면서 "계정 보안에 대한 웹사이트 개발자들의 부담을 덜어줄 것으로 기대한다"고 말했다.

애플은 패스키가 이용자의 안전과 편리함을 동시에 잡는 기술이라고 설명했다.

터치ID, 페이스ID 등 대중에게 친숙한 생체 인증 방식으로 더 안전한 보안 체계를 구축했다는 것이다.

애들러 부사장은 "비밀번호 없이 로그인할 수 있는 웹 인증(WebAuthn) 표준을 적용했으며 기기를 분실하더라도 아이클라우드(iCloud) 키체인으로 패스키를 복구할 수 있도록 했다"고 밝혔다.

애플 것이 아닌 다른 운영체제를 사용하는 기기에서도 패스키를 사용할 수 있다. 보유한 아이폰·아이패드 카메라로 QR코드 인증을 한 뒤 블루투스 신호를 활용해 가까운 거리에 있다는 것을 증명하면 된다.

애들러 부사장은 "패스키는 이미 가지고 있는 기기, 이미 가지고 있는 습관을 바꾸지 않아도 더 강력한 수준의 보안을 제공한다"라고 강조했다.

나이트 디렉터도 "비밀번호·패스워드를 개선하는 것이 아니라 훨씬 더 강력한 기능으로 대체한다"고 덧붙였다.

패스키 시스템 [애플 WWDC 소개 영상 캡처. 재판매 및 DB 금지]

올가을부터 패스키 쓸 수 있을 듯…FIDO 얼라이언스 협업도 이어갈 예정

애플은 올해 가을께부터 웹사이트·애플리케이션에서 패스키를 사용할 수 있을 것으로 전망했다.

이를 위해 애플은 공식 홈페이지 등에서 패스키 샘플 코드를 공개하고 있다.

애들러 부사장은 "패스키를 구현하기 위해 필요한 모든 사항은 WWDC 발표에서 다뤘다"면서 "일부 웹사이트들은 서비스 제공업체들과 같이 일하면서 로그인 방식을 어떻게 구현할지 논의하고 있는 것으로 안다"고 말했다.

다만 애플은 현 시점에서 개발자들이 패스키 도입을 서두르도록 인위적으로 유도하지는 않을 방침이다.

나이트 디렉터는 "웹사이트에서 비밀번호와 패스키를 동시에 지원할 수 있기 때문에 '하드 스위치'(전환 시점을 정해 놓고 옛 시스템을 새 시스템으로 단번에 전환하는 것)를 진행할 이유가 없다"면서 "매우 자연스러운 전환을 기대한다"고 밝혔다.

또 애플은 구글, 마이크로소프트, 퀄컴, 페이팔 등이 참여하는 FIDO 얼라이언스와 협력을 이어나갈 계획이다.

2012년 설립된 FIDO 얼라이언스는 암호인증 의존도를 줄이고 빠르고 안전한 온라인 신원 인증을 위해 관련 기술 표준을 마련하는 기업 협의체다.

나이트 디렉터는 "사용자가 언제 어디서든, 또 애플 기기를 사용하지 않더라도 패스키를 사용할 수 있도록 지원하고 싶었다"면서 "FIDO 얼라이언스뿐 아니라 구글, 마이크로소프트 등 주요 파트너들과도 협업을 진행하고 있다"고 말했다.

인터뷰를 마치며 나이트 디렉터는 "애플은 혁신적인 회사이고 새로운 기술을 끊임없이 선보이고 있습니다. 현존하는 기술보다 더 쉽고 단순한 보안 체계를 친숙한 방식으로 제공할 수 있어 매우 기쁩니다"라고 패스키를 기다리는 사용자들에게 말했다.

acdc@yna.co.kr

▶제보는 카톡 okjebo