많은 CISO가 10년이 넘는 기간 동안 비밀번호 중심 인증 방식을 벗어나기 위해 노력해 왔다. 그러나 많은 레거시 시스템이 애초에 비밀번호 이외의 인증 방식을 고려하지 않고 설계된 탓에 기술적 한계에 부딪히고 있다.

이로 인해 비밀번호를 생체인증, OTP, 보안키 등으로 대체하겠다는 ‘패스워드리스(passwordless)’ 혁신은 매력적인 구호와 달리 완전히 실현되지 못할 가능성이 높다. 비밀번호는 여전히 쉽게 탈취·악용될 수 있으며, 그 대안이 존재하더라도 실제 전환은 생각보다 더디게 진행되고 있다.

RSA가 최근 발표한 보고서에 따르면, 패스워드리스 인증 도입이 정체 상태에 있으며, 전체 기업의 90%가 커버리지 부족과 낮은 사용자 경험으로 인해 도입 과정에서 어려움을 겪고 있다.

패스워드리스 인증 도입에는 수많은 장애물이 존재한다. 레거시 산업용 시스템뿐 아니라 자체 개발 애플리케이션, 출입통제 시스템, IoT 환경에서도 완전한 구현은 쉽지 않다. 심지어 일반적인 업무 그룹 수준의 배포조차 ‘일상적’이라고 보기 어렵다. OS가 다양하고 접근 권한 요구 사항이 복잡하다 보니, 기업은 여러 종류의 패스워드리스 솔루션을 병행 도입해야 하는 경우가 많다. 이 과정은 비용과 시간이 많이 들 뿐 아니라, 운영 지연과 호환성 문제 등 새로운 마찰을 일으킨다. 더욱 심각한 것은, 여러 인증 시스템 사이의 빈틈을 공격자가 파고들면서 새로운 보안 취약점이 생길 수 있다는 점이다.

보안 분석가들은 대부분 기업이 현재 사용 가능한 패스워드리스 옵션으로 전체 위협 환경의 75~85% 정도만 보호할 수 있다고 평가한다. 문제는 나머지 15%의 영역, 즉 패스워드리스 전환이 가장 어려운 시스템에 있다. 바로 이 부분이 보안 담당자에게 가장 큰 골칫거리로 남아 있다.

무어 인사이트 앤드 스트래티지의 부사장이자 수석 애널리스트인 윌 타운센드는 “특히 OT 환경에서 임베디드 시스템과 산업 제어 장비를 사용하는 경우, 마지막 15%의 격차를 해소하는 것은 매우 어렵다. OT, IoT, 임베디드 리눅스 환경에서의 전환은 특히 복잡하며, 제조 분야 전반에서 구현 난도가 높다”라고 말했다.

또한 타운센드는 “직접 개발한 내부 시스템은 이질적인 존재로, 이런 시스템을 포함해 다양한 도구를 관리하는 과정에서 새로운 위험이 발생한다”라고 설명했다. 하지만 “그럼에도 불구하고 패스워드리스 도입의 장기적 이점은 단기적인 마찰보다 훨씬 크다”라고 강조했다.

패스워드리스 도입의 과제와 위험

패스워드리스 환경 구축의 또 다른 난관은 너무 많은 선택지다. 어떤 방식을 채택해야 할까? FIDO2 기반 인증일까, 아니면 생체인증일까? 만약 생체인증을 선택한다면 얼굴 인식, 홍채, 지문, 정맥 인식 중 무엇을 사용할지 결정해야 한다. 각각의 방식은 장단점이 뚜렷하며, 대기업일수록 여러 인증 방식을 병행해야 하기 때문에 관리 부담이 상당히 크다.

여기에 또 하나의 문제가 있다. 만약 패스워드리스 인증이 실패했을 때를 대비한 백업 수단은 어떻게 마련할 것인가? 결국 기존 비밀번호로 되돌아가야 한다면, 그것은 더 이상 ‘패스워드리스’라고 부를 수 없다는 딜레마가 남는다.

나임태그 CEO 애런 페인터는 “패스워드리스 구현에는 위험한 사각지대가 존재한다. 비밀번호는 여전히 패스키 등록이나 복구 과정 속에 숨어 있다. 이렇게 생각해 보자. 패스키를 등록하거나 재설정하는 사람이 정말 본인이라는 것을 어떻게 확인할 수 있을까? 공격자는 패스키의 암호화 기술을 깨려 하지 않는다. 대신 헬프데스크 전화, SMS 인증 코드, 또는 ‘패스키에 접근할 수 없습니다’ 버튼 같은 가장 취약한 연결 고리를 노린다. 비밀번호와 패스키를 동시에 유지하는 한, 공격 표면은 오히려 넓어진다”라고 지적했다.

페인터는 진정한 의미의 패스워드리스 전환은 로그인뿐 아니라 등록과 복구 과정에도 피싱 방지 수준의 보안이 적용될 때 가능하다며 “현대적인 모바일 암호화 기술과 생체인증, 실시간 사용자 검증을 결합해야 비로소 완전한 패스워드리스 환경이 구현된다”라고 말했다.

