꾸준히 사용이 증가하는 패스워드없는 인증 [Passwordless] 아키텍처
비밀번호 없는 인증의 사용이 꾸준히 증가
인증 제공업체인 Auth0은 2027년에는 비밀번호 없는 인증이 비밀번호 사용량을 넘어설 것으로 예측합니다. Gartner는 2022년까지 '대기업 및 글로벌 기업의 60%, 중견기업의 90%가 2018년 5%에서 증가한 50% 이상의 사용 사례에서 비밀번호 없는 방법을 구현할 것'이라고 예측했습니다.
웹의 대형 빅테크들도 기술 채택 가속화
비밀번호 없는 인증은 글로벌 빅테크 업체들도 기술 채택을 가속화하고 있습니다. 2022년 세계 비밀번호의 날에 Google, Microsoft 및 Apple은 만들어진 공통 비밀번호 없는 로그인 표준에 대한 지원을 확대할 계획을 발표했습니다.
Passwordless authentication의 특징
비밀번호 없는 인증은 사용자가 비밀번호나 비밀 정보를 사용하지 않고 시스템이나 애플리케이션에 로그인하는 사용자 관리 방법입니다. 지식 기반 요소(예: 비밀번호)를 사용하는 대신 소유권 요소(예: 이메일 계정) 또는 고유 요소(예: 얼굴 인식)를 통해 사용자의 신원을 확인합니다.
비밀번호 대신 사용되는 인증 방법은 다양합니다.
- 일회용 코드(OTC, OTP) 입력
- 매직 링크 (이메일, SMS를 이용한 접속 링크)
- 생체인식 로그인(지문, FaceID, 음성인식)
- 스마트카드 또는 물리적 토큰
- 디지털 인증서
사용자가 소지한 기기나 이메일, SMS 등을 통해
액세스 권한을 부여하는 매직링크 나 일회용 코드, 생체인식등의 복합된 인증을 이용하여 액세스 권한을 제공 합니다.
패스워드 없는 인증의 아키텍처 구성요소
Passwordless 아키텍처의 구성 요소는 주로 다음과 같습니다:
1. 인증 수단 (Authentication Factor): 비밀번호를 대체할 다른 인증 수단이 필요합니다. 예를 들면 바이오메트릭 데이터(지문, 안면 인식), 일회용 비밀번호, 하드웨어 토큰 등이 있습니다.
2. 사용자 식별 수단:
사용자를 고유하게 식별하기 위한 수단이 필요합니다. 사용자 식별자, 이메일, 또는 전화번호 등이 여기에 해당됩니다.
3. 신뢰할 수 있는 장치:
사용자가 인증을 시도하는 장치가 안전하고 신뢰할 수 있어야 합니다. 보안을 강화하기 위해 트러스트드 플랫폼 모듈(TPM)과 같은 하드웨어 기반의 보안도 사용될 수 있습니다.
4. 인증 서버:
사용자의 인증을 처리하고 관리하는 서버가 필요합니다. 이 서버는 사용자의 신원을 확인하고 인증을 제어합니다.
5. 클라이언트 앱 또는 웹사이트:
사용자가 실제로 상호 작용하는 인터페이스가 필요합니다. 이는 모바일 앱, 웹사이트 등이 될 수 있습니다.
6. 통신 보안:
인증 정보를 전송하는 과정에서 안전한 통신이 보장되어야 합니다. HTTPS와 같은 보안 프로토콜을 사용하여 데이터를 암호화하는 것이 중요합니다.
패스키 (Passkey) 작동 방식
2022년 6월 Apple은 웹사이트와 앱에 로그인하는 데 사용되는 새로운 '패스키' 기능을 발표하였고,
2023년 5월 구글도 기존의 앱 및 웹사이트 로그인 방법을 대체한 새로운 패스키 기능을 도입했습니다.
두 기업의 접근 방식은 각각의 보안 표준과 생체 인식 기술을 기반으로 하고 있으며, 각각의 장점과 한계를 가지고 있습니다.
구글과 애플 패스키 (Google, Apple Passkey)는 일반적으로 FIDO (Fast Identity Online) Alliance의 웹 자격증명 API를 기반으로 동작합니다.
다음은 패스키의 작동 방식의 간략한 설명입니다:
1. 등록(Registering):
사용자가 구글 애플 패스키를 사용하려면 먼저 등록 단계를 거쳐야 합니다. 이때 사용자는 생체 인증 또는 기기 기반 인증 등 여러 인증 수단 중 하나를 선택하여 등록을 완료합니다.
2. 인증(Authentication):
등록이 완료된 후, 사용자가 로그인하거나 서비스에 접근할 때 구글 애플 패스키를 통한 인증이 이루어집니다. 이때 사용자가 선택한 인증 수단을 활용하여 로그인을 수행합니다.
3. FIDO2 및 WebAuthn 프로토콜:
패스키는 주로 FIDO2 (WebAuthn) 프로토콜을 사용하여 작동합니다. 이는 웹사이트와 클라이언트 기기 간에 안전하고 표준화된 방식으로 사용자를 인증하는 데 사용됩니다.
4. 생체 인증 또는 기기 인증:
구글 애플 패스키는 사용자가 등록한 인증 수단을 통해 사용자를 확인합니다. 이는 지문, 안면 인식, 기기에 저장된 고유한 인증 정보 등을 포함할 수 있습니다.
5. 공개키 기반의 암호화:
FIDO2 기반의 패스키는 공개키 기반의 암호화를 사용하여 안전한 인증을 제공합니다. 사용자의 기기가 자체적으로 공개키를 생성하고 이를 사용하여 서버에 대한 서명을 생성합니다.
https://youtu.be/ywQ8bFla-L8
생체인식 QR인식 등으로 기기 인증으로 PC화면 보호기 암호 대체나 웹페이지 패스워드 로그인을 대체할 수 있습니다.
비밀번호 없는 인증 장점
1. 피싱 및 비밀번호 도용 위험 감소:
사용자가 비밀번호를 입력하지 않으므로 가짜 웹사이트를 이용한 로그인 자격 증명을 입력하는 피싱 공격에 취약하지 않습니다.
무차별 대입 공격, 비밀번호 데이터 침해 및 기타 유형의 자격 증명 도용을 방지할 수 있습니다.
2. 자격 증명 재사용 감소:
여러 서비스와 계정에서 비밀번호를 재사용하면 사용자와 시스템에 예방할 수 없는 더 큰 위험이 발생합니다. 64%의 사람들이 한 번의 침해로 노출된 동일한 비밀번호를 다른 계정에서 사용한 것으로 보고 되었습니다.
사용자는 너무 많은 계정의 사용자 이름과 비밀번호를 기억할 필요가 없어집니다. 로그인 시도에 여러 번 실패한 후 비밀번호를 계속해서 재설정해야 하는 번거로움도 사라집니다.
3. 더 빠른 로그인:
FIDO와 마찬가지로 강력한 비밀번호는 최소 16자 이상을 권장하며, 지문을 스캔하거나 매직 링크를 여는 것에 비해 입력하는 데 시간이 오래 걸립니다.