2025년 11월 16일

패스워드리스, 이상과 현실 사이

Tech

Share

by

패스워드리스, 이상과 현실 사이: CISO의 끝나지 않는 숙제

CISO(최고정보보안책임자)들은 10년 넘게 비밀번호 중심 인증 방식에서 벗어나기 위해 고군분투해 왔습니다. 하지만 현실은 녹록지 않습니다. 레거시 시스템의 기술적 한계, 다양한 환경에서의 적용 어려움, 새로운 보안 취약점 발생 가능성 등 수많은 장벽에 가로막혀 ‘패스워드리스(passwordless)’ 혁신은 이상적인 구호에 머무를 위기에 놓여 있습니다.

패스워드리스, 왜 이렇게 어려울까?

문제는 대부분의 레거시 시스템이 비밀번호 외의 인증 방식을 고려하지 않고 설계되었다는 점입니다. 산업용 시스템, 자체 개발 애플리케이션, 출입통제 시스템, IoT 환경 등 다양한 환경에서 패스워드리스를 완벽하게 구현하기는 쉽지 않습니다. 기업은 여러 종류의 패스워드리스 솔루션을 병행 도입해야 하는 경우가 많고, 이는 비용 증가, 운영 지연, 호환성 문제 등을 야기합니다.

새로운 위협, 더 넓어진 공격 표면

더욱 심각한 것은 여러 인증 시스템 사이의 빈틈을 공격자가 파고들면서 새로운 보안 취약점이 생길 수 있다는 점입니다. 보안 분석가들은 현재 사용 가능한 패스워드리스 옵션으로 전체 위협 환경의 75~85% 정도만 보호할 수 있다고 평가합니다. 나머지 15%, 즉 패스워드리스 전환이 가장 어려운 시스템이 보안 담당자에게 가장 큰 골칫거리로 남아 있습니다.

OT 환경의 특별한 어려움

특히 OT(운영 기술) 환경에서 임베디드 시스템과 산업 제어 장비를 사용하는 경우, 마지막 15%의 격차를 해소하는 것은 매우 어렵습니다. OT, IoT, 임베디드 리눅스 환경에서의 전환은 특히 복잡하며, 제조 분야 전반에서 구현 난도가 높습니다. 직접 개발한 내부 시스템 역시 이질적인 존재로, 이런 시스템을 포함해 다양한 도구를 관리하는 과정에서 새로운 위험이 발생합니다.

너무 많은 선택지, 그리고 백업 문제

패스워드리스 환경 구축의 또 다른 난관은 너무 많은 선택지입니다. FIDO2 기반 인증, 생체인증(얼굴 인식, 홍채, 지문, 정맥 인식 등) 등 다양한 방식 중에서 어떤 것을 채택해야 할까요? 각각의 방식은 장단점이 뚜렷하며, 대기업일수록 여러 인증 방식을 병행해야 하기 때문에 관리 부담이 상당합니다. 또한 패스워드리스 인증이 실패했을 때를 대비한 백업 수단 마련도 고민거리입니다.

패스워드, 여전히 숨어있는 위협

패스워드리스 구현에는 위험한 사각지대가 존재합니다. 비밀번호는 여전히 패스키 등록이나 복구 과정 속에 숨어 있을 수 있습니다. 공격자는 패스키의 암호화 기술을 깨려 하지 않고, 헬프데스크 전화, SMS 인증 코드 등 가장 취약한 연결 고리를 노릴 수 있습니다. 비밀번호와 패스키를 동시에 유지하는 한, 공격 표면은 오히려 넓어집니다.

단계적 도입, 전략적 우선순위 설정

복잡한 기업 환경, 다양한 사용례, 그리고 여러 사용자 그룹이 존재하기 때문에 포괄적인 패스워드리스 인증 체계를 도입하기란 쉽지 않습니다. 많은 기업이 하이브리드 환경을 운영하며 서로 다른 사용자와 업무 시나리오를 지원해야 하므로 ID 관리자는 다양한 인증 형태를 병행 적용하는 방향으로 전략을 세우고 있습니다. 어떤 시스템부터 전환할지 우선순위를 전략적으로 결정해야 합니다.

가장 중요한 사용자부터 시작하라

모든 업무 시스템을 단일 기술로 지원하는 것은 불가능합니다. 기업이 우선적으로 특권 사용자와 핵심 시스템의 보안을 강화하는 데서 시작한다면, 그 자체로도 노출 위험을 크게 줄일 수 있습니다. 관리자와 엔지니어는 조직 내에서 가장 광범위한 접근 권한을 갖고 있기 때문에 이들에게 패스워드리스 인증이 제대로 작동한다면 전체 조직으로 확산하는 과정이 훨씬 단순해집니다.

파트너 기업과의 협력, 그리고 MFA의 교훈

패스워드리스 도입을 더욱 복잡하게 만드는 요인은 핵심 장비나 시스템을 공급하는 파트너 기업의 대응 수준입니다. 아직 패스워드리스를 도입하지 않은 협력사가 제공하는 시스템이 여전히 비밀번호 기반 인증을 요구한다면, 기업 입장에서는 이를 우회하거나 통합하기가 쉽지 않습니다. MFA 도입 시 겪었던 결정 과정과 유사하게, 패스워드리스 도입도 보안, 비용, 파트너 호환성 사이에서의 균형점 찾기입니다. MFA에서 배운 교훈을 잊지 말고, 편의성을 보안보다 우선시해서는 안 됩니다.

결론: 지속적인 여정, 끈기를 가지고 나아가야

패스워드리스 전환은 단번에 이루어지는 이벤트가 아니라, 수년에 걸친 단계적 여정에 가깝습니다. 100% 완전한 패스워드리스를 구현하는 것은 여전히 어려운 과제이지만, 부분적인 도입만으로도 보안 태세를 강화하고 위험 노출 수준을 줄일 수 있습니다. 끈기를 가지고 전략적으로 접근한다면, 패스워드리스의 이상을 현실로 만들어낼 수 있을 것입니다.

이것도 좋아하실 수 있습니다...