Google, 20억 사용자에게 경종 - 비밀번호 시대의 종말. "패스키"로 세계를 지켜라 -

Google, 20억 사용자에게 경종 - 비밀번호 시대의 종말. "패스키"로 세계를 지켜라 -

2025年06月22日 14:38

목차

  1. 패스키란 무엇인가 - 비밀번호와의 결정적 차이

  2. 160억 건 유출 사건이 제시한 현실

  3. Google의 "패스키 바이 디폴트" 전략

  4. 기술 해설: FIDO2/WebAuthn의 구조

  5. 세계의 도입 상황 - Apple, Microsoft, 주요 사이트의 움직임

  6. 사용자 관점: 설정 절차와 문제 해결

  7. 기업 및 개발자용: 구현과 운영의 베스트 프랙티스

  8. 프라이버시와 생체 정보의 안전성

  9. 글로벌 과제와 개발도상국에서의 전개

  10. 결론: 비밀번호 이후의 미래상


1. 패스키란 무엇인가 - 비밀번호와의 결정적 차이

패스키는 공개키 암호를 사용한 비대칭 인증 자격 정보로, 사용자 측에 비밀키, 서버 측에 공개키를 보유합니다. 【비밀키는 단말기 외부로 유출되지 않기】 때문에 피싱이나 재생 공격에 강합니다.

또한, 지문, 얼굴 인식, PIN 등 OS 네이티브 잠금 해제 수단으로 서명을 수행할 수 있어 기억 부담이 없고 UX가 빠릅니다. Google에 따르면 로그인 속도는 비밀번호 대비 약 40% 향상됩니다.blog.google



2. 160억 건 유출 사건이 제시한 현실

2025년 6월, Cybernews 조사에서 30개의 거대한 데이터 세트가 노출되어, 총 160억 건의 ID 및 비밀번호가 암시장에서 유통된 것으로 밝혀졌습니다. Google, Apple, Meta 등 여러 서비스에서 재사용된 자격 정보가 포함되어 있으며, 전문가들은 "인류 1인당 2건의 인증 정보가 유출된 계산"이라고 경고합니다.cbsnews.comm.economictimes.com



3. Google의 "패스키 바이 디폴트" 전략

Google은 2023년 10월부터 개인 계정에서 패스키를 기본 설정으로 하며, 2025년 6월에는 2억 명 규모에서 20억 명으로 대상을 대폭 확대합니다. "가능한 경우 비밀번호 건너뛰기"가 기본으로 켜지며, Gmail, YouTube, Maps 등 각 서비스에서 이용 가능합니다.

Google은 "앞으로는 패스키가 첫 번째 인증, 비밀번호는 레거시"라고 위치를 정했습니다.blog.googlefidoalliance.org



4. 기술 해설: FIDO2/WebAuthn의 구조

  • FIDO2: 클라이언트(CTAP2 대응 디바이스)와 플랫폼(브라우저)에서 공개 키 암호를 주고받음.

  • WebAuthn API: JavaScript로 호출하는 브라우저 표준. 등록 시 공개 키를 서버로, 인증 시 챌린지 서명을 반환.

  • 다요소 vs 다단계: 패스키는 "소지+생체"= MFA를 1단계로 만듦.



5. 세계의 도입 상황──Apple・Microsoft・주요 사이트의 움직임

Apple은 iOS 17 이후 iCloud 키체인과 연계, Microsoft는 Windows Hello를 FIDO2 인증기로 제공. eBay・Uber・WhatsApp도 2025년까지 패스키 대응을 완료. 각국 정부 포털 및 금융 기관에서도 실증 실험이 진행 중.



6. 사용자 관점: 설정 절차와 문제 해결

  1. Google 계정 → 보안 → 패스키 생성.

  2. Android 14 이후・iOS 17 이후 자동 동기화.

  3. 구형 기기는 FIDO 보안 키 (USB / NFC)를 백업으로.

  4. 기기 변경 시 iCloud 또는 Google Password Manager로 안전하게 전송.

  5. 오류 발생 시 브라우저의 WebAuthn 설정과 OS의 생체 인증 등록 확인.



7. 기업・개발자용: 구현 및 운영의 베스트 프랙티스

  • WebAuthn Level 3 draft를 염두에 두고 resident key를 필수화.

  • 프로비저닝 API를 사용하여 사용자가 기기를 분실해도 복구 가능하게.

  • "패스키만", "패스키+OTP" 등 단계적 이행을 설계.

  • 로그 감사에“webauthn-signature-counter”를 포함하여 Reused Key를 감지.



8. 프라이버시와 생체 정보의 안전성

패스키는 생체 데이터 자체를 서버로 전송하지 않음. OS가 로컬에서 매칭하여 합격 여부 플래그만 반환하므로 지문이나 얼굴 이미지가 클라우드에 남지 않음.개인정보 보호 규제(GDPR, CCPA, 개정 개인정보 보호법)에도 적합하게 설계되어 있다.



9. 글로벌 과제와 개발도상국에서의 전개

저렴한 Android Go 디바이스나 공공 PC에서는 생체 센서가 미탑재된 경우가 많다. 이 경우, PIN+보안 키의 병용이나 SMS OTP의 폴백이 필요하다. FIDO Alliance는 2025년 중에 “Passkey Lite” 사양을 공개할 예정이라고 보도되고 있다(저성능 단말기를 위한 경량 구현).



10. 요약: 비밀번호 이후의 미래상

  • 단기: 주요 웹 서비스가 패스키를 필수화하고, 비밀번호는 백업 수단으로.

  • 중기: 하드웨어 보안 모듈(TPM)을 갖춘 단말기가 표준화.

  • 장기: 분산 ID(DID)와 결합하여, “자기 주권형” 인증 기반으로 발전.


    Google의 경고는 비밀번호 중심의 30년에 걸친 관습에 종지부를 찍는 신호이다. 전 세계 인터넷 사용자 모두가 지금 행동을 취할 때이다.


참고 기사 목록

  • CBS News「16 billion login credentials from Google and other sites leaked online」(2025-06-20) cbsnews.com

  • The Economic Times「How to secure your Google account after the 16 billion passwords leaked」(2025-06-20) m.economictimes.com

  • Google Official Blog「Passwordless by default: Make the switch to passkeys」(2023-10-10) blog.google

  • MSN/FIDO Alliance「Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords」(2025-06-17) fidoalliance.org

← 기사 목록으로 돌아가기