계정을 암호가 아닌 기기로 인증하는 FIDO라는 기술이 있다. 이 방식은 쉽게 설명하면 계정에 기기를 등록하는 방식으로, 기기가 있어야만 로그인을 할 수 있기 때문에 암호 탈취나 피싱 공격에 MFA보다(OTP나 SMS로 추가 인증) 강하다.(암호를 말 할 수가 없으니) 암호를 기억할 필요가 없는 것은 덤.

그런데 이 방식은 기기를 잃어버리거나 새로 사면 복잡한 절차를 거쳐 기기를 새로 등록해야하고, 여러 기기를 사용한다면 사용을 못하거나 기기마다 등록 절차를 거쳐야하기 때문에 약간 불편한 방식이기도 하다.

그래서 나온 것이 패스키(PassKey). 패스키는 비공개키(개인키)와 공개키를 이용하는 방식으로, 공개키(자물쇠)는 서버에 비공개키(열쇠)는 사용자의 기기에 저장해서 두 키를 맞춰 인증한다. 따라서 피싱에도 안전하고 서버가 털려도 안전한 방식.

그리고 하나의 키만 사용하면 사용자의 비공개 키 하나만 털리면 모든 서비스가 다 털리는 것과 마찬가지가 되기 때문에, 키를 서비스마다 각각 따로 만든다.

하지만 기기나 키를 탈취당하면 문제가 생길 수 있기 때문에, 생체 인증을 사용해 키를 저장하는 공간의 보호하는 방식으로 강력한 보안을 완성한다. 이게 가능해졌기 때문에 최근에 많은 주요 서비스들이 강력한 보안 체계로 PassKey를 제안하고 있는 것.

그런데 이렇게 하면 보안상으로는 좋지만, 본인 인증이 필요한 경우 각 서비스마다 본인 인증 절차를 거쳐 키를 받아야하므로 불편하거나 본인 인증이 필요한 서비스를 쉽게 만들기 어렵다.

이를 해결하기 위한 방법으로 키+생체 인증과 SSO(한 서비스에 로그인한 것으로 다른 서비스를 사용할 수 있게 하는 기술)를 복합적으로 사용하는 방법이 있는데, 이것이 바로 카카오나 네이버의 민간 인증서와 비슷한 방식이 된다.

이 내용을 잘 이해했다면 공동(공인)인증서가 얼마나 위험한 인증 방식인지를 이해 할 수 있다.

모든 서비스에 다 사용할 수 있는 하나의 키를 사용하고, 기기의 쉽게 접근 할 수 있는 위치에 평문으로 저장되어 있으며, 그 키를 사용하기 위한 인증 방법으로 MFA도 아니면서 생체 인증도 아닌 불러줄 수 있는 암호를 쓴다.

개인 기기에서 하나의 키를 탈취하고 비밀번호만 알아내면 모든 공공기관에 완벽히 나를 사칭 할 수 있다. 보안적으로 컴퓨터에 포스트잇으로 비밀번호 붙여 놓는거나 별반 차이가 없다!

중요한 공공기관 서비스일수록 이런 가장 취약한 보안 체계를 반드시 사용해야 하는데, 이를 아는 사람들에겐 너무나 찝찝한 것이다.

특히 생성AI로 인해 피싱 사기가 엄청나게 쉬워진 세상. 이제는 구시대적이고 보안적으로 가장 취약한 공동(공인)인증서 보안 체계는 진짜로 폐기 할 때가 되지 않았나 싶다.