디지털 서비스 이용이 일상화되면서 ‘인증’은 온라인 환경에서 필수 절차로 자리 잡았다. 로그인과 결제, 본인확인 등 다양한 상황에서 활용되며, 사용자 정보를 보호하는 핵심 보안 장치로 기능하고 있다.
현재 가장 보편적으로 사용되는 인증 방식은 비밀번호 기반 체계다. 비밀번호는 오랜 기간 활용되어 왔지만, 최근 글로벌 시장에서는 기존 인증 방식의 한계를 보완하기 위한 새로운 기술 도입이 빠르게 확산되는 추세다. 기기 기반 공개키 암호 방식과 생체인증을 결합한 FIDO(Fast Identity Online) 기술과 이를 사용자 경험 중심으로 구현한 ‘패스키(Passkey)’가 대표적이다.
비밀번호, 왜 한계에 부딪혔을까
비밀번호는 60년 이상 디지털 환경에서 계정을 보호하는 기본적인 인증 수단으로 활용되어 왔지만 이 방식은 구조적인 한계를 안고 있다. 비밀번호는 일반적으로 변환된 값(해시) 형태로 서버에 저장된다. 문제는 서버가 뚫리면 대규모 계정 정보가 동시에 유출될 수 있다는 점이다. 2025년 Verizon의 데이터 침해 보고서에 따르면, 전체 침해 사고의 22%가 유출된 계정 정보(compromised credentials)를 통해 시작된 것으로 나타났다.
동일한 비밀번호를 여러 서비스에서 재사용하는 관행 역시 위험 요인으로 지목된다. 한 곳에서 계정 정보가 유출될 경우, 이를 다른 사이트에 자동으로 대입하는 ‘크리덴셜 스터핑(Credential Stuffing)’한 곳에서 유출된 아이디와 비밀번호를 다른 사이트에 무작위로 대입하는 해킹 수법. 같은 비밀번호를 여러 곳에 쓸수록 피해가 커진다.에 취약해진다.
보안 강화를 위해 특수문자 및 대소문자 조합 사용, 주기적인 변경, 개인정보 배제 등 다양한 수칙이 제시되고 있다. 그러나 이러한 방식은 사용자에게 점점 더 많은 비밀번호를 기억하고 관리하도록 요구하는 부담으로 작용한다. 결국 ‘사용자가 기억하는 문자열’에 의존하는 인증 체계 자체가 한계에 도달했다는 분석이 나온다.
비밀번호를 더욱 복잡하게 만드는 대신, 비밀번호가 필요 없는 새로운 인증 방식이 등장했다. 사용자가 기억하는 정보가 아니라, 개인이 소유한 기기와 생체 정보를 기반으로 신원을 증명하는 방식이다.
비밀번호를 대체하는 기술, 패스키
FIDO(Fast Identity Online)는 ‘비밀번호 없는 인증’을 가능하게 하는 국제 표준 기술이다. 패스키는 FIDO2 기술을 기반으로, 사용자 환경에 최적화한 최신 형태이다. 패스키의 원리는 다음과 같다. 사용자가 서비스에 최초로 등록할 때, 기기 내에서 한 쌍의 ‘디지털 열쇠’가 생성된다. 하나는 사용자 본인만 소유하며, 기기 내부에 저장되는 ‘개인키’이고, 다른 하나는 서비스 서버에 전달되는 ‘공개키’이다.
로그인 과정에서는 지문이나 얼굴 인식 등 생체 인증을 통해 개인키에 접근하고, 서버는 보관 중인 공개키를 활용해 해당 사용자가 맞는지 검증한다. 서버에 ‘정답’이 저장되는 비밀번호 방식과 달리, 두 개의 키가 서로 일치하는지 확인하는 구조다.
핵심은 서버에 저장되는 정보가 공개키 뿐이라는 점이다. 공개키만으로는 개인키를 알아낼 수 없기 때문에, 서버가 해킹 당하더라도 계정은 안전하게 보호된다. 또한 패스키는 비밀번호 입력 과정이 없고, 등록된 사이트에서만 작동하도록 설계되어 있어 피싱 위험을 구조적으로 차단할 수 있다.
전 세계가 이미 패스키로 움직이고 있다
패스키는 이미 글로벌 기술 기업과 주요 국가를 중심으로 빠르게 확산되고 있다. 구글이 2023년 패스키를 도입한 이후, 1년도 채 되지 않아 4억 개 이상의 계정에서 10억 회 이상 사용되었고, 2024년 말에는 8억 개 계정에서 패스키가 쓰이고 있다. 아마존 역시 같은 시기 패스키를 도입한 뒤, 1년 만에 1억 7,500만 명이 패스키를 사용 중이며 로그인 속도가 기존 대비 최대 6배 빨라졌다고 밝혔다. 패스키는 스마트폰을 넘어 다양한 디바이스 환경으로 확장하고 있다. 최근 메타는 VR 헤드셋 ‘퀘스트’에도 패스키를 적용한 바 있다.
