교원, 아시아나항공, 신한카드 등 주요 기업을 둘러싼 개인정보 유출 사례가 잇따르고 있습니다. 이러한 사고는 자연스럽게 하나의 질문으로 이어집니다. 문제는 공격 방식이 아니라 그 공격이 어떻게 인증을 통과할 수 있었는가입니다. 해킹, 랜섬웨어, 내부 계정 탈취 등 방식은 제각각이지만 피해가 본격화되는 시점은 인증 이후입니다. 지금 필요한 것은 새로운 공격 기법의 나열이 아니라 보안의 출발점인 ‘인증’을 다시 바라보는 관점의 전환입니다.

최근 잇따른 개인정보 유출 사고를 보면 기업의 보안 수준이 낮아서라기보다 보안이 작동하는 방식 자체를 다시 점검해야 할 시점이라는 신호에 가깝습니다. 최신 보안 솔루션을 도입했고 방어 체계도 갖췄지만 사고는 반복되고 있습니다. 문제는 공격이 시도되는 지점보다 시스템이 그 공격을 어떻게 ‘신뢰’하게 되었는가에 있습니다. 한 번 인증을 통과한 이후에는 그 사용자가 누구인지보다 이미 인증되었다는 사실 자체가 신뢰의 근거가 되는 구조가 여전히 유지되고 있기 때문입니다.

이러한 구조에서는 공격 방식이 무엇이든 결과는 비슷해질 수밖에 없습니다. 지금 필요한 것은 새로운 위협을 하나 더 추가하는 것이 아니라 ‘인증 이후는 안전하다’는 전제를 다시 검토하는 일입니다.

최근 개인정보 유출 사고 사례와 공통점

교원그룹은 랜섬웨어 공격으로 인해 개인정보 유출 가능성이 제기됐습니다. 특히 교육 사업을 운영하는 기업 특성상 미성년자 정보가 포함됐을 가능성이 거론되며 사회적 우려가 빠르게 확산됐습니다. 사고 발표 이후 일정 시간이 지났음에도 실제 유출 범위가 명확히 특정되지 않으면서 고객들의 불안은 쉽게 해소되지 않았습니다. 아시아나항공 역시 사내 인트라넷에 대한 비인가 접근(해킹)으로 임직원 1만여 명의 개인정보가 유출되는 사고를 겪었습니다. 회사는 즉각 접근 경로를 차단하고 계정과 비밀번호를 변경하는 등 대응에 나섰지만, 이미 인증을 통과한 계정이 악용된 이후였습니다.

두 사고는 발생 원인, 공격 방식 모두 다릅니다. 하나는 랜섬웨어였고, 다른 하나는 외부 해킹이었습니다. 그러나 공통점은 분명합니다. 공격자는 모두 ‘허용된 인증’을 통과한 뒤 내부 시스템에 접근했고 그 이후에 피해가 확산됐다는 점입니다. 결국 문제는 어떤 공격 기법이 사용됐는가가 아니라 왜 그 접근이 인증 단계에서 막히지 않았는가에 있습니다. 반복되는 개인정보 유출 사고는 공격 기술의 진화만으로 설명되지 않습니다. 이제는 보안의 출발점인 인증을 다시 설계해야 할 시점입니다.

(출처: 브릿지경제 “구몬하는 우리 아이 정보 유출됐나…교원 해킹에 학부모들 발동동”, 조선일보 “아시아나 사내망 해킹당해... 1만명 직원 개인정보 유출”)

달라진 공격 환경, 달라진 인증의 출발점

1. AI가 바꾼 공격의 속도와 정밀도

AI 기술의 발전은 사이버 공격의 방식 자체를 바꾸어 놓았습니다. 특히 거대언어모델(LLM)을 활용한 초개인화 피싱은 이제 불특정 다수를 노리는 수준을 넘어 특정 조직과 개인을 정조준하는 형태로 진화했습니다. 공격자는 SNS와 공개 자료, 과거 커뮤니케이션 패턴까지 학습한 AI를 통해 사람이 직접 작성한 것과 구분하기 어려운 메시지를 대량으로 생성하고 있습니다. 금융보안원 등 주요 보안 기관이 이를 핵심 위협으로 경고하는 이유입니다.

