정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리 'IT백과'를 참고하세요. <편집자주>

[디지털데일리 김보민기자] "한국에 패스키(Passkey)가 도입될 수 있도록 서둘러 검토하겠습니다."

박대준 쿠팡 대표는 3일 국회 정무위원회 현안질의에서 "왜 한국이 아닌 대만에만 패스키를 도입했냐"는 질문에 이렇게 답했다. 3370만 개인정보가 유출된 점에 대해 다시 한번 고개 숙여 사과하기도 했다. 박 대표는 "(패스키가 있었더라면) 한국에서 더 안전하게 서비스할 수 있었을 것"이라고 시인하기도 했다.

앞서 쿠팡은 전략 거점인 대만에 패스키를 도입했지만, 주력 시장이자 주요 매출원인 한국에는 적용을 미루고 있다는 지적을 받았다. 대만은 김범석 쿠팡Inc 이사회 의장이 성장 잠재력이 크다고 직접 언급할 정도로 쿠팡에서 주목하고 있는 시장이다.

하지만 패스키 도입 여부가 이번 사태를 낳은 원인이 아닌 만큼 일각에서는 "때아닌 지적"이라는 평가도 나온다. 다만 쿠팡이 국내 사업을 추진할 때 보안을 중시하지 않았다는 점을 시사하는 사례라는 의견도 있다.

국내 보안업계 관계자는 "이번 사태로 쿠팡이 허술한 내부 통제를 운영하고 있었고 인증관리 또한 체계적이지 못했다는 사실이 드러났다"며 "이러한 가운데 사용자를 보호할 기본 인증방식인 패스키가 부재했다는 점을 꼬집으며 전반적인 보안에 대한 인식을 꼬집은 것 아닌가 생각이 든다"고 말했다.

패스키는 비밀번호 없이 공개키 암호화, 지문, 얼굴 인식, 핀(PIN) 등 생체인식 기술을 결합해 계정 소유자 신원을 확인하는 인증 방식이다. 비밀번호나 추가 인증 없이 온라인 계정에 로그인할 수 있다는 특징이 있다. 개별 서비스 로그인 정보를 기억해야 할 필요가 없어 편의성을 높일 수 있다. 글로벌 시장에서 주목을 받는 '비밀번호 없는(패스워드리스·passwordless) 인증'의 핵심 기술로 꼽히기도 한다.

보안성이 높은 인증 방식으로도 주목받고 있다. 패스키는 각 사용자와 기기에 고유한 인증 방식이기 때문에 해커가 이를 추측하거나 훔치는 것이 불가능하다. 계정 정보는 문자열 그대로 탈취해 가면 악용이 가능하지만 패스키는 그렇지 않다. 패스키에 접근했다 하더라도, 이를 활용하기 위해서는 여전히 사용자 기기에 대한 물리적인 접근이 필요하기 때문이다. 기기까지 훔쳐야 한다는 부담도 있기에, 피싱이나 2차 피해 가능성도 줄일 수 있다.

패스키는 글로벌 기술 표준화 비영리단체 파이도(FIDO) 얼라이언스가 개발한 업계 전반 표준이기도 하다. 현재 애플, 구글, 마이크로소프트(MS) 등 정보기술(IT) 기업들도 패스키 구현에 속도를 올리고 있다. 구글은 "패스키는 본질적으로 데이터 유출 근본 원인인 비밀번호 관리라는 '인간적 요소'를 제거할 수 있다"며 "온라인 계정을 더 쉽고, 더 빠르고, 더 안전하게 관리할 방법"이라고 평했다. 국내에서도 삼성전자, SK텔레콤 등이 패스키를 제품 및 서비스에 탑재하거나 서비스형소프트웨어(SaaS) 형태로 제공하는 방안을 고도화하는 추세다.

한편 쿠팡은 패스키 도입뿐만 아니라 '보안 수준'에 대한 전방위 압박을 받을 전망이다. 특히 국내 최상위 보안인증을 획득했음에도 불구하고 내부 통제에 취약점이 발견됐고 고객 피해로 이어진 점에 질타가 쏟아지고 있다. 전날 정무위 현안질의에서도 "쿠팡이 정보보호및개인정보보호관리체계(ISMS-P) 인증을 취소해야 하는 것 아니냐"는 질문이 이어졌다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 인증 제도로, 정보보호와 개인정보보호 관리 체계를 검증해 부여된다. 쿠팡은 2021년과 2024년 ISMS-P 인증을 획득했지만 정보 유출 사고가 이어지면서 제도 실효성 논란이 제기됐다.