RSA 보고서 집필팀은 복잡한 기업 환경을 패스워드리스 도입의 가장 큰 장애 요인으로 꼽았다. 이밖에도 복잡한 인프라 환경, 다양한 사용례, 그리고 여러 사용자 그룹이 존재하기 때문에 포괄적인 패스워드리스 인증 체계를 도입하기란 쉽지 않다. 대다수 기업은 하이브리드 환경을 운영하며 서로 다른 사용자와 업무 시나리오를 지원해야 하므로 ID 관리자는 다양한 인증 형태를 병행 적용하는 방향으로 전략을 세우고 있다.

RSA 보고서에 따르면, 보안 책임자 사이에서도 패스워드리스 도입이 지연되는 이유에 대한 견해는 엇갈리고 있다. 응답자 약 57%는 보안상 우려를, 56%는 사용자 경험(UX) 문제를, 52%는 레거시 애플리케이션과 서드파티 시스템을 포함한 플랫폼 지원 미비를 주요 장애 요인으로 꼽았다.

완전한 전략은 아직 없다

RSA의 최고제품책임자이자 전략 책임자인 짐 테일러는 “오늘날 기업 환경과 기존 패스워드리스 접근 방식으로는 100% 완전한 패스워드리스를 구현할 수 없다. 현 시점에서는 약 85% 수준까지 실현할 수 있으며, 나머지 15%는 매우 복잡하거나 특수한 인증 요구 사항에 해당한다”라고 설명했다. 예를 들어 전 세계 원격지에서 건물 출입을 위해 로그인해야 하는 보안 관리자처럼 물리적 접근과 디지털 인증이 혼합된 환경은 여전히 해결이 어렵다.

핵심 인프라를 운영하는 기업이 패스워드리스 전환 과정에서 가장 큰 난관에 부딪힌다. 테일러는 “오래된 네트워크 스위치 같은 장비는 여전히 비밀번호 중심 구조에 의존한다. 시추 환경처럼 공중망과 완전히 분리된 에어갭 네트워크에서는 인증 절차를 바꾸는 것이 거의 불가능하다. 최근에는 위성 연결로 이런 장비가 네트워크화되고 있어, 그 복잡성은 더 커지고 있다”라고 설명했다.

테일러는 기업이 “향후 몇 년 안에는 100% 패스워드리스 전환에 도달할 수 있을 것이다. 마지막 1%를 달성하기까지는 아마 3년 정도가 걸릴 것”이라고 전망했다.

패스워드리스 전환 논의의 핵심은 도입 실효성과 경제적 타당성이다. 테일러는 “궁극적인 목표는 모든 비밀번호 자격 증명을 제거하는 것이다. 이 경우, 예를 들어 협력사 침해로 유출된 1년 전의 관리자 비밀번호가 있더라도 공격자에게는 아무런 가치가 없다. 일부 시스템에서 여전히 비밀번호가 필요한 이상, 이런 유형의 공격 위험은 완전히 사라지지 않는다. 패스워드리스 보안은 완전한 종착점이 아니라 지속적인 전환 과정임을 인식해야 한다”라고 강조했다.

보안 전문가 사이에서는 100% 패스워드리스 전환을 달성하지 못한 상태에서는 어느 정도의 보안 효과를 기대할 수 있는가에 대해 의견이 엇갈린다. 테일러는 “하나의 비밀번호라도 제거하면 보안 태세가 그만큼 강화되고, 위험 노출 수준이 조금이라도 줄어든다”라고 설명했다.

이와 관련해 하이디즈(Hideez) CEO 올렉 나우멘코는 “어떤 시스템부터 전환할지 우선순위를 전략적으로 결정해야 한다”라고 조언했다.

나우멘코는 “모든 업무 시스템을 단일 기술로 지원하는 것은 불가능하다. 기업이 우선적으로 특권 사용자와 핵심 시스템의 보안을 강화하는 데서 시작한다면, 그 자체로도 노출 위험을 크게 줄일 수 있다. 더 많은 사용자를 빠르게 포함시키기 위해 통합이 쉬운 영역부터 적용한다면, 개선 효과는 피상적일 수밖에 없다”라고 설명했다.

즉, 많은 기업이 비교적 쉽게 적용할 수 있는 클라우드 서비스에 패스워드리스 인증을 먼저 도입하지만, 더 복잡하고 위험도가 높은 시스템은 여전히 비밀번호에 의존하는 상황이다. 나우멘코는 “도입 순서를 거꾸로 하는 것이 좋다. 가장 권한이 높은 사용자부터 패스워드리스 전환을 시작해야 한다. 보안에 가장 큰 영향을 미치는 사용자 그룹을 우선 대상으로 삼을 경우, 패스워드리스 전환 과정 전체가 훨씬 매끄럽게 진행될 수 있다”라고 강조했다.

