FIDO AllianceFIDO Alliance
FIDO AlliancePasskey CentralAuthenticate Conference
Skip to main content

패스키 보안

사이버 범죄자는 피해자를 속여 민감한 정보나 네트워크 액세스 권한을 얻을 수 있도록 종종 신뢰할 수 있는 동료, 지인 또는 조직으로 가장합니다. 이러한 행위를 피싱이라고 합니다. 사이버 범죄자는 이메일, 문자 메시지 또는 전화 통화를 통해 사람들을 유인할 수 있습니다.

Verizon의 2024 데이터 유출 조사 보고서에 따르면 _지난 몇 년 동안 피싱 보고 비율이 전반적으로 증가했습니다. 사용자가 피싱 이메일에 속는 데 걸리는 평균 시간은 60초 미만입니다.

피싱 외에도 자격 증명 유출과 취약점 악용 또한 보안 문제입니다. 2024년 보고서에서는 30,000건이 넘는 사건을 조사했으며 그중 3분의 1이 데이터 유출로 확인되었습니다.

  • 유출의 14%는 초기 액세스 단계에서 취약점 악용과 관련이 있으며, 이는 작년 보고서보다 거의 3배 증가한 수치입니다.
  • 유출의 68%는 소셜 엔지니어링 공격의 희생양이 되거나 실수를 저지르는 등 악의적이지 않은 인적 요소와 관련이 있었습니다.
  • 유출의 15%는 소프트웨어 공급망, 호스팅 파트너 인프라 또는 데이터 관리자와 같은 제3자 또는 공급업체와 관련이 있었습니다.

패스키는 피싱 방지 기능을 갖추고 있으며 설계상 안전합니다. 이 접근 방식은 기존 인증 및 다단계 인증보다 향상된 보안 모델을 제공합니다. 패스키는 사실상 모든 개인용 컴퓨팅 기기에서 패스키를 지원하고 사람들이 패스키 사용자 환경을 선호하기 때문에 장기적인 요구 사항을 충족할 수 있도록 확장 가능합니다.

개요

패스키는 비대칭 암호화를 기반으로 하는 도전-응답 인증 프로토콜을 사용합니다. 이를 통해 피싱을 방지하고 서버에서 민감한 비밀 정보를 제거할 수 있습니다. 덕분에 기존 인증에 비해 보안이 크게 강화되었습니다.

피싱 방지

패스키는 사용자가 기기를 잠금 해제하여 승인하면 시스템(브라우저, 운영 체제 및 동일한 표준을 준수하는 암호 관리자 또는 보안 키의 조합)에서 표시됩니다. 시스템은 절대 잘못된 사이트에 자격 증명을 표시하지 않으므로 피싱의 본질을 무력화합니다. 예를 들어 사용자를 company.com의 암호를 compannyy.com(문자가 몇 개 더 있는) 웹사이트에 입력하도록 속일 수는 있지만 시스템은 로봇이기 때문에 패스키가 발급된 도메인과 사용자가 현재 사용 중인 도메인이 정확히 일치해야 하므로 절대 그렇게 하지 않습니다.

또한 사용자의 휴대폰에서 근처 기기(예: 컴퓨터)로 패스키를 표시하여 인터넷 서비스에 로그인할 수도 있습니다. 이를 _기기 간 인증_이라고도 합니다. 이 경우 컴퓨터 시스템과 모바일 시스템은 표준을 사용하여 휴대폰이 실제로 컴퓨터 가까이에 있고 표시가 피싱 불가능한지 확인합니다. 이 경우 물리적 근접성은 블루투스를 사용하여 확인합니다. 휴대폰과 컴퓨터 간의 프로토콜은 애플리케이션 계층에서 보호되며 블루투스 보안에 의존하지 않습니다.

