패스키는 거의 모든 기술적 면에서 패스워드보다 낫다. 느린 채택이 그래서 더 미치게 한다.
보안 이야기가 환상적이다. 공유 비밀 없음. 오리진 바운드 크리덴셜. 피싱 저항. 또 하나의 사람이 외울 수 있는 문자열 대신 얼굴, 지문, PIN으로 디바이스 잠금 해제. Apple, Google, Microsoft, FIDO Alliance 모두 이 모델 뒤에 줄 섰다. Google이 2024년에 사용자가 4억 개 이상의 계정에서 10억 회 이상 패스키로 인증했다고 말했다.
그런데도 웹은 아직 패스키 데모가 옆에 있는 패스워드 세상처럼 느껴진다.
패스키가 실제로 뭔가
브랜딩을 벗기면 패스키는 공개키 암호학으로 뒷받침된 WebAuthn 크리덴셜이다.
개인키가 사용자 디바이스나 보안 하드웨어에 남는다. 서버는 공개키를 저장한다. 로그인 시 서버가 챌린지를 보내고, 인증기가 서명하고, 브라우저가 결과를 넘긴다. 공유 패스워드가 전송되지 않는다. 일회용 코드를 사용자가 복사하지 않는다. 크리덴셜이 신뢰 당사자의 오리진에 바운드된다 — 피싱 저항이 진짜인 이유다.
피싱 사이트가 사용자에게 패스워드를 입력하게 속일 수 있다. real-site.com용 WebAuthn 크리덴셜에게 lookalike-site.com에 인증하라고 쉽게 설득할 수는 없다. 오리진 체크가 세레모니에 내장되어 있다.
UX 혼란
여기서 어려워진다.
“얼굴로 로그인하세요”가 대부분의 사용자가 패스키를 경험하는 방식이다. 생체 스캔 — Face ID, Touch ID, Windows Hello — 이 보이는 것이다. 이해 못 하는 건 생체가 디바이스 바운드 키의 잠금을 해제하는 것뿐이라는 점. 키가 인증을 한다. 얼굴은 키를 담은 상자의 자물쇠다.
이 추상화는 보안에는 좋다. 멘탈 모델에는 혼란스럽다. 사용자가 뭐가 만들어졌는지, 어디에 사는지, 디바이스를 바꾸면 어떻게 되는지 모른다. “내 얼굴이 되네”만 알고 생각을 멈춘다.
새 폰을 살 때까지는.
동기화 문제
Apple은 iCloud 키체인으로 패스키를 동기화한다. Google은 Google 패스워드 관리자로. Microsoft는 Windows Hello와 Microsoft Authenticator로. 단일 생태계 안에서는 아름답게 작동한다. iPhone에서 패스키를 만들고, Mac에서 쓰면 된다.
크로스 플랫폼에서 경험이 저하된다.
iPhone에 저장된 패스키로 Windows PC에 로그인하면 PC에 QR 코드가 표시되고, iPhone으로 스캔하고, Bluetooth 근접 검증을 하고, 생체 확인을 한다. 작동한다. 빠르지 않다. 직관적이지 않다. 우회 방법처럼 느껴진다. 우회 방법이니까.
복구 문제
패스워드에는 잘 알려진 복구 흐름이 있다. “비밀번호를 잊으셨나요?” → 이메일 링크 → 새 비밀번호. 모두가 안다. 모든 플랫폼과 디바이스에서 작동한다.
패스키 복구는 플랫폼 의존적이고 혼란스럽다. Apple 디바이스를 전부 잃으면 패스키가 iCloud에 있다 — Apple 계정에 접근할 수 있으면 복구 가능. 동기화를 안 했으면 사라진다. 백업 없는 하드웨어 키를 썼으면 사라진다.
“두 번째 디바이스에 백업 패스키를 설정했어야죠.” 물론. 일반 사용자 중 실제로 그렇게 하는 사람이 몇이나 될까?
복구 이야기가 패스키 생태계의 가장 약한 고리다. 사용자가 가장 신경 쓰는 질문이기도 하다: “폰을 잃어버리면?”
사이트 채택: 선택이면 영원히 안 한다
대부분의 주요 사이트가 패스키를 옵션으로 제공한다. 거의 아무도 요구하지 않는다. 패스워드가 기본이다. 패스키 옵션은 보통 보안 설정에 묻혀 있다 — 대부분의 사용자가 안 가는 페이지.
채택의 함정이다. 패스워드가 어디서나 작동하고 패스키가 옵트인인 한, 채택은 보안 의식 있는 소수에 국한된다. 다수는 패스워드를 쓴다. 기본값이니까. 기본값이 이긴다.
패스키는 잘못된 질문에 대한 맞는 답이다
기술은 맞다. 공개키 암호학이 공유 비밀보다 낫다. 오리진 바인딩이 사용자 경계심보다 낫다. 생체 잠금 해제가 외운 문자열보다 낫다.
하지만 채택을 결정하는 질문은 “뭐가 더 안전해?”가 아니다. “사람들이 실제로 뭘 쓸까?”다.
사람들이 패스워드를 쓰는 이유: 어디서나 작동하고, 셋업이 필요 없고, 이메일로 복구되고, 보편적으로 이해된다. 패스키는 더 안전하고 한계에서 덜 편리하다 — 한계에서 채택 결정이 이루어진다.
전환은 일어날 것이다. 결국에는. 하지만 개별 사이트에서의 옵트인 채택으로는 안 일어난다. 플랫폼이 민감한 작업에 패스키를 요구하기 시작하고, 브라우저가 패스워드 자동완성을 레거시처럼 느끼게 만들고, “패스키를 잊었어요”가 “비밀번호를 잊었어요”만큼 보편적으로 이해되는 답을 가질 때 일어날 것이다.
그때까지, 패스키는 받는 것보다 나은 대우를 받을 자격이 있다. 우리가 만든 최고의 인증 기술이 나머지 생태계가 따라잡기를 기다리고 있다.