(서울=연합뉴스) 오규진 기자 = 안전과 편리함, 두 마리 토끼를 동시에 잡는 보안 체계.
다린 애들러 애플 인터넷 기술 부문 부사장이 연합뉴스와 화상 인터뷰에서 이 회사의 새로운 로그인 시스템 '패스키'에 대해 내린 정의를 요약하면 이랬다.
패스키는 앱 혹은 웹사이트에 로그인할 때 쓰이던 기존의 아이디·비밀번호 방식과 달리, 서버에 비밀번호 정보를 남기지 않는다. 또한 '종단 간 암호화'(end-to-end encryption) 기술을 이용해 유출되는 개인정보가 없도록 설계됐다. 종단 간 암호화 기술은 메시지를 보내는 곳부터 받는 곳까지 모든 과정에서 암호화 기술을 유지하는 정보 전송 방식이다.
패스키는 공개 키와 비공개 키로 나뉘며, 터치ID 또는 페이스 ID로 생체 인식 인증을 거쳐 로그인할 수 있다.
앞서 애플은 지난 6월 연례 개발자 행사 '세계개발자대회(WWDC) 2022'에서 올해 하반기 패스키 도입을 예고했다.
애들러 부사장과 커트 나이트 애플 플랫폼 부문 제품 마케팅 시니어 디렉터는 지난달 28일 패스키 기능을 기자에게 설명한 뒤 질문에 답하는 방식으로 인터뷰를 했다.
애플이 패스키 시스템을 도입키로 한 것은, 여전히 널리 쓰이고 있는 기존 아이디·비밀번호 기반 로그인 체계가 원천적으로 심각한 보안 문제를 노출할 수밖에 없다는 점 때문이다.
나이트 디렉터는 "비밀번호는 추측하기 쉽고 피싱 또는 웹사이트 해킹을 통해 노출될 여지가 크다"면서 "비밀번호 인증을 대체하기 위한 시도가 없던 것은 아니지만 주로 기업용으로 사용하는데 그쳤다"고 분석했다.
애플의 설명에 따르면, 패스키는 1960년대부터 정보 전송에 사용돼 온 '공개키 암호 방식'(public-key cryptography) 기술을 로그인 체계에 적용한 것이다.
이용자가 로그인 아이디를 입력하면 서버에 저장된 공개 키가 기기에 있는 비공개 키를 비교·검증한 뒤 로그인 여부를 결정한다.
이때 공개키는 암호화된 숫자로 구성됐으며 비공개키를 가진 사람이 로그인하는지 확인하는 역할만을 수행한다. 이 과정에서 인수분해 등에 관한 수학 이론이 활용된다.
애플은 패스키가 피싱을 사실상 불가능하게 하며, 해킹 등으로 웹사이트 정보가 유출되더라도 주요 정보에 접근할 수 없도록 한다고 설명했다.
애들러 부사장은 "공개키는 비밀이 아니기 때문에 웹사이트에서 정보가 유출되더라도 훔칠 개인정보가 없다"면서 "계정 보안에 대한 웹사이트 개발자들의 부담을 덜어줄 것으로 기대한다"고 말했다.
애플은 패스키가 이용자의 안전과 편리함을 동시에 잡는 기술이라고 설명했다.
터치ID, 페이스ID 등 대중에게 친숙한 생체 인증 방식으로 더 안전한 보안 체계를 구축했다는 것이다.
애들러 부사장은 "비밀번호 없이 로그인할 수 있는 웹 인증(WebAuthn) 표준을 적용했으며 기기를 분실하더라도 아이클라우드(iCloud) 키체인으로 패스키를 복구할 수 있도록 했다"고 밝혔다.
애플 것이 아닌 다른 운영체제를 사용하는 기기에서도 패스키를 사용할 수 있다. 보유한 아이폰·아이패드 카메라로 QR코드 인증을 한 뒤 블루투스 신호를 활용해 가까운 거리에 있다는 것을 증명하면 된다.
애들러 부사장은 "패스키는 이미 가지고 있는 기기, 이미 가지고 있는 습관을 바꾸지 않아도 더 강력한 수준의 보안을 제공한다"라고 강조했다.
나이트 디렉터도 "비밀번호·패스워드를 개선하는 것이 아니라 훨씬 더 강력한 기능으로 대체한다"고 덧붙였다.
(후략)
http://n.news.naver.com/mnews/article/001/0013346310?sid=105
오
