패스키 완전 정리 — 비밀번호가 사라지는 로그인, 원리부터 주의사항까지
네이버도 도입했고 애플·구글도 밀고 있습니다. "비밀번호 없이 지문으로 로그인", 정말 안전할까요?
로그인할 때 비밀번호 대신 지문이나 얼굴로 끝나는 화면, 한 번쯤 보셨을 겁니다. 네이버는 2025년부터 4,200만 개가 넘는 계정에 패스키 로그인을 열었고, 애플·구글·마이크로소프트도 모두 같은 방향으로 가고 있습니다.
그런데 "비밀번호가 없는데 어떻게 안전하지?"라는 의문이 자연스럽게 듭니다. 패스키는 비밀번호를 더 길게 만든 게 아니라, 로그인의 작동 방식 자체를 바꾼 기술입니다. 원리·설정·주의사항 순으로 짚어봅니다.
패스키의 정체 — 비밀번호와 근본이 다르다
비밀번호는 '내가 아는 비밀'입니다. 그래서 누군가 알아내면 끝이죠. 패스키는 '내 기기만 가진 열쇠'로 바꿉니다. 가입할 때 기기가 한 쌍의 열쇠를 만듭니다.
개인 키(private key) — 내 폰·노트북 안에 저장되고, 절대 밖으로 나가지 않습니다.
공개 키(public key) — 사이트(네이버 등)에 보관됩니다. 이건 새어 나가도 그 자체로는 쓸모가 없습니다.
로그인 순간엔 사이트가 "이 문제 풀어봐"라며 질문(challenge)을 던지고, 내 기기가 개인 키로 서명해 답을 보냅니다. 사이트는 갖고 있던 공개 키로 그 서명이 진짜인지 확인하죠. 비밀 자체가 오가지 않으니 가로챌 것도 없습니다. 지문·얼굴은 이 개인 키를 꺼내 쓰기 위한 '기기 잠금 해제' 용도일 뿐, 네이버 서버로 전송되지 않습니다.
왜 피싱에 안 당하나 — 열쇠가 '주소'에 묶여 있다
패스키의 진짜 무기는 편리함이 아니라 피싱 내성입니다. 패스키는 발급된 사이트의 주소(origin)에 단단히 묶입니다.
예를 들어 naver.com에서 만든 패스키는 naver-login.com 같은 가짜 사이트에선 반응조차 하지 않습니다. 사람은 비슷한 주소에 속아도, 패스키는 주소가 한 글자만 달라도 거부합니다. 비밀번호 시대의 가장 흔한 사고였던 "가짜 로그인 페이지에 비번 입력" 자체가 구조적으로 불가능해지는 겁니다.
직접 설정하기 — 3단계면 끝
대부분의 서비스에서 과정은 비슷합니다. 네이버를 예로 들면 이렇습니다.
| 단계 | 할 일 | 걸리는 시간 |
|---|---|---|
| 1. 진입 | 로그인 → 보안 설정 → '패스키' 메뉴 | 30초 |
| 2. 등록 | 기기 잠금 방식(지문·얼굴·PIN)으로 인증 | 20초 |
| 3. 확인 | 로그아웃 후 패스키로 재로그인 테스트 | 20초 |
한 번 등록하면 다음부터는 아이디를 칠 필요도, 비밀번호를 기억할 필요도 없습니다. 같은 클라우드 계정(애플 iCloud·구글 계정)을 쓰면 폰에서 만든 패스키가 다른 기기로 자동 동기화되기도 합니다. 단, 이 편리함이 다음 단락의 주의사항과 직결됩니다.
쓰기 전에 알아야 할 주의사항
패스키는 강력하지만 만능은 아닙니다. "비밀번호여, 안녕"이라는 광고만 믿고 들어가면 당황할 수 있는 지점이 몇 군데 있습니다.
두 번째로, 동기화 패스키는 클라우드 계정 보안에 의존합니다. 구글·애플 계정이 뚫리면 동기화된 패스키도 위험해지므로, 그 계정의 2단계 인증은 더 단단히 걸어야 합니다. 세 번째로, 생태계 종속이 있습니다. 애플에서 만든 패스키를 윈도우·안드로이드로 옮기는 경험이 아직 매끄럽지 않은 경우가 있어, 여러 기기에 각각 패스키를 등록해 두는 편이 안전합니다.
정리 — 지금 켜도 될까
결론부터 말하면, 주력으로 쓰는 서비스부터 켜는 걸 권합니다. 피싱이라는 가장 흔한 사고를 구조적으로 막아주는 효과가 분명하니까요. 다만 복구 수단(비밀번호·백업 코드)은 지우지 말고 남겨두고, 클라우드 계정의 2단계 인증을 먼저 점검하세요.
패스키는 "비밀번호를 더 강하게"가 아니라 "훔칠 비밀 자체를 없애기"라는 발상의 전환입니다. 완벽한 마법은 아니지만, 가짜 사이트에 속는 실수만큼은 기계가 대신 막아줍니다. 그 한 가지만으로도 켤 이유는 충분합니다.
※ 설정 메뉴 위치·동기화 동작은 서비스·기기 OS에 따라 다를 수 있습니다. 참고: FIDO Alliance — Passkeys 공식 설명.