여기에 대규모 자동화 공격(Credential Stuffing)이 결합하며 위협은 더 확대되고 있습니다. AI 기반 봇은 CAPTCHA와 같은 기본적인 방어 장치를 우회하고 이미 유출된 계정 정보를 수많은 서비스에 초고속으로 대입합니다. 이 과정에서 인증은 정상적으로 통과되지만 해당 인증의 주체가 실제 사용자인지를 구분하는 일은 점점 더 어려워지고 있습니다. 공격의 성공 여부는 이제 기술적 침투보다 ‘인증을 속일 수 있는가’에 달려 있습니다. (출처: 머니투데이 “AI시대의 개인정보 보호 체계 강화, 크레딧코인-미드나잇 협력”)

2. 기존 인증 구조가 흔들리는 구조적 이유

중요한 점은 이러한 변화가 기존 인증 기술의 실패를 의미하지는 않는다는 사실입니다. 다중요소인증(MFA)은 여전히 사람 중심의 인증 환경에서 강력한 보안 수단으로 기능하고 있습니다. 그러나 비밀번호를 전제로 한 구조가 유지되는 한 피싱·재사용·탈취라는 공격 표면은 근본적으로 제거되기 어렵습니다.

현재의 공격자는 더 이상 시스템의 문을 강제로 부수지 않습니다. 사용자가 스스로 문을 열도록 속이는 방식으로 인증을 통과하고 있습니다. 인증 절차는 유지되고 있지만 그 신뢰성은 점점 약화하고 있습니다. 이는 인증을 ‘추가 절차’로 강화하는 것만으로는 한계가 있음을 보여줍니다. 이제는 인증 방식 자체를 다시 설계해야 할 시점에 와 있습니다. 

보안 업계가 주목하는 인증의 진화, 패스키

1. 비밀번호를 없애 공격 표면을 줄이다

패스키는 인증 방식을 하나 더 추가하는 기술이 아닙니다. 비밀번호라는 전제 자체를 제거하는 방식입니다. FIDO2 표준 기반의 패스키는 서버에 비밀번호를 저장하지 않습니다. 사용자 기기에서 생성된 공개키·개인키 구조를 활용해 인증을 수행하며 등록된 도메인에 대해서만 인증이 작동하도록 설계됐습니다. 그 결과 피싱 사이트나 위조된 로그인 페이지에서는 인증 자체가 성립하지 않습니다.

이는 방어를 더 단단하게 만드는 접근이 아니라 공격이 가능한 표면 자체를 줄이는 방식입니다. 비밀번호가 존재하지 않기 때문에 탈취할 정보도 재사용될 계정도 남지 않습니다. 인증을 통과하기 위해 사용자를 속일 수는 있어도 공격자가 가져갈 수 있는 값은 사라집니다.

2. 사용자 경험과 보안이 동시에 개선되는 이유

패스키가 주목받는 이유는 보안성에만 있지 않습니다. 지문이나 얼굴 인식 한 번으로 인증이 완료되는 방식은 로그인 실패를 줄이고, 인증 과정에서 발생하는 불편을 크게 낮췄습니다. 여러 글로벌 보안 조사 결과에 따르면, 패스키를 도입한 기업들은 비밀번호 재설정 요청이 85% 감소하고, 헬프데스크 콜이 30% 이상 줄어드는 등 실질적인 운영 비용 절감 효과를 경험한 것으로 나타났습니다. (출처: 아이티데일리 “비밀번호 로그인 시대 저문다…‘패스키’ 도입 확산”) 보안이 강화될수록 사용성이 나빠진다는 기존의 공식은 패스키 앞에서 더 이상 유효하지 않습니다. 인증 절차를 복잡하게 만들지 않으면서도 공격자가 개입할 할 수 있는 여지를 근본적으로 차단했기 때문입니다. 패스키는 보안과 사용자 경험 사이의 오랜 긴장을 해소하는 새로운 인증 방식으로 자리 잡고 있습니다.