기기 간 인증의 또 다른 중요한 사용 사례에서 사용자는 인터넷 서비스에 로그인하기 위해 보안 키(USB를 통해)를 삽입하거나 보안 키(NFC를 통해)를 탭하여 보안 키에 있는 패스키를 근처 기기(예: 컴퓨터 또는 모바일)에 표시할 수 있습니다. 이 경우 물리적 근접성은 USB 또는 NFC를 사용하여 보장됩니다.

서버 측 비밀 정보 제거

우리가 자주 듣는 또 다른 표준 공격 방법은 일부 소규모 사이트에서 비밀번호 해시 데이터베이스가 도난당한 다음 해싱이 제대로 수행되지 않아 공격자가 데이터베이스를 크래킹하는 경우입니다. 공격자는 이제 플레인 텍스트 암호를 알고 있으며 이 사이트에서 사용자로 로그인할 수 있으며 사용자가 암호를 재사용한 경우(사용자는 자주 그렇게 합니다) 다른 사이트에도 로그인할 수 있습니다. 하지만 패스키는 비대칭 암호화를 사용하기 때문에 유사한 서버 데이터베이스에는 공개 키 집합만 포함됩니다.

암호학의 수학적 계산에 따르면 공개 키를 크래킹하여 개인 키를 추출하는 것은 계산적으로 불가능합니다. 따라서 공격자가 이 데이터베이스를 손에 넣을 수 있다고 해도 개인 키는 사용자의 기기에만 있으므로 공격자는 공개 키를 사용하여 사이트에 로그인할 수 없습니다.

한 단계 더 나아가 모든 사이트의 모든 계정에는 고유한 공개 키와 개인 키 쌍이 있습니다. 따라서 한 사이트에서 도난당한 공개 키 데이터베이스는 재사용이 불가능하기 때문에 다른 사이트를 손상시키는 데 사용할 수 없습니다.

다단계 인증

인증 요소에는 다음과 같은 세 가지 유형이 있습니다.

  • _소지_한 것
  • _본인_인 것
  • 알고 있는

패스키는 개인 키와 공개 키 쌍을 사용합니다. 개인 키는 기기에 저장되며 _소지_한 것에 대한 요소를 설정합니다.

로그인하려는 서비스에서 사용자가 생체 인식 또는 PIN으로 실행할 수 있는 사용자 검증을 요청하는 경우 이는 _본인_이거나 알고 있는 것입니다. 따라서 패스키를 사용한 인증은 다단계 보안의 핵심 원칙을 구현합니다.

조직은 자격 증명 관리자 계정에 액세스하는 데 사용되는 암호와 같은 단일 요소를 통해 공격자가 패스키를 사용할 수 있게 될까 봐 우려할 수 있습니다. 하지만 실제로는 그렇지 않은 경우가 많습니다. 자격 증명 관리자는 사용자를 인증하고 기기에 패스키를 복원할 때 사용자의 암호 외에도 사용자에게 보이는 것과 보이지 않는 여러 위험 신호를 고려합니다.

생체 인식

FIDO 프로토콜은 생체 인식 데이터를 사용할 때 데이터가 기기를 떠나지 않도록 지시합니다. 서버는 생체 인식 확인이 성공적으로 이루어졌다는 보증만 확인합니다. 휴대폰, 컴퓨터, 보안 키와 같은 기기의 로컬 생체 인식 처리에는 변경 사항이 없습니다.

기기에 연결된 패스키용 보안 키

특정한 규정 준수 요구 사항이 있는 환경에서는 사용 가능한 암호화 키의 복사본이 하나만 있는지 확인해야 할 수 있습니다. FIDO 보안 키의 패스키는 이러한 사용 사례에 적합한 솔루션입니다.

또 다른 유용한 사용 사례는 최종 사용자가 계정 복구 요소로 보안 키를 사용하는 것입니다. 최종 사용자가 동기화된 패스키를 사용하는 휴대폰이나 다른 기기에 대한 액세스 권한을 잃어버린 경우 FIDO 보안 키를 사용하여 액세스 권한을 복구할 수 있습니다.

Google
TrusonaTrusona
Yubico

설립 후원사

Learn more about underwriting