Passkey: 비밀번호의 종말
비밀번호는 탄생 이래 근본적인 결함을 가지고 있습니다 — "당신이 아는 것"이며, "안다"는 것은 도난당할 수 있습니다. 피싱 사이트가 비밀번호를 속여 빼앗을 수 있고, 데이터 유출로 비밀번호가 노출될 수 있으며, 악성 소프트웨어가 비밀번호를 기록할 수 있습니다. 네트워크 보안 업계 전체가 수십 년간 비밀번호의 각종 취약점을 보완하려고 노력했지만, 문제의 근원은 여전히 존재합니다.
Passkey(통행 키)는 비밀번호의 종결자입니다. FIDO2 표준에 기반하여, 공개키 암호학으로 기존 비밀번호를 대체합니다. 아무것도 기억할 필요 없고, 아무것도 입력할 필요 없습니다 — 기기만 손에 있으면 한 번의 생체 인식으로 로그인이 완료됩니다. 게다가 Passkey는 원리적으로 피싱이 불가능합니다.
바이낸스는 이미 Passkey 로그인을 지원하며, 오늘은 이 기술을 전면적으로 이해하고 설정을 완료하겠습니다.
Passkey의 작동 원리
기존 비밀번호의 프로세스
- 비밀번호를 생성합니다(예: "MyPassword123")
- 비밀번호의 해시값이 바이낸스 서버에 저장됩니다
- 로그인 시 비밀번호를 입력하면, 서버가 해시값 일치 여부를 확인합니다
- 리스크: 비밀번호가 전송 과정에서 가로채질 수 있으며, 저장된 해시값이 데이터 유출로 노출될 수 있음
Passkey의 프로세스
- 기기가 한 쌍의 키를 생성합니다: 공개키와 개인키
- 공개키는 바이낸스에 보내 저장하고, 개인키는 기기의 보안 칩에 저장됩니다
- 로그인 시 바이낸스가 "챌린지"(Challenge)를 보냅니다
- 기기가 개인키로 챌린지에 서명하여 바이낸스에 반환합니다
- 바이낸스가 공개키로 서명을 검증합니다
- 핵심: 개인키는 절대로 기기를 떠나지 않으며, 네트워크를 통해 전송되지 않습니다
Passkey가 피싱에 면역인 이유
Passkey는 생성 시 도메인(예: binance.com)에 바인딩됩니다. 피싱 사이트(예: b1nance.com)에서 로그인을 시도하면, 기기가 도메인 불일치를 감지하고 서명 생성을 거부합니다. 이것은 프로토콜 수준에서 내장된 피싱 방지 보호이며, 사용자의 판단력에 의존하지 않습니다.
기기 호환성
iOS 기기
- 요구 사항: iOS 16 이상
- 저장: Passkey가 iCloud 키체인에 저장됨
- 크로스 디바이스 동기화: iCloud를 통해 모든 Apple 기기에 자동 동기화
- 인증 방식: Face ID 또는 Touch ID
Android 기기
- 요구 사항: Android 9 이상(최적의 경험을 위해 Android 14+ 권장)
- 저장: Google 비밀번호 관리자를 통해 저장
- 크로스 디바이스 동기화: Google 계정을 통해 동기화
- 인증 방식: 지문, 얼굴 인식 또는 화면 잠금
크로스 플랫폼 사용
Passkey는 크로스 디바이스 로그인을 지원합니다. 예를 들어, 휴대폰의 Passkey로 QR코드를 스캔하여 컴퓨터의 바이낸스 웹 버전에 로그인할 수 있으며, 컴퓨터에서 별도 설정이 필요 없습니다.
바이낸스 앱에서 Passkey 설정
설정 단계
- 바이낸스 앱을 열고 로그인 상태인지 확인
- 좌측 상단 프로필 아이콘 → 「보안」 클릭
- 「Passkey」 또는 「통행 키」 옵션 찾기
- 「Passkey 생성」 클릭
- 시스템이 보안 인증을 요구합니다(비밀번호 + Google OTP/SMS 인증코드)
- 인증 통과 후, 시스템이 기기의 Passkey 생성 프로세스를 호출합니다:
- iOS: Face ID/Touch ID 확인 창 팝업
- Android: 지문/얼굴 인식 확인 창 팝업
- 생체 인식 확인 후 Passkey 생성 완료
- 시스템이 Passkey의 이름과 생성 시간을 표시합니다
생성 성공 후
- Passkey가 기기의 보안 저장소에 자동 저장됩니다
- iOS 사용자는 「설정 → 비밀번호」에서 확인 가능
- Android 사용자는 Google 비밀번호 관리자에서 확인 가능
- Passkey가 동일 계정의 다른 기기에 자동 동기화됩니다
Passkey로 로그인
동일 기기에서 로그인
- 바이낸스 앱의 로그인 페이지 열기
- 「Passkey로 로그인」(또는 유사한 옵션) 선택
- 시스템이 생체 인식 인증 팝업
- Face ID/지문 인식 완료
- 로그인 성공
전체 과정에서 비밀번호나 인증코드를 입력할 필요가 없으며, 보통 2초 이내에 완료됩니다.
