Entrar
英 NCSC, 기업에 패스키 전환 촉구 “피싱 공격 차단에 효과적”
영국 국가 사이버보안센터(NCSC)가 기업이 소비자에게 제공하는 기본 인증 방식으로 패스키를 채택할 것을 권고했다. 산업 전반의 기술 발전으로 패스키가 비밀번호보다 더 안전하면서도 사용자 친화적인 대안으로 자리 잡았다는 판단에서다.
NCSC는 23일 블로그를 통해 “이제 패스키를 개인과 기업 모두를 위한 주요 인증 수단으로 권장할 수 있는 수준에 도달했다”고 밝혔다. 이어 “패스키는 소비자의 첫 번째 로그인 선택지가 되어야 한다”며 “비밀번호는 현대 환경에서 더 이상 충분한 복원력을 갖추지 못했다”고 지적했다.
또 “패스키는 온라인 계정 로그인 방식의 새로운 형태로, 사용자가 비밀번호를 입력하는 대신 승인만 하면 되도록 대부분의 과정을 자동 처리한다”며 “이로 인해 더 빠르고 간편하게 사용할 수 있고, 사이버 공격자가 침해하기도 훨씬 어렵다”고 설명했다.
NCSC는 패스키를 지원하는 모든 환경에서 이를 적극 활용해야 한다고 강조하며, 패스키가 피싱 공격에 강하고 비밀번호 재사용으로 인한 위험을 제거한다고 밝혔다.
피싱에 강한 인증 방식에 초점
이번 가이드라인은 실제 공격 환경에서 인증 방식이 어떻게 작동하는지를 분석한 결과를 기반으로 한다.
NCSC는 피싱, 자격증명 재사용, 세션 하이재킹 등 주요 공격 기법을 중심으로 인증 수단을 평가했으며, 자격증명이 생성·저장·사용되는 전 과정에서 어떻게 노출되는지를 종합적으로 분석했다고 밝혔다.
NCSC는 “패스키는 피싱 공격에 강하며 비밀번호 재사용에 따른 위험을 제거한다”고 재차 강조했다.
또한 별도의 기술 문서를 통해 기존 인증 방식에 대해서도 평가를 내놨다. 비밀번호와 일회용 코드(OTP)를 결합한 방식조차 “본질적으로 피싱 공격에 취약하다”고 지적했다.
반면 FIDO2 기반 패스키는 “현실에서 발생하는 대부분의 자격증명 공격에 대해 기존 다중인증(MFA)과 동등하거나 그 이상의 보안 수준을 제공한다”고 분석했다.
다만 NCSC는 해당 분석이 기업 내부 인증 환경에 그대로 적용되는 것은 아니라고 설명했다. “이 문서의 상당 부분은 직원의 싱글사인온(SSO) 인증과 같은 기업 환경에도 적용될 수 있지만, 위협 모델과 사용 시나리오가 다르기 때문에 기업 리스크 평가를 위한 용도로 작성된 것은 아니다”라고 덧붙였다.
공격 모델을 바꾸는 패스키
NCSC는 패스키가 기존 인증 구조의 핵심 위험 요소인 ‘공유된 비밀(shared secret)’ 의존성을 제거함으로써 보안 위험을 낮춘다고 설명했다. 인증 정보를 특정 서비스에 강하게 결합하는 방식이기 때문에 공격자가 이를 가로채 재사용하는 것이 불가능하다는 것이다.
이에 따라 자격증명 재사용 공격이나 중계(릴레이) 공격을 원천적으로 차단할 수 있다. NCSC는 패스키가 사용자 기기에 저장된 암호화 키 쌍을 기반으로 작동하며, 생체인식이나 PIN과 같은 기기 기반 인증과 결합된다고 밝혔다.
사용자 인증 방식의 구조적 전환
이번 가이드라인은 고객 대상 온라인 서비스를 제공하는 기업들에게 사용자 인터페이스 수준의 인증 방식 변화를 요구하는 신호로 해석된다.