국가 차원에서도 패스키 도입 움직임이 본격화되고 있다. 일본에서는 금융청(FSA)과 증권업협회(JSDA)가 패스키를 피싱 저항 인증 수단으로 명시하고, 2026년 여름까지 증권사의 도입을 의무화하는 가이드라인을 발표했다.
영국은 NCSC(국가사이버보안센터)가 패스키를 사이버보안의 핵심 도구로 정의했다. 통합 공공 서비스 포털 GOV.UK에서는 기존 SMS 인증을 패스키로 전환하고, 정부가 직접 FIDO Alliance에 가입하여 본보기 역할을 수행하고 있다.
기술의 ‘표준’을 이끄는 FIDO 얼라이언스, 그리고 SKT의 합류
패스키 기술의 표준을 만들고 이끄는 핵심 기구는 FIDO 얼라이언스(FIDO Alliance)다. 2013년 출범한 FIDO 얼라이언스는 ‘비밀번호 없는 인증’의 국제 표준을 개발·보급하는 산업 연합체다. 아마존, 애플, 구글, 메타, 마이크로소프트, 비자 등 250개 이상의 글로벌 기업이 회원사로 참여하고 있다.
이 중 이사회(Board)는 얼라이언스의 전략 방향과 표준안을 결정하는 핵심 의사결정 기구다. 이사회 임원사로 선임되기 위해서는 일정 기간의 활동 실적과 기여도가 요구되며, 기존 이사회 멤버사의 투표를 통해 최종 선정된다.
2026년 2월, SKT가 이사회 임원사로 선임됐다. 구글, 애플, 마이크로소프트 등 글로벌 빅테크와 어깨를 나란히 하며, 인증·보안 분야의 글로벌 표준 의사결정에 직접 참여하게 된 것이다. 2월 4일 프랑스 파리에서 열린 총회를 시작으로 이종현 통합보안센터장(CISO)이 이사회 활동을 이끌고 있다.
통신사이기에 가능한 일
애플, 구글, 마이크로소프트가 나란히 앉아 있는 FIDO 얼라이언스 이사회 속에서 국내 통신사가 합류한 것은 SKT가 처음이다. 빅테크와 다른 관점을 가진 기업이 합류했다는 점에서 큰 의미를 지닌다. 통신사는 본질적으로 수천만 가입자의 인증 정보와 통신 인프라를 관리하는 기업이다. 방대한 양의 통화와 데이터가 오가는 네트워크를 안전하게 운영하고, 통신 사기를 탐지·차단하며, 본인확인 서비스(PASS)를 운영해 왔다.
이러한 실전 역량이 FIDO 얼라이언스 이사회에서 빛을 발할 수 있다. 기존 빅테크 중심의 논의에 통신 인프라와 가입자 인증이라는 관점이 더해지며, 보다 현실적이고 폭넓은 기술 표준 설계가 가능해진다.
이미 패스키 기술의 선두에 선 SKT
SKT는 이사회 합류 이전부터 패스키 기술을 자체 개발하고 서비스에 적용해 왔다. 2023년에는 FIDO 얼라이언스로부터 직접 구축한 패스키 인증 시스템에 대한 소프트웨어 호환성 인증(Certification)을 획득했다. 또한, 국내 통신사 최초로 패스키 인증 시스템을 자체 개발해 본인확인 앱 PASS(패스)에 적용했다. 사용자는 비밀번호 입력 없이 생체인증만으로 본인확인이 가능해졌다.
2024년 8월에는 해당 기술을 기업용 SaaS(서비스형 소프트웨어)로 출시했다. 패스키 도입을 원하는 기업이 별도의 복잡한 개발 과정 없이 API 연동만으로 인증 기능을 적용할 수 있도록 한 것이 특징이다. 같은 해 9월에는 약 3,700개 기업·기관이 이용하는 임직원 복지몰 ‘베네피아’에 처음 적용됐으며, 이후 관계사와 외부 고객사로 적용 범위를 확대하고 있다.
2026년에는 사내 시스템 ‘Zero Password(제로 패스워드)’ 전환을 추진 중이다. 직원 로그인은 물론 시스템 간 인증에서도 비밀번호를 사용하지 않는 것을 목표로 한다. 비밀번호 시스템의 취약성을 고려할 때, 반드시 필요한 전환으로 여겨진다.
비밀번호가 사라지는 인증 환경은 더 이상 먼 미래의 이야기가 아니다. 보안성과 사용자 편의성을 동시에 고려한 패스키 인증 기술 도입이 산업 전반으로 확산되고 있다.
SK텔레콤의 FIDO 얼라이언스 이사회 합류는 글로벌 인증 표준이 수립되는 과정에 직접 참여해 앞으로의 규칙을 함께 만들어간다는 의미를 갖는다. SKT는 그동안 쌓아온 인증·보안 기술 역량을 기반으로, 고객의 안전과 신뢰를 강화하는 디지털 인증 환경 조성을 위해 지속적으로 노력해 나갈 계획이다.
