로그인 화면 앞에서 망설여 본 적 있으신가요. 비밀번호가 기억나지 않아 재설정 메일을 눌렀다가, 그 메일도 스팸함에서 찾아야 했던 경험. 사실 우리 모두 비밀번호를 싫어합니다. 그리고 그 불편함이 이제 기술적으로 해결되기 시작했습니다. 2025년을 기점으로 Passkeys(패스키)가 빠르게 확산되면서, 2026년 현재는 국내 주요 서비스들도 속속 도입을 시작하고 있습니다.
Passkeys, 대체 무엇이 다른가
Passkeys는 쉽게 말해 기기 자체가 열쇠가 되는 인증 방식입니다. 사용자가 비밀번호를 외우거나 입력하지 않아도, 스마트폰의 Face ID나 지문, 노트북의 Touch ID로 로그인이 끝납니다. 내부적으로는 FIDO2/WebAuthn 표준 위에서 공개키 암호화를 사용하기 때문에, 서버에는 비밀번호 자체가 저장되지 않습니다. 해킹으로 DB가 유출되어도 로그인 정보가 털리지 않는다는 뜻입니다.
비밀번호 방식과의 결정적 차이
- 서버에 비밀번호가 저장되지 않음 — 유출 리스크 자체가 사라짐
- 피싱 사이트에서는 작동하지 않음 — 도메인에 묶여 있어 가짜 사이트로 보내도 쓸 수 없음
- 기기 간 동기화 — iCloud 키체인, Google 비밀번호 관리자를 통해 여러 기기에서 자동 사용
- 2단계 인증이 필요 없음 — Passkeys 자체가 이미 '아는 것 + 가지고 있는 것'을 모두 만족
사용자가 체감하는 변화
가장 크게 바뀌는 건 로그인에 걸리는 시간입니다. 아이디 입력, 비밀번호 입력, 2FA 코드 대기, 재입력으로 이어지던 30초짜리 흐름이 지문 한 번, 3초 이내로 줄어듭니다. 그리고 그 3초가 전환율을 바꿉니다. 이미 쇼피파이는 Passkeys 도입 후 로그인 성공률이 상승하고 장바구니 이탈이 줄었다는 내부 데이터를 공개한 바 있습니다.
웹사이트 운영자 관점에서의 이득
UI를 바꾸는 차원을 넘어 운영 부담이 눈에 띄게 줄어듭니다.
- 고객 문의 감소 — '비밀번호 재설정이 안 돼요' 같은 CS 건수가 사라집니다. 이 문의가 전체 CS의 20~40%를 차지하는 쇼핑몰도 많습니다.
- 보안 사고 대응 비용 절감 — 비밀번호 DB가 없으니 유출 대응, 법적 고지, 사과문 발송 같은 악몽을 예방할 수 있습니다.
- 계정 탈취(account takeover) 감소 — 피싱과 크리덴셜 스터핑 공격이 구조적으로 차단됩니다.
도입 전에 꼭 따져봐야 할 것
장밋빛만 있는 건 아닙니다. 실무에서 반드시 미리 설계해야 할 지점들이 있습니다.
계정 복구 시나리오
사용자가 기기를 분실하면 어떻게 할까요. 이 질문에 대한 답이 없으면 Passkeys는 오히려 재앙이 됩니다. 이메일 매직 링크, 복구 코드, 기존 비밀번호 백업 등 복구 경로를 반드시 이중으로 준비해야 합니다.
브라우저와 OS 호환성
iOS 16+, macOS Ventura+, Android 9+, Windows 11은 기본 지원합니다. 다만 여전히 구형 Android, 일부 기업용 브라우저 환경에서는 폴백(fallback)이 필요합니다. 처음부터 비밀번호를 없애기보다는 Passkeys를 추가 옵션으로 도입한 뒤 점진적으로 주력 수단으로 전환하는 것이 안전합니다.
크로스 디바이스 UX
PC에서 처음 가입한 사용자가 모바일에서 로그인할 때, QR 코드를 스캔하거나 블루투스로 연결해야 하는 경우가 있습니다. 이 과정이 어렵게 느껴지면 오히려 이탈이 생깁니다. UX 카피와 안내 화면이 생각보다 많이 필요합니다.
지금 준비를 시작해야 하는 이유
애플, 구글, 마이크로소프트가 FIDO Alliance를 통해 표준화를 완료했고, 네이버·카카오·토스 같은 국내 플랫폼도 2025년부터 선택지로 제공하기 시작했습니다. 대형 서비스에서 Passkeys에 익숙해진 사용자들은, 비밀번호를 계속 요구하는 소규모 웹사이트를 구식으로 느끼기 시작할 것입니다. 지금은 경쟁사보다 빠르게 도입해 차별화할 수 있는 시기이지만, 1~2년 후에는 도입하지 않으면 뒤처지는 시기가 됩니다.
마무리하며
Passkeys는 단순한 인증 방식의 교체가 아니라, 신뢰와 편의를 동시에 설계하는 방법입니다. 로그인 한 번의 경험이 서비스 전체의 인상을 좌우하는 시대에, 이 변화를 외면하기는 어렵습니다. CYAN 에이전시는 WebAuthn 기반 인증 시스템 설계부터 기존 회원 DB와의 마이그레이션, 계정 복구 플로우까지 현실적인 도입 경로를 함께 고민합니다. 우리 사이트의 로그인을 다시 설계할 시점이 왔다면, 한 번쯤 이 변화를 진지하게 검토해볼 만합니다.