요약(3줄)
- ‘패스키(passkey)’는 비밀번호 대신, 내 기기 잠금(지문·얼굴·PIN)으로 로그인하는 방식입니다.
- 사이트가 비밀번호(공유 비밀)를 보관하지 않아, 유출·피싱에 강한 구조를 목표로 합니다.
- 다만 ‘기기 분실/교체’ 상황을 대비해, 패스키가 어디에 저장·동기화되는지 확인이 필요합니다.
1) 패스키가 뭔가요? “비밀번호를 외우는 대신, 내 폰 잠금을 쓰는 것”
패스키는 웹사이트/앱 계정에 묶여 있는 암호(cryptographic) 자격증명입니다. 로그인할 때 키보드로 비밀번호를 치는 대신, 스마트폰이나 PC에서 지문·얼굴 인식, 또는 기기 PIN으로 승인합니다. (즉, 평소 폰 잠금 해제하듯이 로그인하는 느낌입니다.)
구글 문서에서는 패스키가 비밀번호의 더 안전하고 쉬운 대안이며, 사용자가 생체인증·PIN·패턴 등으로 앱/웹에 로그인할 수 있다고 설명합니다.
2) 왜 더 안전하다고 하나요? ‘가짜 사이트’에 속기 어렵게 설계
비밀번호는 사람이 기억하고 직접 입력합니다. 그래서 피싱(가짜 로그인 페이지)에 속아 입력하면 그대로 털릴 수 있죠. 반면 패스키는 브라우저/운영체제가 “이 패스키는 원래 이 사이트/앱에서만 쓰는 것”을 확인하도록 설계되어, 사용자가 가짜 사이트에서 승인하도록 유도하기가 훨씬 어려운 방향을 목표로 합니다.
FIDO Alliance는 패스키가 FIDO 표준 기반의 암호 자격증명이고, 사용자가 기기를 잠금 해제하는 방식(생체인증·PIN 등)으로 로그인하며, 피싱 저항성(phishing resistant)을 강조합니다.
3) 금융·결제 계정에서 특히 체감이 큰 이유: ‘비번 재설정 비용’과 ‘SMS 인증’ 부담
금융/결제 서비스는 로그인 실패가 곧바로 고객센터 비용(잠금 해제, 비번 재설정)으로 이어지기 쉽고, 보안을 위해 SMS/앱 인증을 더 붙이다 보면 절차가 길어집니다. 구글 문서는 패스키가 SMS 전송 같은 비용을 줄이는 데도 도움이 될 수 있다고 설명합니다.
일반 사용자 입장에서는 “결제하려고 로그인했는데, 비번 생각 안 나서 시간을 버리는” 상황이 줄어드는 게 가장 큰 변화입니다.
4) 가장 중요한 실전 체크리스트: ‘내 패스키는 어디에 저장되나요?’
패스키는 편하지만, 현실에서 꼭 마주치는 일이 하나 있습니다. 기기 분실·파손·교체입니다. 그래서 오늘부터 아래 4가지만 체크해 두면 안전합니다.
- 동기화/백업 범위: 패스키가 OS/브라우저/비밀번호 관리자에 저장되어 여러 기기로 동기화되는지 확인합니다. (구글 문서는 Google Password Manager가 안드로이드와 크롬에서 패스키를 동기화할 수 있다고 설명합니다.)
- 복구 수단: 패스키가 안 되면 어떤 대체 로그인(이메일·복구 코드·고객센터)이 가능한지 미리 확인합니다.
- 기기 잠금 자체를 강하게: 패스키는 ‘기기 잠금’이 열쇠입니다. 지문/얼굴을 쓰더라도, PIN을 0000 같은 쉬운 값으로 두지 않기가 기본입니다.
- 공용 PC에서는 ‘저장’에 신중: 회사/PC방 등 내 기기가 아닌 곳에서는 패스키 등록·저장을 피하고, 필요하면 ‘이 기기에서는 저장하지 않기’ 같은 옵션을 확인합니다.
5) 아이폰 사용자라면: iPhone에서도 앱/웹 로그인에 패스키를 쓸 수 있습니다
애플 지원 문서(아이폰 사용 설명서)는 iPhone에서 웹사이트와 앱에 로그인할 때 패스키를 사용할 수 있다고 안내합니다. 즉, “아이폰 잠금 해제 방식”이 곧 로그인 수단이 될 수 있다는 뜻입니다.
한계/주의
- 패스키가 모든 사이트/앱에 이미 있는 것은 아닙니다. 당분간은 비밀번호·OTP·패스키가 섞여 있는 과도기가 이어질 수 있습니다.
- 패스키 자체가 강해도, 계정 복구(분실 시 대체 로그인)가 약하면 전체 보안이 흔들릴 수 있습니다. 복구 이메일/전화번호/복구 코드를 주기적으로 점검하세요.
- ‘AI 고객센터 사칭’ 같은 사회공학은 여전히 위험합니다. 패스키가 있어도, 낯선 연락에서 “지금 승인 누르세요”라는 요청은 일단 의심하는 습관이 필요합니다.