글로벌 시장조사업체 포레스터(Forrester)의 수석 애널리스트 마들레인 반 더 하우트는 “이번 변화는 점진적인 인증 업그레이드가 아니라 근본적인 아키텍처 전환”이라며 “비밀번호와 다중인증(MFA) 조합을 넘어, 피싱 저항성을 중심으로 한 새로운 인증 기반으로 이동하는 것”이라고 설명했다.
이어 “패스키는 공유된 비밀 대신 기기 기반 암호화 인증을 사용해 자격증명 탈취 위험을 제거한다”며 “이를 단순한 인증 수단 교체로 접근하면 투자 부족으로 이어질 수 있지만, 신원 관리 현대화 기회로 인식하면 경쟁력을 확보할 수 있다”고 덧붙였다.
NCSC는 기업이 인증 체계를 설계할 때 로그인뿐 아니라 계정 복구와 대체 인증 수단까지 포함한 전체 사용자 여정을 고려해야 한다고 강조했다. 패스키 도입으로 비밀번호 의존도는 줄어들지만, 비밀번호 재설정이나 계정 복구 절차가 취약할 경우 여전히 보안 위험이 발생할 수 있다는 지적이다.
여전히 남아 있는 도입 과제
NCSC는 패스키가 아직 모든 서비스에서 지원되는 것은 아니라고 밝혔다. 이에 따라 패스키를 사용할 수 없는 환경에서는 비밀번호 관리 도구와 다중인증을 병행할 것을 권장했다.
NCSC는 “특정 서비스가 패스키를 지원하지 않는 경우, 강력한 비밀번호를 생성할 수 있는 비밀번호 관리자를 활용하고 2단계 인증을 계속 사용하는 것이 바람직하다”고 설명했다.
반 더 하우트는 특히 다양한 플랫폼과 사용자 환경을 동시에 운영하는 기업에서 구현 난도가 높을 것으로 내다봤다. 그는 “레거시 시스템과 분산된 신원 관리 환경이 상당한 장애 요인으로 작용한다”고 분석했다.
또한 머신 계정 등 비인간 식별체에 대한 고려도 필요하다고 강조했다. “머신 아이덴티티 계층을 고려하지 않은 패스키 전략은 새로운 보안 공백을 만들 수 있다”고 말했다.
아울러 기기 요구사항과 계정 복구 절차 역시 패스키 도입 방식에 영향을 미칠 수 있다고 덧붙였다.
전환기에는 ‘하이브리드 인증’ 불가피
업계에서는 단기간 내 비밀번호를 완전히 대체하는 것은 현실적으로 어렵다는 분석이 나온다.
마들레인 반 더 하우트 포레스터 수석 애널리스트는 “향후 수년간은 패스키와 기존 인증 방식이 병행되는 하이브리드 모델이 지속될 것”이라며 “기업들은 패스키와 전통적인 인증 방식을 동시에 지원해야 할 것”이라고 전망했다.
이어 “이 기간 동안 기업은 다양한 로그인 옵션을 통합 관리해야 하며, 특히 대체 인증 수단이 전체 보안 수준을 약화시키지 않도록 설계하는 것이 중요하다”고 설명했다.
NCSC 역시 패스키를 사용할 수 없는 환경에서는 기존의 강력한 인증 체계를 유지할 것을 권고했다.
비밀번호 없는 로그인 전환 가속
이번 가이드라인은 소비자 인증 영역에서 비밀번호 의존도를 줄이려는 흐름을 더욱 강화하는 정책 신호로 해석된다.
반 더 하우트는 “이번 지침은 보안 책임자들이 벤더나 내부 이해관계자와의 논의에서 보다 강한 추진력을 확보할 수 있게 한다”고 평가했다.
NCSC는 “피싱 저항성을 갖춘 인증 방식으로 전환할 경우, 특히 사용자 로그인 정보에 의존하는 서비스에서 주요 사이버 침해 원인을 크게 줄일 수 있다”고 강조했다.
dl-ciokorea@foundryco.com
