비밀번호는 중요한 보안 장치지만 귀찮을 때도 있다. 번거롭게 긴 암호를 작성하고 기억해야 하기 때문이다. 그래서 한번 로그인하면 그다음에 비밀번호를 기억하도록 설정하기도 한다. 한편 잘못된 비밀번호를 사용하거나 실수로 번호를 유출하면 해킹당할 수도 있다. 기술자들은 비밀번호 방식을 대체하기 위해 고민했다. 

애플, 구글, 마이크로소프트를 포함한 산업계 협력 기구 FIDO 얼라이언스는 패스키라는 대안을 들고 왔다. 최근 구글은 패스키만으로 계정에 접속할 수 있다고 발표하기도 했다.

패스키는 웹 인증 표준과 공개 키 암호화 방식을 기반으로 작동한다. 사용자가 직접 비밀번호를 떠올리는 대신 기기에서 수학적으로 암호키를 생성한다. 공개 키와 개인 키로 이루어진 한 쌍의 암호다. 이중 공개키는 서비스가 받아서 보관한다. 개인 키는 자기 장치에 저장한다. 이때 보통 지문이나 얼굴 스캔 같은 생체 정보로 개인 키를 잠그게 된다. 물론 원한다면 4~8자리 숫자로 이루어진 PIN 비밀번호를 사용할 수도 있다.

두 쌍의 암호키는 서로 수학적인 연관성을 띤다. 접속 요청을 받은 웹사이트나 앱은 사용자 기기에서 개인 키로 신분을 확인할 수 있다. 덕분에 사용자는 개인 키가 무슨 내용인지 몰라도 로그인할 수 있다. 타자를 치고 자신을 증명하지 않고 키만 누르면 된다. 또한 비밀번호를 일일이 기억할 필요가 없으므로 생기는 장점도 있다. 범죄자가 타인을 속여서 계정 정보를 빼내기 힘들어진다. 당사자가 정보를 모르기 때문이다. 

구글이 사용하는 패스키를 예시로 알아보자. 계정에 접속하기 위해서 이메일 주소를 입력하고 지문이나 얼굴을 스캔하기만 하면 된다. 암호를 대신 기억해주는 패스워드 매니저 프로그램과 유사하다. 다만 암호를 아예 떠올릴 필요가 없다는 차이가 있다.

이처럼 장점이 뚜렷한 패스키 방식이지만 아직 완성되었다고 보기 어렵다. 아르스 테크니카는 패스키가 같은 운영 체제끼리만 동기화할 수 있다고 지적했다. 스마트폰과 PC 컴퓨터의 운영 체제가 다르다면 곤란할 수 있다. 안드로이드 스마트폰에서 패스키를 만들면 안드로이드 체제를 공유하는 다른 기기와 동기화된다. 그러나 윈도우 OS 기반 PC 컴퓨터나 크롬 브라우저에서 적용할 수 없다. QR코드 등을 이용하는 방법이 있지만 간편함에서 멀어지게 된다. 다만 본인이 스마트폰과 PC 모두 애플 기기만 사용한다면 해당하지 않는 이야기다.

패스키가 아직 시작 단계라는 점도 걸림돌이다. 다양한 서비스를 운영하는 구글이 지원에 나섰으므로 패스키는 점차 확대될 것이다. 그러나 시간이 걸릴 수 있다. 현재 패스키로 로그인할 수 있는 앱과 서비스는 40개 정도에 불과하다. 게다가 운영체제마다 지원하는 정도가 다르다. 

패스키 이전 대시레인이나 원패스워드 같은 패스워드 매니저들은 비밀번호를 간편하게 관리하는 도구 중 하나였다. 암호를 저장하면 필요할 때마다 편리하게 꺼내서 입력할 수 있었다. 이들은 이제 패스키를 전파하려고 노력한다. 제프 샤이너 원패스워드 CEO는 파퓰러 사이언스에 "패스키는 인적 오류를 제거한 최초의 인증 방법으로 보안성과 사용자 편의성을 제공한다"며 "하지만 널리 채택되기 위해서 사용자가 패스키를 사용할 장소와 시기를 선택할 수 있어야 하며 운영체제 간 쉽게 전환할 수 있어야 한다"고 밝혔다.

패스키를 직접 사용해보고 싶다면 구글에 들어가 설정하면 된다. 아쉽게도 현재 일반 구글 계정이 아닌 구글 워크스페이스 계정은 지원하지 않고 있다. 

※이 기사는 popsci.com 원문을 바탕으로 작성됐으며, 번역은 파퓰러사이언스코리아 소속 기자가 도왔습니다.

/ 글 HARRY GUINNESS 기자 & 육지훈 기자