DEVOCEAN 8월 Tech 세미나 Goodbye Passwords! Hello Passkey! 후기

DEVOCEAN 에서 매달 진행하는 테크 세미나 다시 보기 링크는 여기 첨부!

이 포스팅도 좋지만 직접 보는게 제일,,! (그래도 이 포스팅 다 보고 영상도 또 보기)

https://devocean.sk.com/vlog/view.do?id=338&vcode=A03 

Goodbye Passwords! Hello Passkey!

 

평소에 보안에도 관심이 많았는데 8월 테크 세미나 주제가 보안이라서 흥미로웠다!

SKT 뿐만 아니라 구글, 애플, 마이크로소프트 등의 글로벌 테크 기업에서 도입 준비 중인 기술인 Passkey에 대해 기술 개발을 담당하고, 강사로도 활동 중인 SKT Digital Asset CO/Service Product팀 신기은 전문가님이 발표해주셨다.

 

💡 제목에도 나와있듯이 이제 더이상 Password가 없어진다는 점이 가장 궁금했다. 

자주 가는 사이트가 아니면 로그인 기능보다 비밀번호 찾기를 더 많이 사용하는 나로서,, 패스키와 패스워드의 차이도 궁금했다.

 

💡 간편 결제 서비스를 사용할 때에도 보통 앱 방식을 많이 사용하는데, 웹에서 생채인증을 진행하는 기술도 도입되고 있다는 게 놀라웠다. 사이트마다 설치해야 하는 보안 프로그램을 매번 다운로드 받기가 귀찮았었는데 이 번거로움을 해소해줄 수 있는 기술이 있다니..!

 

NIST에서 만든 디지털 인증 가이드라인이다. 이 모델이 일반적인 프로세스이다.

 

Authentication 인증이란? 

사용자가 접근을 하기 위해서 정보를 인증하게 되고, 인증한 정보를 저장해두었다가 다시 제공함으로써 동일한 사용자인지 검증하는 것이다.

 

 

인증하는 방식에는 3가지가 있는데

1. 나만이 알고 있는 정보

2. 내가 컨트롤하고 있는 기기

3. 내 자체. 나의 생체 정보

 

내가 가지고 있는 비밀과 데이터가 가지고 있는 비밀이 비밀번호라고 할 수 있다!

 

 

💡 나는 여태까지 비밀번호가 복잡하고 길수록 더 보안이 철저한 비밀번호라고 생각하고 있었다. 하지만 이번 세미나를 통해서 비밀번호의 복잡성과 길이가 아무런 연관이 없다는 것을 알게되었다. 평소에 대문자/소문자/특수문자까지 모두 조합해 사용하고 있는 나에게는 정말 충격적인 정보였다..!

 

비밀번호에서 보안성을 결정하는 것은 위에 사진에 있는 "3가지 factors를 얼마나 어떻게 조합하는지"였다.

왜냐면 공격자 입장에서는 3가지 factor들을 조합하면 조합할수록 사용자의 모든 factor을 알아야하기 때문에 복잡해지는 것이다. 

 

2018년 기준, 현재 해킹이 일어나는 현황의 수치이다.

💡 이렇게 한눈에 수치로 보니까 해킹의 피해 규모를 체감할 수 있었다. 그리고 현재 비밀번호 시스템이 과연 안전한 건지에 대한 의문점이 생겼다.  

 

 

 

그럼 자동으로 비밀번호를 만들어주는 기능을 사용하면 어떨까?

서버별로 다른 비밀번호를 만들어주기 때문에, 특정 사이트에서 피싱 피해를 입어도 드 피해가 다른 사이트에 영향을 미치지 않고, 직접 만드는 것보다 보안성이 높은 비밀번호를 생성하는 장점이 있다.

auto fill 기능을 이용해 자동으로 비밀번호를 채워주는 기능을 지원한다.

 

💡 나는 평소에 애플과 구글에서 제공하는 자동로그인되는 기능을 잘 활용하고 있다. 그럼 이렇게 자동으로 비밀번호를 채워주는 프로그램이 해킹을 당하면 나의 정보가 모두 유출되는 위험이 있는지에 대해 궁금했다.

나는 이러한 프로그램이 직접 서버에 비밀번호를 채워주는 줄 알았는데, 그냥 사용자의 웹사이트가 무엇인지에 따라서 서버에 직접 넣는게 아니라 말 그대로 자동으로 채워주기만 한다는 점에서 보안이 철저하다는 것을 배웠다.

사실 기기간 호환성이 너무 좋아서 이제 모두에게 필수적인 기능이라고 생각한다.

 

 

Passkey란?

 Passkey에 대해 공부하기 전에!

애플, 구글, MS에서 패스워드가 없는 인증을 만들기 위해 발표했다.

 

Passkey는 Multi-device credentials이다.

기존 FIDO는 싱글 디바이스에만 자격이 있었지만, Passkey는 멀티 디바이스에 자격을 부여할 수 있다. 

 

💡 싱글 디바이스보다 멀티 디바이스를 지원하는 경우가 보안이 떨어지지 않을까?

(사실 기술이 그 동안 더 발전했으니까 보안성이 좋을 거라고 생각했는데..?) 정답. Passkey의 보안성이 더 떨어지는 것은 맞다. 하지만 한 단말기에만 지원되는 FIDO의 한계를 극복하기 위해서 멀티 디바이스를 지원하고 있다.