단계적 도입 순서가 핵심

나우멘코는 “관리자와 엔지니어는 조직 내에서 가장 광범위한 접근 권한을 갖고 있기 때문에 이들에게 패스워드리스 인증이 제대로 작동한다면 전체 조직으로 확산하는 과정이 훨씬 단순해진다. 도입 전 단계에서 각 서비스가 패스워드리스 SSO(Single Sign-On)를 얼마나 지원하는지 먼저 점검해야 한다”라고 말했다.

이어 “대부분 클라우드 애플리케이션은 SAML이나 OIDC를 통해 쉽게 통합할 수 있지만, 레거시 시스템이나 자체 개발 시스템의 경우에는 다른 접근 방식이 필요하다. 첫 번째 방법은 패스워드리스 SSO로 보호된 VPN을 통해 접근을 제한하는 것, 두 번째이자 고급 방식은 리버스 프록시 서비스를 활용해 직접 패스워드리스 접근을 구현하는 것”이라고 덧붙였다.

한편 시크릿 더블 옥토퍼스(Secret Double Octopus)의 마케팅 총괄 오르 핑켈스타인은 “레거시 시스템이 ‘비밀번호가 입력된 것처럼’ 인식하도록 속이는 방식이 효과적일 수 있다”라며, 실제로는 비밀번호가 사용되지 않는 상태에서도 시스템이 정상 동작하도록 하는 기술을 소개했다.

핑켈스타인은 자사 고객이 활용하고 있는 한 가지 방식으로 “레거시 시스템의 기존 비밀번호 입력 필드를 그대로 유지하되, 사용자가 직접 설정한 비밀번호 대신 시스템이 자동으로 생성하는 단기 유효 토큰을 입력하도록 바꾸는 방법”을 소개했다. 이 토큰은 인증할 때마다 새롭게 갱신된다.

기술적으로 보면 여전히 비밀번호 형태이긴 하지만, 실제 사용자가 이를 직접 볼 일도, 입력할 일도 없다. 핑켈스타인은 “이 방식은 전통적인 비밀번호의 보안 취약점을 제거하고 피싱 공격에도 노출되지 않는다”라고 설명했다.

핑켈스타인은 “API 기반 인증이라면 패스워드를 사용하지 않고도 작동하도록 시스템을 맞춤화하는 것은 결국 우리 몫”이라며 “패스워드리스는 이제 선택이 아닌 사실상의 기정사실이 됐다. 컴플라이언스 요구, 사이버 보험 요건, 혹은 보안 침해 사고 등으로 인해, 결국 모든 기업이 패스워드리스 전환을 추진하게 될 것”이라고 덧붙였다.

패스워드리스 도입을 더욱 복잡하게 만드는 또 다른 요인은 핵심 장비나 시스템을 공급하는 파트너 기업의 대응 수준이다. 예를 들어 소매 유통 분야의 POS 공급업체처럼 아직 패스워드리스를 도입하지 않은 협력사가 제공하는 시스템이 여전히 비밀번호 기반 인증을 요구한다면, 기업 입장에서는 이를 우회하거나 통합하기가 쉽지 않다.

인포테크 리서치 그룹의 기술 자문위원 에릭 아바키안은 이런 상황이 다중인증(MFA) 도입 시 겪었던 결정 과정과 유사하다며 “패스워드리스 도입도 결국 보안, 비용, 파트너 호환성 사이에서의 균형점 찾기다. 기술이 아닌 조직적·전략적 선택의 문제로 접근해야 한다”라고 강조했다.

MFA는 단일 기술이 아니라 여러 인증 메커니즘의 집합이다. 그중 일부, 예를 들어 FIDO2, 패스키, 또는 인증 애플리케이션은 비교적 강력한 반면, 암호화되지 않은 SMS 기반 인증은 상대적으로 취약하다. 많은 기업이 “MFA를 지원한다”라고 자부하지만, 실제로 사용 중인 MFA 방식의 보안 강도를 고려하지 않으면 도입의 본질을 놓치게 된다. 그 결과, 겉보기에는 MFA를 도입했지만 사이버보안 효과는 미미한 경우가 많다.

아바키안은 이런 문제가 패스워드리스 인증 방식 선택에서도 동일하게 반복되고 있다며 “MFA에서 배운 교훈을 잊지 말아야 한다. 편의성을 보안보다 우선시해서는 안 된다. 패스워드리스 역시 보안성과 UX이라는 두 축 사이의 균형을 찾아야 한다”라고 경고했다.

이론적으로는 패스워드리스 전환이 매우 단순해 보인다. 하지만 실제 기업 환경에서는 예상보다 훨씬 다양한 장애물이 존재한다. 아바키안은 “기업이 생각하는 것보다 인프라 환경이 훨씬 이질적이거나, 오랜 기간 굳어진 내부 프로세스와 조직 문화가 큰 변화를 받아들이는 데 저항을 보이기 때문”이라고 설명했다.

패스워드리스 전환은 제로 트러스트 모델로의 전환 과정과 매우 유사하다. 아바키안은 “단번에 이루어지는 이벤트가 아니라, 수년에 걸친 단계적 여정에 가깝다”라고 강조했다.
dl-itworldkorea@foundryco.com