바이낸스가 Passkey 기능을 출시했습니다. 비밀번호 없이 로그인할 수 있다니 편리해 보이지만 보안이 걱정되는 분도 계십니다. 오늘은 Passkey가 정확히 무엇이고, 어떻게 설정하며, 정말 안전한지 설명하겠습니다. 바이낸스 공식 사이트 또는 바이낸스 공식 APP에서 Passkey를 설정할 수 있으며, 아이폰 사용자는 APP 설치 시 iOS 설치 가이드를 참고하세요.
Passkey란 무엇인가
Passkey는 FIDO 연합과 Apple, Google, Microsoft 등 기술 대기업이 공동 추진하는 새로운 비밀번호 없는 신원 인증 기술입니다. 간단히 말해 Passkey는 기기(스마트폰 또는 PC)의 생체 인식(지문, 얼굴 인식) 또는 기기 PIN 코드로 기존 비밀번호를 대체하여 로그인 인증을 합니다.
기존 로그인 방식은 계정 비밀번호를 입력하는 것이며, 비밀번호에는 피싱 사이트에 도용당하거나, 무차별 대입 공격을 받거나, 데이터 유출로 공개될 수 있는 보안 리스크가 있습니다. Passkey는 유출될 비밀번호 자체가 없으므로 이런 문제를 근본적으로 해결합니다.
Passkey의 작동 원리
Passkey를 설정하면 기기가 한 쌍의 키를 생성합니다. 개인키는 기기에 저장되며(생체 인식으로 보호) 공개키는 바이낸스 서버로 전송됩니다. 로그인 시 바이낸스가 인증 요청을 보내면 기기가 개인키로 서명하고 바이낸스가 공개키로 서명을 확인합니다.
전체 과정에서 개인키는 기기를 떠나지 않으며 네트워크로 전송되지도 않으므로 가로채기 리스크가 없습니다. 바이낸스 서버가 해킹당해도 유출되는 것은 공개키뿐이며, 공개키로는 로그인을 위조할 수 없습니다.
Passkey가 비밀번호보다 안전한 이유
피싱 방지
Passkey는 웹사이트 도메인에 바인딩됩니다. 사기꾼이 바이낸스와 똑같은 피싱 사이트를 만들어도 도메인이 다르므로 기기의 Passkey가 작동하지 않습니다. 이것이 근본적으로 피싱 공격을 차단합니다.
유출 불가
비밀번호가 없으니 비밀번호 유출 문제도 없습니다. 복잡한 비밀번호를 기억할 필요도 없고, 여러 사이트에서 같은 비밀번호를 사용하여 크리덴셜 스터핑 공격을 받을 일도 없습니다.
무차별 대입 불가
Passkey는 공개키 암호화 기술에 기반하며, 현재 무차별 계산으로 해독할 수 있는 방법이 없습니다. 아무리 복잡한 비밀번호도 이론적으로 해독 가능성이 있는 것과는 완전히 다릅니다.
편의성
Passkey 로그인은 비밀번호와 인증 코드를 입력하는 것보다 훨씬 빠릅니다. 지문을 누르거나 얼굴을 스캔하면 몇 초 만에 로그인이 완료되며, 인증 코드를 기다리거나 구글 인증기를 열 필요가 없습니다.
바이낸스에서 Passkey 설정 방법
스마트폰 APP에서 설정
바이낸스 APP을 열고 개인 센터에서 "보안" 페이지를 찾습니다. 보안 인증 옵션에서 "Passkey" 또는 "패스키" 옵션을 찾으세요.
"Passkey 추가"를 클릭하면 시스템이 현재 보안 인증(비밀번호, 구글 인증 코드 등)을 요구합니다. 인증 통과 후 스마트폰에서 생체 인식 프롬프트가 나타나며 지문이나 얼굴 인식으로 확인하면 Passkey가 생성됩니다.
iPhone에서는 Passkey가 iCloud 키체인에 저장되어 모든 Apple 기기 간에 동기화됩니다. 안드로이드에서는 Google 비밀번호 관리자에 저장됩니다.
PC에서 설정
바이낸스 웹 버전에 로그인하여 보안 설정 페이지에서 Passkey 옵션을 찾습니다. 추가를 클릭하면 브라우저에서 프롬프트가 나타나며, 로컬 기기(PC가 지문 인식이나 Windows Hello를 지원하는 경우) 또는 스마트폰 QR코드 스캔으로 Passkey를 생성할 수 있습니다.
