‘비밀번호가 일치하지 않습니다.’
이 문장, 한 번쯤 보신 적 있으시죠? 쇼핑몰 로그인을 하려는데 비밀번호가 기억나지 않아 ‘찾기’를 누르고, 새 비밀번호를 설정하라는 안내에 따라 또 하나의 비밀번호를 만들고. 그러다 보면 어느 사이트에 어떤 비밀번호를 썼는지 점점 헷갈리기 시작합니다.

실제로 현대인은 평균 100개 이상의 온라인 계정을 갖고 있다고 합니다. 사이트마다 다른 비밀번호를 쓰라고 하지만, 현실은? 190억 건의 유출 비밀번호를 분석한 사이버뉴스(Cybernews)의 조사에 따르면, 94%가 이미 다른 곳에서 쓰인 적 있는 비밀번호였습니다.

해커 입장에서 보면, 한 곳에서 비밀번호를 손에 넣는 순간 나머지 서비스의 문도 함께 열리는 셈이죠. 그렇다면, 비밀번호라는 시스템 자체를 바꾸면 어떨까요? 그 답이 되는 기술이 있습니다. 바로 ‘패스키(Passkey)’입니다.

비밀번호는 60년 넘게 디지털 세상의 ‘자물쇠’ 역할을 해 왔는데요. 문제는, 이 자물쇠의 구조 자체에 약점이 있다는 겁니다.

먼저, 비밀번호는 서버에 저장됩니다. 정확히는 비밀번호를 변환한 값(해시)이 서버에 보관되는데요. 서버가 뚫리면 수많은 계정 정보가 한꺼번에 유출될 수 있습니다. 2025년 버라이즌(Verizon)의 데이터 침해 보고서에 따르면, 전체 침해 사고의 22%가 유출된 계정 정보(compromised credentials)를 통해 시작됐습니다.

게다가 같은 비밀번호를 여러 곳에 돌려쓰는 습관이 문제를 키웁니다. 한 곳에서 유출된 비밀번호를 다른 사이트에 자동으로 대입하는 공격, 이른바 ‘크리덴셜 스터핑*’이 가능해지니까요.

*크리덴셜 스터핑: 한 곳에서 유출된 아이디와 비밀번호를 다른 사이트에 무작위로 대입하는 해킹 수법. 같은 비밀번호를 여러 곳에 쓸수록 피해가 커진다.

‘특수문자와 대문자 소문자를 섞어라’, ‘주기적으로 바꿔라’, ‘생년월일은 넣지 말아라’. 보안 수칙은 늘어나는데, 기억해야 할 비밀번호도 함께 늘어나는 모순. 결국 ‘내 머릿속에 기억하는 문자열’에 의존하는 방식 자체가 한계에 다다른 거죠.

그래서 등장한 새로운 발상이 있습니다. 비밀번호를 더 복잡하게 만드는 게 아니라, 아예 비밀번호가 필요 없는 인증으로 바꾸자는 것. ‘내가 기억하는 것’ 대신 ‘내가 가진 기기와 나만의 생체정보’로 나를 증명하는 방식입니다.

FIDO(Fast IDentity Online)는 ‘비밀번호 없는 인증’을 가능하게 하는 국제 표준 기술입니다. 패스키는 이 FIDO2 기술을 바탕으로, 누구나 쉽게 쓸 수 있도록 만든 최신 형태인데요.

원리를 설명하면 이렇습니다. 서비스에 처음 등록할 때, 내 기기 안에서 한 쌍의 ‘디지털 열쇠’가 만들어집니다. 하나는 나만 갖고 있는 ‘개인키’(기기 안에 저장), 다른 하나는 서비스 서버에 보내는 ‘공개키’입니다.

특정 사이트나 앱에 로그인할 때, 지문이나 얼굴 인식으로 내 기기의 개인키에 접근하고, 서버는 공개키로 ‘이 사람이 맞는지’ 확인합니다. 비밀번호처럼 서버에 ‘정답’이 저장되는 게 아니라, 열쇠 한 쌍이 맞는지 확인하는 구조인 거죠.

여기서 핵심은 서버에 저장되는 건 공개키 뿐이라는 겁니다. 공개키만으로는 개인키를 알아낼 수 없기 때문에, 서버가 해킹당하더라도 내 계정은 안전합니다. 비밀번호 자체가 없으니 피싱 사이트에 입력할 것도 없고, 패스키는 등록된 정확한 사이트에서만 작동하도록 설계되어 있어 가짜 사이트에선 아예 쓸 수가 없죠.

패스키, 아직 생소하게 느껴지실 수도 있는데요. 사실 글로벌 빅테크 기업들은 이미 발 빠르게 도입을 진행 중입니다.

구글은 2023년 패스키를 도입한 뒤 1년도 채 안되어 4억 개 이상 계정에서 10억 번 넘게 사용됐습니다. 2024년 말에는 8억 개 계정에서 패스키가 쓰이게 됐죠. 아마존 역시 같은 시기 패스키를 도입한 뒤 1년 만에 1억 7,500만 명이 패스키를 사용 중이며, 로그인 속도가 6배 빨라졌다고 밝혔습니다. 최근에는 메타가 VR 헤드셋 ‘퀘스트’에도 패스키를 적용하며, 패스키의 영역이 스마트폰을 넘어 확장되고 있습니다.

