패스워드리스 인증

 

안녕하세요. 주식회사 서버몬 입니다.

 

패스워드리스 인증은 사용자가 비밀번호 없이 서비스에 로그인할 수 있는 인증 방식을 말합니다.

 

패스워드리스 목표 달성:

• FIDO2 / WebAuthn은 비밀번호 없이 안전하게 인증할 수 있는 기술 표준입니다.

대표적인 패스워드리스 방법:

1. 하드웨어 키/보안 키: USB, NFC, 블루투스 등을 이용한 인증.
2. 생체 인식: 지문, 얼굴, 홍채 등.
3. Magic Link / OTP: 이메일 링크나 SMS 코드.
4. 앱 푸시 인증: 인증 앱에서 로그인 승인.

핵심 포인트: 패스워드가 없지만, 안전한 비대칭키 암호화나 1회용 토큰 같은 방법으로 인증이 이루어짐.

 

요약
용어	정의/기능
패스워드리스	비밀번호 없이 로그인하는 인증 방식
FIDO2	패스워드리스 인증을 위한 기술 표준 (WebAuthn + CTAP)
WebAuthn	브라우저/서버 간 공개키 인증 API, FIDO2 핵심 요소
관계	패스워드리스 목표 달성을 위해 FIDO2/WebAuthn이 사용됨

 

FIDO2란?

• FIDO(Fast IDentity Online) 연합에서 만든 인증 표준.
• FIDO2는 웹 환경에서 비밀번호 없이 로그인 가능하게 만든 최신 버전.
• 구성 요소:
  1. WebAuthn (Web Authentication API)
     • 웹 브라우저와 서버가 인증 정보를 주고받는 표준 API.
     • JavaScript를 통해 웹사이트에서 FIDO2 인증 장치를 사용할 수 있게 함.
  2. CTAP (Client To Authenticator Protocol)
     • 브라우저/OS가 실제 인증 장치(USB 키, 생체인식 장치)와 통신하는 프로토콜.

 

비밀번호/OTP 방식의 한계

 

비밀번호 기반 인증의 기본 구조

 

[사용자]
 └─ 비밀번호 입력
        ↓
[네트워크 전송]
        ↓
[서버]
 └─ 저장된 값과 비교

 

이 구조에는 피할 수 없는 공통적인 특징이 있다.

• 사용자가 기억해야 하는 정보이고
• 입력을 통해 전달되며
• 서버가 검증 정보를 보관하고
• 그 정보가 네트워크를 통해 이동한다는 점이다

이 조건이 유지되는 한, 공격자는 항상 같은 지점을 노릴 수밖에 없다.

• 피싱
• 키로깅
• 중계 공격(Man-in-the-Middle)
• 서버 침해 시 대규모 계정 유출

 결국 비밀번호는
‘지켜야 할 비밀’이 아니라
‘언젠가는 노출될 수밖에 없는 정보’다.

MFA(OTP)는 왜 근본적인 해결이 아닐까?

 

[사용자]
 └─ ID / 비밀번호 입력
 └─ OTP 입력
        ↓
[가짜 로그인 페이지]
        ↓ (실시간 중계)
[진짜 서비스]
        ↓
[로그인 성공]

 

• 사용자는 실수하지 않았다
• 모든 정보를 정확히 입력했다
• 공격자는 단지 입력 과정을 실시간으로 중계했을 뿐이다

 OTP 역시
사용자가 입력해서 전달하는 비밀 정보다.

즉,
‘입력 → 전달 → 검증’이라는 구조에서는
비밀번호와 본질적으로 다르지 않다.

 

패스워드리스는 질문부터 다르다

 

FIDO2 / WebAuthn은 기존 인증과 전혀 다른 질문을 던진다.

 

“사람이 비밀을 외우고 입력해야만 인증이 가능한가?”

 

답은 아니다.

• 인증은 비밀을 전달하는 과정이 아니라
• 소유를 증명하고, 서명을 검증하는 과정이어야 한다

 

기존 인증: 비밀 입력 → 전달 → 서버 비교

패스워드리스: 소유 증명 → 서명 생성 → 검증

 

여기서부터 인증의 구조가 완전히 달라진다.
사용자는 비밀번호를 기억하지 않고,
서버는 비밀 정보를 보관하지 않는다.

 

FIDO2 / WebAuthn 기본 구조

FIDO2 / WebAuthn의 핵심 개념은 단순하다.

• 공개키 / 개인키 기반 인증
• 개인키는 사용자 기기 밖으로 절대 나오지 않음
• 서버는 공개키만 저장
• 서비스(도메인)마다 서로 다른 인증 정보 생성

 

[사용자 기기]
 └─ 개인키로 challenge 서명
        ↓
[서버]
 └─ 공개키로 서명 검증

 

한눈에 보는 인증 방식의 차이

인증 방식의 차이

구분	비밀번호/OTP	FIDO2/WebAuthn
사용자 입력	필요	불필요
비밀 전달	있음	없음
서버 저장 정보	비밀값	공개키
피싱 대응	취약	구조적으로 방어
인증 기준	알고 있는 것	가지고 있는 것

 

비밀번호 없는 인증, 단계별 흐름

 

등록(Registration) 단계

사용자가 서비스를 처음 이용할 때, 등록 단계에서 인증 정보가 생성된다.

 

[사용자]
   ▼
[브라우저]
   ▼
[인증기] (TPM / Secure Enclave)
   │ 서비스 전용 인증 정보 생성
   │ 개인키는 기기 내부에 안전하게 보관
   ▼
[서버] (공개키만 저장)

 

• 서버는 개인키를 받은 적이 없고 앞으로도 받을 수 없다
• 서비스마다 다른 인증 정보가 생성되므로, 한 서비스에서 만들어진 인증 정보는 다른 사이트에서 쓸 수 없다

결과: 피싱 사이트에서 인증 정보를 재사용하는 것이 불가능하다

인증(Authentication) 단계

로그인 시 실제 인증 흐름은 다음과 같다.

 

[서버]
 └─ 이번 로그인에만 유효한 challenge 생성
        ▼
[브라우저]
        ▼
[인증기]
 └─ 사용자 확인 (지문 / 얼굴 / PIN)
 └─ 기기 내부 개인키로 challenge 서명
        ▼
[서버]
 └─ 공개키로 서명 검증

 

서버가 확인하는 것은 단 하나다.

• 이 서명이
• 등록된 사용자 인증 정보와 맞는지
• 지금 이 요청(challenge)에 대해 생성되었는지

이 과정에는 비밀번호, OTP, 사용자가 입력한 비밀 정보가 전혀 필요 없다

 

 

 

공격 대비 구조 비교

 

비밀번호 / OTP 구조 (피싱 가능)

[사용자]
 └─ 비밀번호 / OTP 입력
        ↓
[가짜 사이트]
        ↓
[진짜 서버]
        ↓
[로그인 성공]

 

FIDO2 / WebAuthn 구조 (피싱 불가)

[사용자]
 └─ 인증 시도
        ↓
[가짜 사이트]
        ↓
[인증기]
 ✖ 서명 거부 (Origin 불일치)

 

 

 

• 서버는 비밀번호나 OTP를 확인하지 않는다
• 인증은 소유 증명과 서명 검증으로만 이루어진다
• 피싱, 중계 공격, 정보 재사용 공격 구조적으로 방어 가능

 

 

 

 

 

 

 

 

1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트