스마트폰 QR코드 스캔을 선택하면 브라우저에 QR코드가 표시되며, 스마트폰 카메라로 스캔 후 생체 인식 인증을 완료하면 됩니다. 이후 이 PC에서 로그인할 때 스마트폰 스캔으로 인증할 수 있습니다.
Passkey 설정 후 다른 인증도 필요한가
Passkey를 설정한 후 로그인의 주요 인증 수단으로 사용할 수 있습니다. 하지만 다른 보안 인증을 이 때문에 끄지 않는 것을 권장합니다. Passkey는 주로 로그인 인증에 사용되며, 출금이나 보안 설정 변경 등 민감한 조작에는 여전히 구글 인증기나 기타 인증 방식이 필요할 수 있습니다.
Passkey를 보안 체계의 보충으로 사용하지, 대체로 사용하지 마세요. 다중 인증이 여전히 계정 보안의 최선의 방법입니다.
스마트폰을 잃어버리면 어떻게 하나
많은 분들이 걱정하는 문제입니다. Passkey가 iCloud 키체인이나 Google 비밀번호 관리자에 저장되어 있다면, 새 스마트폰으로 교체 후 같은 Apple ID나 Google 계정으로 로그인하면 Passkey가 자동 동기화됩니다.
하지만 Passkey를 복구할 수 없는 경우에도 기존의 비밀번호 + 인증 코드 방식으로 바이낸스에 로그인할 수 있습니다. Passkey는 추가 로그인 옵션이며 유일한 로그인 방식이 아닙니다. 언제든 기존 로그인 방식으로 돌아갈 수 있습니다.
보안 설정에서 이미 생성된 Passkey를 삭제하거나 새로운 Passkey를 추가할 수 있습니다. 여러 기기에 Passkey를 설정하여 하나가 문제 생겨도 백업이 있도록 하는 것을 권장합니다.
Passkey의 한계
Passkey는 좋지만 몇 가지 한계가 있습니다. 첫째, 모든 기기와 브라우저가 Passkey를 지원하는 것은 아니며 너무 오래된 시스템은 호환되지 않을 수 있습니다. 둘째, Passkey는 기기의 생체 인식 기능에 의존하며, 지문 센서나 얼굴 인식이 없는 기기에서는 기기 PIN 코드를 사용해야 하므로 보안성이 다소 떨어집니다.
또한 다른 기기에서 자주 로그인하는 경우 각 기기에 별도로 Passkey를 설정하거나 크로스 디바이스 인증을 사용해야 합니다. 기기를 자주 교체하는 사용자에게는 그다지 편리하지 않을 수 있습니다.
자주 묻는 질문
Q: Passkey와 구글 인증기 중 어떤 것이 더 안전한가요?
A: 두 가지는 보안 메커니즘이 달라 직접 비교하기 어렵습니다. Passkey는 공개키 암호화 기반으로 피싱 방지 능력이 더 강합니다. 구글 인증기는 시간 기반 동적 코드로 적용 범위가 더 넓습니다. 가장 안전한 방법은 둘 다 사용하는 것으로, Passkey는 로그인에, 구글 인증기는 민감한 조작의 2차 확인에 사용합니다.
Q: 타인이 내 스마트폰을 가져가면 Passkey로 내 바이낸스에 로그인할 수 있나요?
A: Passkey 사용에는 기기의 생체 인식(지문 또는 얼굴) 인증을 통과해야 합니다. 타인이 본인 스마트폰의 생체 인식 인증을 통과할 수 없다면 Passkey를 사용할 수 없습니다. 스마트폰에 강력한 잠금 비밀번호가 설정되어 있고 본인의 생체 정보만 등록되어 있다면 타인이 스마트폰을 입수해도 사용할 수 없습니다.
Q: 바이낸스에서 Passkey를 여러 개 만들 수 있나요?
A: 가능합니다. 다른 기기에서 각각 Passkey를 생성할 수 있어 어떤 기기에서든 편리하게 로그인할 수 있습니다. 최소 두 기기에 Passkey를 생성하여 하나는 메인용, 하나는 백업용으로 사용하는 것을 권장합니다.