패스키의 보안에 관하여
패스키는 암호를 대체하는 수단으로서, 신속한 로그인을 지원하며 사용하기 쉽고 훨씬 안전합니다.
패스키는 암호를 대체하는 수단으로 웹 사이트 및 앱에 암호 없이 로그인할 수 있도록 설계되었으며 편리성과 보안이라는 측면에서 암호보다 우수합니다. 패스키는 암호와 달리 피싱 방지에 강하고, 항상 강력한 보안을 제공하며, 공유 시크릿(shared secret)이 없도록 설계된 표준 기반 기술입니다. 패스키는 앱 및 웹 사이트에 대한 계정 등록을 간소화하며 사용하기 쉽고 모든 Apple 기기뿐 아니라 물리적으로 가까운 곳에 있는 타사 기기에서도 작동합니다.
자격 증명 보안
패스키는 공개 키 암호화를 사용하는 WebAuthentication(또는 'WebAuthn') 표준을 기반으로 합니다. 계정 등록 시 운영 체제가 한 쌍의 고유한 암호화 키를 생성하여 앱 또는 웹 사이트의 계정과 연결합니다. 이러한 키는 기기에서 안전하고 고유한 방식을 통해 계정별로 생성됩니다.
쌍으로 구성된 키 중 하나는 공개 키이며 서버에 저장됩니다. 이 공개 키는 시크릿이 아닙니다. 나머지 다른 키는 개인 키이며 실제로 로그인하는 데 필요합니다. 서버는 개인 키에 대한 정보를 전혀 알 수 없습니다. Touch ID 또는 Face ID를 사용하는 Apple 기기의 경우 Touch ID 및 Face ID로 패스키 사용 권한을 부여할 수 있으며, 이를 통해 앱 또는 웹 사이트에 대한 사용자 인증이 이루어집니다. 이때 공유 시크릿이 전송되는 것이 아니며 서버가 공개 키를 보호할 필요도 없습니다. 이러한 기능 덕분에 패스키는 매우 강력하며 피싱 방지에 탁월한 자격 증명으로 간편하게 사용할 수 있습니다. 또한 FIDO Alliance 내의 플랫폼 협력업체들은 패스키가 플랫폼에 상관없이 호환되고 최대한 많은 기기에서 작동할 수 있도록 함께 협력하고 있습니다.
동기화 보안
패스키는 자주 사용하는 모든 기기에서 편리하게 접근할 수 있도록 설계되었습니다. 패스키는 iCloud 키체인을 사용하여 사용자의 여러 기기에서 동기화됩니다.
iCloud 키체인은 Apple에도 공개되지 않는 강력한 암호화 키를 사용하여 종단 간 암호화됩니다. 암호화 키는 속도 제한을 통해 클라우드 백엔드의 권한 있는 위치로부터 시작되는 무차별 대입 공격을 방지하며 사용자가 기기를 모두 분실하는 경우에도 복구가 가능합니다.
Apple은 다음과 같은 상황에서도 사용자의 패스키와 암호를 계속 보호할 수 있도록 iCloud 키체인 및 키체인 복구를 설계했습니다.
iCloud에서 사용되는 사용자의 Apple 계정이 침해된 경우
iCloud가 외부 공격이나 Apple 직원에 의해 침해된 경우
제3자가 사용자 계정에 접근한 경우
Apple 계정 접근에 대한 보호 조치
iCloud 키체인을 사용하는 모든 Apple 계정을 무단 접근으로부터 보호하려면 이중 인증을 사용해야 합니다. 사용자가 새 패스키를 등록하려고 하는데 이중 인증이 설정되어 있지 않으면 이중 인증을 설정하라는 메시지가 자동으로 표시됩니다.
새 기기에서 처음으로 로그인하려면 두 가지 정보가 필요합니다. 하나는 Apple 계정 암호이고 다른 하나는 6자리 확인 코드입니다. 확인 코드는 사용자의 신뢰할 수 있는 기기에 표시되거나 신뢰할 수 있는 전화번호로 전송됩니다.
iCloud 키체인 접근에 대한 보호 조치
사용자의 iCloud 키체인에 접근하려는 악의적인 기기로부터 보호하기 위해 추가적인 보호 단계가 적용됩니다. 사용자가 처음으로 iCloud 키체인을 활성화하면 기기는 신뢰 그룹을 설정하고 동기화 ID를 자체적으로 생성합니다. 이 동기화 ID는 기기의 키체인에 저장된 한 쌍의 고유한 키로 구성됩니다.
새 기기는 iCloud에 로그인할 때 다음 두 가지 방법 중 하나를 사용하여 iCloud 키체인 동기화 그룹에 추가됩니다.
기존 iCloud 키체인 기기와 페어링한 후 해당 기기를 통해 추가됨
iCloud 키체인 복구를 사용함
복구 보안
패스키를 동기화하면 편리할 뿐만 아니라 기기 하나를 분실하는 경우에 대비하여 예비적 복구 방식을 확보할 수 있습니다. 하지만 모든 연결 기기를 분실한 경우에도 패스키를 복구할 수 있어야 한다는 점도 중요합니다. 패스키는 iCloud 키체인 에스크로를 통해 복구할 수 있습니다. 이 방식 역시 무차별 대입 공격으로부터 보호되며 심지어 Apple의 공격도 막아 냅니다.
iCloud 키체인은 사용자의 키체인 데이터를 Apple로 전송(에스크로)하지만, Apple이 암호와 해당 키체인에 포함된 다른 데이터를 읽도록 허용하지는 않습니다. 사용자의 키체인은 강력한 암호를 사용하여 암호화되며, 에스크로 서비스는 엄격한 조건이 충족되는 경우에만 키체인의 복사본을 제공합니다.
사용자가 키체인을 복구하려면 iCloud 계정과 암호를 사용하여 인증한 후 등록된 전화번호로 전송된 SMS에 응답해야 합니다. 사용자는 인증 및 응답을 수행한 후 기기 암호를 입력해야 합니다. iOS, iPadOS 및 macOS에서는 단 10회의 인증 시도를 허용합니다. 인증 시도를 여러 차례 실패하면 기록이 잠기게 되며 이 경우 사용자는 Apple 지원에 연락하여 시도 횟수를 추가로 받아야 합니다. 10번째 시도에 실패하면 에스크로 기록이 삭제됩니다.
선택에 따라 사용자는 Apple 계정 암호나 기기 암호를 잊어버렸을지라도 자신의 계정에 언제든지 접근할 수 있도록 계정 복구 연락처를 설정할 수 있습니다.
더 알아보기
플랫폼 보안 안내서에서 Apple 계정 보안 및 iCloud 키체인 보안에 대해 자세히 알아보기