비밀번호 대신 ‘패스키’가 오는 이유: 결제·광고 계정에서 먼저 바뀌는 로그인

Categories , , , ,

요약
1) 패스키(passkey)는 비밀번호를 ‘외워서 입력’하는 방식 대신, 내 기기(지문·얼굴·PIN)로 잠금 해제해 로그인하는 새 방식입니다.
2) 결제·지갑·광고 같은 ‘돈이 연결된 계정’에서 패스키 도입이 빠르게 늘고 있습니다.
3) 편해지는 만큼, 기기 분실·계정 복구(리커버리) 규칙을 미리 알아두는 게 핵심입니다.

1) 패스키는 뭐가 다른가요?

패스키는 한마디로 “비밀번호를 서버로 보내지 않는 로그인”입니다. 내 기기에 저장된 ‘개인 키’로 로그인 요청(도전값)을 서명하고, 서비스는 ‘공개 키’로 맞는지 확인합니다. 그래서 누가 전화를 하거나 메일을 보내 “비밀번호를 알려 달라”고 유도해도, 넘겨줄 비밀번호 자체가 없는 구조에 가깝습니다. (원리는 공개키 암호 기반)

일상 비유로는, 예전이 “비밀 번호를 말하면 문이 열리는 자물쇠”였다면, 패스키는 “내 지문(또는 얼굴)로만 열리는 스마트 도어락”에 더 가깝습니다.

2) 왜 요즘 ‘돈이 걸린 계정’에서 먼저 확산될까

최근 보도에 따르면 패스키는 피싱·계정 탈취(비밀번호 재사용, 유출 비번 대입 등)를 줄이면서도 로그인 과정을 짧게 만들어, 서비스 입장에선 “보안 vs 전환율”의 줄다리기를 완화할 수 있다고 합니다. 특히 결제·지갑·대시보드처럼 한 번 뚫리면 금전 피해가 커질 수 있는 영역이 먼저 움직일 이유가 큽니다.

예를 들어 PYMNTS는 PayPal의 패스키 로그인 지원 확대와 Stripe의 패스키 가이드를 함께 언급하며, 큰 플랫폼이 로그인 흐름에 넣으면 채택이 빨라질 수 있다고 설명합니다.

3) 실제로 어디서 쓰이기 시작했나요?

  • Google Ads: Google Ads 도움말에 따르면, 계정 연결 업데이트나 사용자 접근 권한 변경 같은 민감한 작업에서 패스키가 필요할 수 있습니다. 지원 OS/브라우저 조건(예: Windows 10+, iOS 16+, Chrome 109+ 등)과, 다른 기기에서 휴대폰 패스키를 쓰려면 Bluetooth가 필요할 수 있다는 점도 안내합니다.
  • Stripe Dashboard: Stripe는 대시보드에서 패스키로 “원클릭 로그인”을 소개하며, Touch ID/Face ID/보안키 같은 로컬 인증으로 비밀번호 없이 로그인할 수 있다고 설명합니다.
  • 업계 전반: 패스키가 ‘기본값’이 되기까지는 시간이 걸리지만, 결제·상거래 영역에서 관심이 커지고 있다는 흐름이 이어지고 있습니다.

4) 일반 사용자가 오늘 할 수 있는 체크리스트

  • 패스키를 만들기 전, 먼저 화면 잠금부터: 지문/얼굴이 아니어도 PIN/패턴 잠금이 핵심입니다. (기기 잠금이 곧 로그인 열쇠가 됩니다)
  • 기기 분실을 가정한 ‘복구 경로’ 확인: 패스키는 편하지만, 기기를 바꾸거나 잃어버렸을 때를 대비해 계정 복구(백업 인증 수단, 복구 이메일/전화번호, 보안키 등)를 점검해야 합니다.
  • 공용 PC·낯선 기기에서는 신중하게: 일부 환경(시크릿 모드 등)에서는 패스키 사용/생성이 제한될 수 있습니다. 민감한 계정은 가급적 내 기기에서 처리하는 습관이 안전합니다.

한계/주의

패스키가 ‘만능 보안’은 아닙니다. 기기 잠금이 약하거나(쉬운 PIN), 계정 복구 수단이 허술하면 다른 경로로 위험이 생길 수 있습니다. 또한 서비스마다 “패스키로 로그인은 가능하지만 일부 기능(민감 작업)은 추가 검증이 필요” 같은 정책이 다를 수 있으니, 실제로 쓰는 서비스의 안내를 꼭 확인하세요.

출처

이미지 출처: Wikimedia Commons: File:HSBC Security Code Numer 11.JPG · License: CC BY-SA 3.0 · https://creativecommons.org/licenses/by-sa/3.0