패스키 기술의 우아함, 그러나 사용 가능한 보안은 아님

• 프라임타임을 위한 준비가 덜 된 기술 : 패스키 기술은 우아하지만, 사용하기에는 보안성이 부족함
• 비밀번호의 대안으로 주목받고 있으며, 피싱 및 데이터베이스 해킹에 강력한 방어책으로 여겨짐
• FIDO2와 WebAuthn 사양은 우아하지만, 사용자 경험은 여전히 복잡함
  • 수백 개의 사이트와 주요 운영 체제 및 브라우저에서 패스키를 지원하지만, 플랫폼마다 구현 방식과 일관성 없는 워크플로로 사용성을 저하
  • 예를 들어, 동일한 사이트에서도 iOS와 Android에서의 로그인 경험이 다르고, 일부 브라우저에서는 아예 지원되지 않음
  • 각 플랫폼은 자사의 패스키 동기화 옵션을 강요하며, 사용자가 다른 옵션을 선택하기 어렵게 만듦
  • 패스키 구현은 사용자가 쉽게 사용할 수 있도록 해야 하지만, 현재는 그렇지 않음
• 1Password와 같은 보안 관리자를 통해 패스키를 동기화하면 문제를 해결할 수 있지만, 이는 패스키의 근본적인 장점인 비밀번호 없는 인증의 취지를 약화시킴.
  • 또한 대부분의 사용자는 여전히 패스워드 관리자를 사용하지 않음
• 패스키를 지원하는 사이트 중 비밀번호를 완전히 제거한 곳은 없음
  • SMS 기반 MFA 인증은 여전히 취약하며, 패스키의 보안성을 저해함
• 기업 환경에서는 패스키가 비밀번호와 인증기의 대안이 될 수 있음

제안

• 보안 관리자 사용: 1Password와 같은 도구를 통해 패스키를 동기화하고 MFA를 활성화하여 보안을 강화
• MFA 우선 사용: 가능하다면 보안 키 또는 인증 앱을 활용해 다중 인증을 활성화
• 패스키 도입 검토: 패스키는 궁극적으로 유망하지만, 현재는 비밀번호와 보안 관리자가 여전히 필수적

결론

• 패스키는 비밀번호의 보안 문제를 해결할 가능성이 높지만, 현 시점에서는 기술적 제약과 사용성 문제로 인해 완벽한 대안은 아님
• 앞으로 개선될 가능성이 높지만, 현재로서는 기존 인증 방식을 병행하는 것이 가장 합리적인 선택.