• Korea Council of Chief Information Security Officers
      회원안내      

CISO 뉴스

  • HOME
  • CISO 뉴스
  • 최신뉴스

CISO 뉴스

최신뉴스

[이슈칼럼] 패스키 전쟁: 빅테크는 왜 당신의 비밀번호를 갖고 싶어 하는가 2026.06.14

“저장하시겠습니까?”의 진짜 의미

[보안뉴스= 김동현 OWASP 서울 챕터 리더/크리밋 대표] 웹사이트에 로그인할 때마다 익숙한 팝업이 뜬다. “이 비밀번호를 저장하시겠습니까?” 대부분 별 생각없이 ‘저장’을 누른다. 편하니까.

[출처: 생성형 AI 이미지 활용]


그러나 이 작은 버튼은 생각보다 무거운 결정이다. 크롬에서 누르면 구글 계정에, 아이폰에서 누르면 애플 계정에 쌓인다. 인터넷 사용자는 평균 100개가 넘는 계정을 사용한다. 몇 년이 지나면 수백여개의 로그인 정보가 한 회사의 금고에 모이고, 그 금고는 다른 회사의 제품으로 이동할 때 쉽고 들고 나갈 수 없다.

비밀번호는 단순한 문자열이 아니다. 이메일이나 사진, 결제 수단, 구독 서비스까지 우리의 디지털 생활 전부가 계정 너머에 있다. 이 열쇠 꾸러미를 통째로 보관하는 회사는 사용자들을 자사의 생태계에 묶어둘 수 있다. 구글과 애플이 패스워드 매니저를 꽁짜로 제공하는 이유, 1패스워드(1Password) 같은 전문 업체가 여기에 사활을 거는 이유다.

애플과 구글 그리고 패스워드 전문업체... 세 진형의 싸움법
애플은 오랜 기간 아이클라우드(iCloud) 키체인이라는 이름으로 설정 메뉴 깊숙한 곳에 비밀번호를 보관했다. 그러다 2024년 ‘암호’(Passwords)라는 독립 앱을 내놓으며 전면에 나섰다. 아이폰을 쓴다면 따로 돈을 내고 앱을 깔 필요가 없다는 메시지였고, 유료 앱 업계에는 사실상 선전포고였다.

구글의 방식은 더 조용했다. 그래서 더 강력하다. 크롬과 안드로이드는 패스워드 매니저가 처음부터 들어있다. 사용자가 무언가 선택하지도 않았는데, 어느새 수백여개의 비밀번호가 구글 계정에 묶여 있다. ‘기본 설정’의 힘이다.

1패스워드나 비트워든(Bitwarden) 같은 전문 업체들은 다른 카드를 꺼냈다. 중립성이다. 아이폰이든 갤럭시든 윈도우든 가리지 않고 작동한다. 운영체제나 디바이스를 무기로 삼을 수 없으니, 어디에도 묶이지 않는다는 점 자체를 세일즈포인트로 삼았다.

마이크로소프트(MS)가 없어서 의아할 수 있지만, 이 싸움의 주전장은 스마트폰이다. PC를 위한 윈도우 운영체제는 있지만 휴대폰이 없는 MS는 비밀번호 저장소 경쟁에서 변방에 머물렀다. 대신 지난해부터 새 계정을 비밀번호 없이 만들게 하는 등 비밀번호를 모으는 대신 없애는 쪽으로 전략을 수정했다.

패스키, 보안은 좋아졌는데, 족쇄도 단단해졌다
비밀번호를 둘러싼 IT 기업들의 전략이 흥미로워지는 건 다음 대목이다. 최근 몇 년 새 ‘비밀번호 없는 로그인’을 내건 패스키(Passkey)가 빠르게 퍼졌다. 지문이나 얼굴 인식으로 로그인하는 방식으로 원리부터 비밀번호와 달랐다. 비밀 키는 내 기기 안에만 있고, 서버에는 공개 키만 저장해 서버가 해킹당해도 훔쳐 갈 것이 없다. 가짜 사이트에서는 아예 작동하지 않아 피싱 위험도 원천 차단된다. 보안면에서 분명한 진보다.

문제는 이사였다. 비밀번호는 최악의 경우, 파일로 만들어 다른 앱으로 옮길 수 있다. 하지만 초창기 패스키는 만들어진 생태계에 종속되는 구조였다. 아이폰에서 갤럭시로 기기를 변경하려면 모든 사이트에 패스키를 다시 만들어야 했다. ‘비밀번호 없는 미래’란 구호가 역설적으로 가장 단단한 족쇄가 된 것이다. 패스키를 많이 만들수록 이동이 힘들어졌다. 플랫폼들로선 나쁠 것 없는 그림이었다.

FIDO가 제시한 휴전 협정
비판이 거세지자 업계가 움직였다. 인증 표준 단체인 FIDO 얼라이언스를 중심으로, 패스키와 비밀번호를 안전하게 옮길 수 있는 표준이 만들어지고 있다. 데이터 형식을 정의한 CXF와 전송 절차를 정의한 CXP다. 참여 명단이 흥미롭다. 애플과 구글, MS, 1패스워드, 비트워든, 삼성, SK텔레콤까지 어제까지 경쟁하던 진영이 전부 한 테이블에 앉았다.

말뿐인 약속도 아니었다. 애플은 iOS 26을 통해 이 표준을 처음으로 구현한 메이저 플랫폼이 됐다. 이제 애플 암호 앱은 1패스워드, 비트워든 사이에서 패스키를 옮길 수 있다. 파일로 내보내는 위험한 방식도 아니다. 앱과 앱이 암호화된 상태로 주고받는 방식이다.

그렇다면 전쟁이 끝난 것일까? 대답은 ‘글쎄’다. 이사 트럭이 생겼다고 이사할 사람이 갑자기 늘지는 않는다. 기본으로 깔린 앱, 처음부터 들어 있는 기본 기능의 중력은 여전히 강력하다. 업체들이 비밀번호 이동의 자유에 합의할 수 있었던 배경에는 자유를 줘도 떠나지 않을 것이라는 계산이 깔려 있을 것이다.

그래서, 우리는 어떻게 할 것인가
거창할 건 없다. 세 가지만 기억하자. 첫째, 패스워드 매니저는 어떤 것이든 쓰는 편이 안 쓰는 것보다 낫다. 모든 사이트에 같은 비밀번호를 돌려 쓰는 것보다 위험한 습관은 없다.

둘째, 저장을 누르는 순간 내 열쇠가 어디에 보관되는지 한 번쯤 의식해보자. 구글인지, 애플인지, 독립 업체인지, 그 선택이 몇년 뒤 플랫폼을 옮길 때 자유도를 결정한다.

셋째, 이제는 옮길 수 있다. 패스키 이동 표준이 실제로 작동하기 시작했다. 특정 플랫폼에 묶여 있다는 이유만으로 이동을 망설일 필요가 없어졌다.

빅테크들이 당신의 비밀번호를 보관해 주는 데에는, 무료로 편의를 제공하는 것에는 이유가 있다. 그 이유를 생각해보는 것만으로도 우리는 조금 더 자유로운 선택을 할 수 있다.

[글_ 김동현 OWASP 서울 챕터 리더/크리밋 대표]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>