구글이 2022년 10월 12일 비밀번호 대신 지문 인증, 얼굴 인증을 이용해 웹 서비스에 로그인하는 인증 시스템인 패스키(passkey)를 안드로이드와 크롬에서 지원한다고 발표했다. 사용자는 암호 인증 없는 인증 시스템을 이용해 해킹이나 서버 정보 유출 등 문제로부터 보호된다는 것이다.
패스키는 생체 인증 표준화를 목표로 하는 업계 단체 FIDO얼라이언스와 웹 기술 표준화 단체인 W3C(World Wide Web Consortium)가 다루는 로그인 표준 규격으로 정식 명칭은 멀티 디바이스 대응 FIDO 인증 자격 증명이다.
패스키에선 비밀번호를 입력하는 로그인이 아니라 지문 인증이나 얼굴 인증 등 본인만이 갖고 있는 요소를 이용하는 생체 인증을 실시한다. 비밀번호는 피싱 공격이나 서버 침해 등 피해로 유출되어 악의적 인물에 의해 악용될 위험이 있지만 생체 인증은 이런 해킹 영향을 받지 않는다.
지난 5월에는 애플, 구글, 마이크로소프트가 패스키 사용 확대를 합의했으며 애플은 9월 13일 출시한 iOS 16에서 패스키를 지원하기 시작했다. 이어 10월 12일 구글은 안드로이드와 크롬에서 패스키 지원을 시작해 개발자가 테스트할 수 있게 됐다고 발표한 것. 구글 측은 패스키가 비밀번호를 대체하기보다는 안전한 인증 방법 2요소 인증 대체가 된다고 밝히고 있다.
사용자가 암호키를 만들려면 먼저 웹서비스 계정 아이디와 비밀번호를 확인하고 프롬프트가 표시되면 지문, 얼굴 또는 화면 잠금 해제 코드를 등록한다. 웹 서비스에 로그인할 때 사용할 계정을 선택하고 프롬프트가 표시되면 지문, 얼굴, 화면 잠금 해제 코드로 인증하기만 하면 된다. 어려운 설정 등은 필요 없고 기존 비밀번호 매니저와 함께 사용할 수도 있다. 패스키는 스마트폰 등 기기에만 존재하는 암호화 비밀키를 사용하고 로그인을 할 때에는 웹 서비스 측이 저장하는 공개키로 서명을 검증한다는 것이다.
비밀번호는 구글 비밀번호 관리자에서 백업, 동기화를 관리하므로 동일 구글 계정을 사용하는 여러 안드로이드 기기에서 비밀번호를 공유할 수 있다. 이는 단순히 기기 복수 소유나 환승에 편리할 뿐 아니라 기기를 분실했을 때 액세스 회복에도 사용된다고 한다.
또 패스키는 업계 전체 이니셔티브이기 때문에 안드로이드 기기에 등록한 패스키를 맥이나 윈도 등 다른 기기로 로그인할 때에도 사용할 수 있다. 마찬가지로 iOS 기기에 저장된 암호키를 이용해 크롬에서 웹 서비스에 로그인할 수도 있다. 이 절차에는 QR코드 스캔이 필요할 수 있다.
개발자는 구글플레이 서비스 베타 버전을 다운로드해 앱에 패스키를 구현하기 위한 테스트를 실시할 수 있다. 또 2022년 중에는 안정된 채널로 패스키 지원을 전개하고 네이티브 안드로이드 앱용 API도 릴리스 예정이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.