드림시큐리티는 무엇을 준비하고 있는가

드림시큐리티는 Passkey를 로그인 편의 기능이 아닌 계정 탈취 리스크를 구조적으로 줄이는 인증 통제 수단으로 정의합니다. 구글·애플 등 글로벌 플랫폼의 Passkey 환경에 자사의 FIDO 인증 기술을 결합해 특정 단말이나 벤더에 종속되지 않으면서도 조직 전반에 일관된 인증 보안 수준을 적용할 수 있도록 설계했습니다. 웹 서비스별로 개별 생성되는 Passkey는 인증 정보 재사용과 수평 이동 공격 가능성을 원천적으로 차단합니다.

또한 로그인 요청 단말과 인증 수행 단말을 분리하는 크로스 디바이스 인증을 지원해 공격 표면이 넓은 PC·외부 단말 환경에서도 인증은 신뢰할 수 있는 사용자 디바이스에서만 이루어지도록 통제할 수 있습니다. 조직의 보안 정책에 따라 클라우드 동기화 방식(계정이 동기화된 다른 디바이스에서 Passkey를 공유하는 방식)과 디바이스 바인딩 방식(계정 동기화 없이 각각의 디바이스에서 passkey를 생성하여 사용하는 방식)을 선택적으로 적용할 수 있으며, FIDO 기반 로컬 인증 구조로 인증 정보가 서버에 저장되지 않아 유출 위험을 근본적으로 제거합니다. 이는 보안 수준을 높이면서도 운영 복잡도를 최소화한 현실적인 Passkey 적용 방식입니다.

FAQ

Q1. 패스키를 도입하면 기존 인증 체계를 모두 바꿔야 하나요?

그렇지 않습니다. 패스키는 기존 인증 체계를 전면 교체하는 방식이 아니라 비밀번호 기반 인증을 점진적으로 대체하거나 보완하는 구조로 설계됩니다. 기업은 서비스 특성과 보안 정책에 따라 일부 시스템부터 단계적으로 패스키를 적용할 수 있으며 기존 MFA나 SSO 환경과도 함께 운영할 수 있습니다. 즉, 패스키 도입은 ‘일괄 전환’이 아니라 ‘선택적 확장’에 가깝습니다.

Q2. 패스키는 내부 직원 인증에도 효과적인가요?

네. 오히려 내부 계정 보호 측면에서 효과가 큽니다. 최근 발생한 다수의 보안 사고는 외부 고객 계정보다 관리자·임직원 계정 탈취 이후 피해가 확산된 사례가 많았습니다. 패스키는 도메인 종속 인증 구조로 되어 있어 내부 시스템 로그인 시에도 피싱이나 계정 재사용 공격을 원천적으로 차단하는 데 유리합니다. 특히 관리자 계정, 원격 접속, 중요 시스템 접근 구간에서 높은 보안 효과를 기대할 수 있습니다.

Q3. 패스키는 모든 서비스에 동일하게 적용해야 하나요?

그럴 필요는 없습니다. 패스키는 서비스 중요도와 접근 위험도에 따라 차등 적용이 가능합니다. 예를 들어, 일반 조회 서비스에는 기존 인증 방식을 유지하고, 개인정보 조회나 결제, 관리자 기능에는 패스키를 적용하는 방식입니다. 이는 보안을 강화하면서도 사용자와 조직의 부담을 최소화할 수 있는 현실적인 접근입니다.

결론: 인증 전략의 다음 단계는 ‘통제 방식의 전환’이다

앞으로의 인증 전략은 더 많은 절차를 덧붙이는 방식이 아니라 무엇을 전제로 인증을 설계하고 어디까지를 신뢰할 것인가를 다시 정의하는 방향으로 나아가야 합니다. 비밀번호 중심 구조에서 벗어나 인증이 작동하는 조건 자체를 줄이고, 공격자가 개입할 수 있는 지점을 구조적으로 제거하는 것이 핵심입니다. 이는 단일 기술 도입으로 해결되는 문제가 아니라 서비스 중요도와 접근 위험도에 따라 인증 방식을 구분하고 내부 계정·관리자 권한·민감 정보 접근 구간부터 단계적으로 전환하는 전략적 접근이 필요합니다. 이제 인증은 보안과 편의성의 타협 지점이 아니라 공격 표면을 얼마나 근본적으로 통제했는가를 보여주는 기준이 되고 있으며 개인정보 유출 시대에 기업이 선택해야 할 다음 단계의 방향성도 바로 여기에 있습니다.