패스키(Passkeys)와 토큰·인증서·SMS OTP·생체인식 등 기존 인증 방식을 기술적 보안 속성 기준으로 비교한다. FIDO Alliance와 WebAuthn API를 기반으로 공개키 암호화를 사용하는 패스키가 피싱·자격증명 스터핑·SIM 스와핑 공격에 어떻게 저항성을 갖는지, 기존 방식들과 어떤 트레이드오프가 있는지 분석한다.
핵심 포인트- 패스키는 WebAuthn API + 공개키/개인키 쌍 기반 — 개인키는 기기 하드웨어에만 저장, 공개키만 서버 보관
- 기존 인증 방식(TBA·CBA·SMS OTP·생체인식·MFA)은 각기 다른 보안/UX 트레이드오프를 가짐
- 패스키 로그인 최대 75% 빠르고, 피싱 위험 20% 추가 감소
- SMS OTP는 SIM 스와핑·SS7 가로채기·SMS 펌핑 사기에 취약, NIST가 약화된 방식으로 분류
- 도메인 바인딩으로 위조 사이트에서 패스키 인증 요청 자체 거부 — 피싱 원천 차단
상세 정리- TBA(토큰 기반 인증): 로그인 후 JWT·세션 쿠키 발급. 구현 간단하나 토큰 탈취 시 세션 하이재킹 가능. 상태 관리 복잡성 존재.
- CBA(인증서 기반 인증): PKI 디지털 인증서로 신원 증명. 보안 강하지만 인프라 구축 비용 높아 대규모 기업·정부 환경 위주 사용.
- SMS OTP: 설정 없이 모든 기기 지원되는 장점이 있으나, SIM 스와핑·SS7 프로토콜 취약점으로 가로채기 가능. 비밀번호 관련 헬프데스크 비용의 30%가 OTP 재발급 등에서 발생.
- 생체인식: 얼굴·지문·홍채로 물리적 신원 확인. 원격 인증 환경에서는 스푸핑 가능성 및 기기 의존성 한계 존재.
- 2FA/MFA: 두 가지 이상 인증 요소 조합으로 보안 향상. 단 OTP 기반 2FA는 중간자 공격에 여전히 노출될 수 있음.
- 패스키 구조: WebAuthn API 호출 시 기기 내 하드웨어 보안 모듈에서 키 쌍 생성. 공개키만 서버로 전달, 개인키는 기기 외부로 절대 유출되지 않음.
- 피싱 저항 메커니즘: 패스키 자격증명이 등록 도메인에 바인딩 — 피싱 사이트에서는 도메인 불일치로 navigator.credentials.get 요청 거부.
- 재사용 불가: 사이트마다 고유 키 쌍 생성, 한 사이트 유출이 다른 사이트에 영향 없어 자격증명 스터핑 차단.
- 현재 제한: 패스키 미지원 기기 사용자를 위한 이메일 매직링크·TOTP 등 대체 채널 병행 운영 필요.
왜 읽나인증 시스템을 신규 설계하거나 패스키 전환을 검토 중인 개발자·보안 담당자가 각 인증 방식의 기술적 특성과 도입 판단 기준을 한 글에서 비교할 수 있다.