 

 

기기 변경, 기기 분실 등의 상황이 일어나도 사용자는 언제 어디서나 패스워드에 대한 정보를 얻을 수 있다.

주로 사용하는 icloud나 드라이브에서 제공하는 기능이다. 구글은 출시 준비중이다.

 

기능은 플랫폼 자체기능이기 때문에 구체적으로 어떠한 방식으로 싱크가 작동하는지 나와있지는 않다. 사용자의 플랫폼과 디바이스들 사이에 싱크를 통해 정보를 주고 받는 방식으로 작동한다. 

 

키를 생성하면 자동으로 클라우드에 백업이 이루어진다. 

 

💡 클라우드에도 내가 저장한 키가 그대로 있으면 문제가 되는 게 아닐까?생각이 들었다. 그렇다면 클라우드 관리자는 모든 키를 볼 수 있는 형태이니까 보안에 문제가 생길수도 있다고 생각했다.

하지만 클라우드에는 여러 레이어의 보안이 존재하기 때문에, 클라우드에는 다른 형태로 키가 저장된다! 또 사용자사가 사용할 때에는 사용자만이 그 키를 사용할 수 있도록 보안 절차를 거쳐야 한다. 

여기서 애플 자동 로그인을 사용할 때 항상 생체인증을 하는 방식이 떠올났다!

 

안드로이드 핸드폰을 사용하고, 맥을 pc로 사용중이라면?

한번 핸드폰에 인증한 패스키를 QR코드를 통해 연동시키면 모든 디바이스에서 사용이 가능하다. 바로 cross-device sign-in이 가능한 것이다. 

 

금융권에서 원하는 패스워드의 조건을 만족하기 위해서 패스키와 별도의 DPK(Device-bound Public Key)를 만들어서 인증 과정을 진행한다. 한 단계 더 보안을 위한 기술인 것이다. 

 

📌Passkey를 이용해 프로젝트를 진행할 개발자들을 위한 TIPS!📌

일단 기존 인증 시스템에 있는 기능들이 가지고 있는 것들, 기존 인증들의 보안수준/특징들을 분석해야 한다.

 

규정도 꼼꼼하게 보아야 한다. 요구하는 보안수준이 어느 정도인지에 대해 확인해야 한다.

 

만약에 Passkey를 이용해 개발하고 싶다면?

 

1. 기술이 빠르게 발전하고 있기 때문에 만들고 끝내는 것이 아니라 계속 진행사항을 봐야 한다. 만들고 끝낼거라면 만들지 말라는신가은의 목소리에서 너무 진심이 느껴졌다.. 
2. 기존에 있던 기능을 이용해 만드려고 하지 말자. FIDO의 기능과도 너무 다르기 때문에 FIDO를 응용해서 개발하거나 기존 기능을 이용해서 만들 수 없다. 클라이언트 사이드와 백엔드 영역의 기존에 대부분의 기능은 개발자가 컨트롤 가능한 부분에서 하나하나 구현해서 만드는 게 가능했지만, 이제는 브라우저 사이드와 플랫폼 사이드로 클라이언트 기능이 다 넘어왔다. 서비스에서는 백엔드 위주로 작업이 될텐데, 백엔드에서 커스터마이징을 하기가 쉽지 않다. 
3. 오픈소스나 인터넷에서 복사해온 코드를 붙여넣고 run하면 작동은 잘 된다. 하지만 동작이 된다고 해서 절대 그대로 사용해서는 안 된다. 굉장히 많은 보안 요소들이 사이사이에 있기 때문에 하나하나 세세히 살펴보고 보안을 해야 하는데 대부분의 개발자들은 보안 전문가가 아니기 때문에 잘못 구현하고 있을 가능성이 높다. 반드시 정책과 모든 부분을 따져가면서 신중하게 개발해야 한다. 기능만 구현했다고 해서 끝나는 것이 절대 아니다!
4. 옵션이 상당히 많은데, 첫 세팅이나 개발하는 과정에서 옵션을 잘못 건드리면 그게 그대로 인증에 영향을 미친다. 옵션이 사용자의 UX에 얼마나 많은 영향을 미치고, 앞으로 정책에 어떤 영향을 미치는 지에 대한 진지한 고민을 하고 옵션을 선택해야 한다. 정말 엄청나게 큰 문제가 일어난다고 강조의 강조를 거듭 하셨다..

 

---

평소에 궁금했던 질문에 대한 해답을 찾을 수 있었고 Passkey에 대한 전반적인 개념을 알 수 있어서 좋았다. 테크 세미나라고 하면 사실 기술을 자세하게 설명하거나 관련 직무에 있는 전문가들만이 이해할 수 있는 세미나 내용을 생각했다. 그런데 이번 테크 세미나의 내용은 대학생인 나도 이해하기가 너무 쉬웠고, 세미나가 끝나고 패스키에 대해서 더 검색해보게 만드는 세미나였다. 개인적으로 데보션의 다른 테크 세미나들 중에 가장 유익했고, 흥미로웠다. 

그리고 마지막에 Passkey를 사용할 개발자들을 위한 소소한 팁까지..! 후에 코로나가 완화되면 매달 대면으로 세미나를 참석하고 싶다. 앞으로 로그인을 할 때마다 오늘 들었던 정보들이 생각날 것 같다!