민간 기업만의 이야기가 아닙니다. 국가 차원에서도 패스키 전환이 빨라지고 있는데요. 일본은 금융청(FSA)과 증권업협회(JSDA)가 패스키를 피싱 저항 인증 수단으로 명시하고, 2026년 여름까지 증권사의 도입을 의무화하는 가이드라인을 발표했습니다.

영국은 NCSC(국가사이버보안센터)가 패스키를 사이버보안 핵심 도구로 정의했습니다. 통합 공공 서비스 포털 GOV.UK에서 기존 SMS 인증을 패스키로 전환하고, 정부가 직접 FIDO 얼라이언스에 가입하며 본보기 역할을 수행하고 있죠.

이렇게 전 세계가 주목하는 패스키. 이 기술의 표준을 만들고 이끄는 곳이 바로 FIDO 얼라이언스(FIDO Alliance)입니다.

2013년 출범한 FIDO 얼라이언스는 ‘비밀번호 없는 인증’의 국제 표준을 개발·보급하는 산업 연합체인데요. 아마존, 애플, 구글, 메타, 마이크로소프트, 비자 등 250개 이상의 글로벌 기업이 회원으로 참여하고 있습니다.

이 중에서도 ‘이사회’는 얼라이언스의 전략 방향과 표준안을 결정하는 핵심 의사결정 기구입니다. 이사회 임원사가 되려면 일정 기간 활발히 활동한 실적이 있어야 하고, 기존 이사회 멤버사들의 투표를 거쳐 최종 선정되는 구조인데요.

2026년 2월, SK텔레콤이 바로 이 이사회에 임원사로 선임됐습니다. 구글, 애플, 마이크로소프트 등 글로벌 빅테크와 어깨를 나란히 하며, 인증·보안 분야의 글로벌 표준 의사결정에 직접 참여하게 된 거죠. 2월 4일 프랑스 파리 총회를 시작으로 이종현 통합보안센터장(CISO)이 이사회 활동을 이끌고 있습니다.

애플, 구글, 마이크로소프트가 나란히 앉아 있는 FIDO 얼라이언스 이사회. 이 테이블에 국내 통신사가 합류한 건 SK텔레콤이 처음인데요. 주목할 점은, 빅테크와는 다른 관점을 가진 기업이 합류했다는 겁니다.

통신사는 본질적으로 수천만 가입자의 인증 정보와 통신 인프라를 관리하는 기업입니다. 매일 엄청난 양의 통화와 데이터가 오가는 네트워크를 안전하게 운영하고, 통신사기를 탐지·차단하며, 본인확인 서비스(PASS)를 운영해 온 경험이 있죠.

이런 실전 역량이 FIDO 얼라이언스 이사회에서 빛을 발할 수 있습니다. 기존 빅테크 중심의 논의에 통신 인프라와 가입자 인증이라는 관점이 더해지면, 더 현실적이고 폭넓은 기술 표준이 만들어질 수 있으니까요.

사실 SKT는 이사회 합류 이전부터 패스키 기술을 직접 개발하고 적용해 왔는데요.

2023년, SKT는 FIDO 얼라이언스로부터 직접 구축한 패스키 인증 시스템에 대한 소프트웨어 호환성에 대한 인증(certificate)을 획득했습니다. 또한, 국내 통신사 최초로 패스키 인증시스템을 자체 개발해 본인확인 앱 PASS(패스)에 적용했죠. 비밀번호 없이 생체인증만으로 본인확인이 가능해진 겁니다.

2024년 8월에는 이 기술을 기업용 SaaS(서비스형 소프트웨어)로 출시했습니다. 패스키 도입을 원하는 기업이 복잡한 개발 없이 API만 연동하면 바로 적용할 수 있는 서비스인데요. 같은 해 9월, 약 3,700개 기업·기관이 이용하는 임직원 복지몰 ‘베네피아’에 첫 적용됐고, 이후 관계사와 외부 고객으로 확대 중입니다.

그리고 2026년, 한 발 더 나아가 사내 시스템 ‘Zero Password(제로 패스워드)’ 전환을 추진하고 있습니다. 직원 로그인은 물론 시스템 간 인증에서도 비밀번호를 완전히 없애겠다는 야심찬 계획인데요. 비밀번호 시스템의 여러 취약성을 고려하면, 반드시 필요한 전환이기도 합니다.

비밀번호가 사라지는 세상. 얼마 전까지만 해도 먼 미래처럼 느껴졌는데요. 전 세계 주요 기업과 정부가 이미 움직이고 있고, 그 기술 표준을 만드는 자리에 SK텔레콤이 함께하게 되었습니다.

FIDO 얼라이언스 이사회 합류는 글로벌 인증 표준이 만들어지는 테이블에 앉아, 앞으로의 규칙을 함께 쓴다는 의미인데요. SK텔레콤이 약 11년간 쌓아온 인증 기술이 국내를 넘어 세계 표준에 반영될 수 있는 발판이 마련된 셈이죠.

로그인할 때마다 비밀번호를 떠올리느라 머리를 싸매지 않아도 되는 날. 내 얼굴, 내 지문 하나로 안전하게 인증이 끝나는 날. 보안을 위해 당연히 감수해야 했던 피로감을 덜어주는 것. 그것이, SK텔레콤이 그리는 고객 중심 기술의 모습입니다.