컴퓨터에서 휴대폰의 Passkey로 로그인
- 바이낸스 웹 버전의 로그인 페이지 열기
- 「Passkey로 로그인」 선택
- 페이지에 QR코드 표시
- 휴대폰으로 QR코드 스캔(iOS는 카메라 앱, Android는 시스템 스캔 기능)
- 휴대폰에서 생체 인식 인증 팝업
- 인증 완료 후, 웹페이지가 자동으로 로그인
Passkey vs 기존 인증 방식 비교
| 비교 항목 | Passkey | 비밀번호+Google OTP | 비밀번호+SMS | YubiKey |
|---|---|---|---|---|
| 편의성 | 매우 높음 | 보통 | 보통 | 기기 휴대 필요 |
| 피싱 방지 | 내장 보호 | 없음 | 없음 | 내장 보호 |
| 원격 공격 | 면역 | 어려움 | SIM 탈취 가능 | 면역 |
| 기기 의존 | 호환 기기 필요 | 휴대폰 필요 | 전화번호 필요 | 보안키 필요 |
| 비용 | 무료 | 무료 | 무료 | 50-70달러 |
| 크로스 디바이스 동기화 | 지원 | 수동 이전 필요 | SIM 카드 따름 | 미지원 |
| 백업 | 클라우드 자동 백업 | 수동 백업 필요 | 통신사 의존 | 백업 기기 필요 |
Passkey의 보안성 심층 분석
장점
- 피싱 방지: 도메인 바인딩 메커니즘이 근본적으로 피싱 공격 차단
- 재생 공격 방지: 매번 인증의 서명이 고유함
- 데이터 유출 영향 방지: 서버에는 공개키만 저장되며, 공개키가 유출되어도 보안에 영향 없음
- 비밀번호 전송 없음: 인증 과정에서 비밀번호가 네트워크를 통해 전송되지 않음
- 우수한 사용자 경험: 생체 인식 한 단계로 완료, 기억할 필요 없음
잠재적 리스크
- 기기 보안 의존: 기기(휴대폰)가 침해당하면 Passkey가 악용될 수 있음
- 클라우드 계정 리스크: Passkey가 iCloud/Google을 통해 동기화되므로, 클라우드 계정이 침해당하면 Passkey가 노출될 수 있음
- 기기 분실: 모든 기기를 분실하고 클라우드 계정에 접근할 수 없으면, Passkey를 잃을 수 있음
완화 조치
- 기기 시스템과 앱을 최신 상태로 유지
- iCloud/Google 계정에 강력한 보안 인증 활성화
- 최소 하나의 기존 인증 방식(예: Google OTP)을 백업으로 유지
- YubiKey를 추가 Passkey 저장소로 사용 고려
Passkey의 다중 기기 관리
여러 Passkey 추가
동일한 바이낸스 계정에 여러 Passkey를 생성할 수 있습니다:
- iPhone의 Passkey(iCloud를 통해 iPad, Mac에 동기화)
- Android 폰의 Passkey
- YubiKey의 Passkey
서로 다른 생태계의 Passkey를 최소 2개 생성하여, 단일 생태계 장애로 인한 로그인 불가를 방지하는 것을 권장합니다.
Passkey 삭제
더 이상 필요 없는 Passkey가 있다면:
- 「보안」→「Passkey」 진입
- 삭제할 Passkey 찾기
- 삭제 클릭
- 보안 인증 완료
주의: Passkey 삭제 전에 다른 로그인 방식이 있는지 확인하세요.
자주 묻는 질문
Passkey를 설정한 후에도 비밀번호로 로그인할 수 있나요?
네. Passkey는 추가적인 로그인 옵션이며, 비밀번호 로그인이 취소되지 않습니다. Passkey 로그인 또는 기존 비밀번호 로그인을 선택할 수 있습니다.
Passkey가 Google OTP를 대체하나요?
현재로서는 아닙니다. Passkey가 주로 대체하는 것은 비밀번호이며, Google OTP는 추가 보안 레이어로서 여전히 가치가 있습니다. 특히 출금 등 고민감도 작업 시에는 여전히 Google OTP가 필요할 수 있습니다.
폰을 교체하면 Passkey가 유지되나요?
동일한 Apple ID 또는 Google 계정을 사용한다면, Passkey가 새 폰에 자동으로 동기화됩니다. 다른 생태계로 변경한 경우(예: iPhone에서 Android로), 새 기기에서 Passkey를 다시 생성해야 합니다.
폰에서 생체 인식을 사용할 수 없으면 어떻게 하나요?
기기의 화면 잠금 비밀번호(PIN코드/패턴)로 생체 인식을 대체하여 Passkey 인증을 완료할 수 있습니다.
Passkey만으로 충분히 안전한가요? 다른 조치가 필요 없나요?
Passkey는 매우 안전하지만, 다층 보안 조치를 유지하는 것을 권장합니다. 보안 분야의 핵심 원칙은 "다층 방어"입니다 — 한 층이 뚫리더라도 다른 층이 당신을 보호합니다.
정리
Passkey는 신원 인증의 미래 방향을 대표합니다. 비밀번호보다 안전하고, 어떤 기존 인증 방식보다 편리하며, 피싱 방지 기능이 내장되어 있습니다. 기기가 지원한다면 설정하지 않을 이유가 없습니다. 하지만 엄밀한 기술 블로거로서, Passkey를 보안 체계의 "가산점"이지 "대체품"이 아닌 것으로 위치시키는 것을 권장합니다 — Passkey 외에도 Google OTP, 출금 화이트리스트 등 기존 보안 조치를 유지하는 것이 가장 안전한 방안입니다.