webauthn

디스플레이가 없나요 (새 탭에서 열림)

메타는 XR 기기와 같이 화면이 없거나 접근이 어려운 장치에서 QR 코드 없이도 패스키 인증을 수행할 수 있는 새로운 접근 방식을 도입했습니다. 이 방식은 기존 FIDO 얼라이언스의 표준인 CTAP 하이브리드 프로토콜을 기반으로 하며, 모바일 컴패니언 앱을 보안 메시지 전송 통로로 활용하여 기기 간 근접성 및 신뢰 요구 사항을 충족합니다. 이를 통해 디스플레이 제약이 있는 다양한 IoT 및 웨어러블 기기에서도 안전하고 편리한 무암호 인증 생태계를 구축할 수 있는 길을 열었습니다. ### 화면 없는 장치의 인증 한계 * 기존의 기기 간 패스키 인증은 데스크톱이 표시하는 QR 코드를 스마트폰 카메라로 스캔하여 두 기기를 연결하는 방식에 의존합니다. * 하지만 헤드마운트 디스플레이(HMD)를 사용하는 XR 기기나 스마트 홈 허브, 산업용 센서 등은 QR 코드를 표시할 화면이 없거나 외부 기기가 스캔하기 어려운 위치에 있는 경우가 많습니다. * 단순히 블루투스 근접성만 활용할 경우, 사용자가 올바른 기기에서 올바른 트랜잭션을 승인하고 있다는 시각적 확신을 주기 어려워 보안 및 사용성 측면에서 위험이 존재합니다. ### 컴패니언 앱을 통한 보안 메시지 전송 * 메타는 기기와 동일한 계정으로 로그인된 컴패니언 앱(Meta Horizon 앱)을 활용하여 QR 코드 스캔 과정을 대체합니다. * 인증이 시작되면 기기는 QR 코드에 담길 정보를 포함한 FIDO URL을 생성하고, 이를 인증된 푸시 알림 채널을 통해 사용자의 스마트폰으로 직접 전송합니다. * 사용자는 스마트폰에 뜬 알림을 탭하는 것만으로 즉시 OS 수준의 패스키 인터페이스에 진입할 수 있으며, 알림이 꺼진 경우에도 앱 실행 시 백엔드 쿼리를 통해 대기 중인 인증 요청을 확인할 수 있습니다. ### 하이브리드 패스키 인증의 기술적 프로세스 * **페이로드 생성**: 메타 퀘스트 브라우저는 ECDH 공개 키, 세션별 비밀값, 라우팅 정보 등을 포함한 페이로드를 생성하고 이를 표준 하이브리드 전송 메커니즘인 FIDO URL로 인코딩합니다. * **푸시 전달**: 생성된 FIDO URL은 GraphQL 기반의 구조화된 데이터 형태로 앱에 전달되며, 앱은 이를 시스템 URL 런처를 통해 실행하여 모바일 OS의 패스키 흐름을 호출합니다. * **보안 채널 형성**: URL이 실행되면 모바일 기기는 표준 하이브리드 전송 시퀀스에 따라 BLE 광고를 브로드캐스트하고, 대상 기기와 암호화된 터널을 구축합니다. * **서명 및 완료**: 사용자의 생체 인증(UV)이 성공하면 모바일 기기는 관련 키 자료를 사용해 패스키 응답을 생성하고, 이를 보안 채널을 통해 대상 기기로 전달하여 인증 서버와의 거래를 완료합니다. 메타의 이 새로운 구현은 기존 WebAuthn 표준을 준수하면서도 디스플레이의 제약을 극복한 실용적인 사례입니다. 스마트 홈 기기나 산업용 하드웨어를 설계하는 개발자들은 이와 같은 컴패니언 앱 기반의 하이브리드 흐름을 참조하여, 사용자에게 익숙한 모바일 환경을 활용한 안전한 패스키 도입을 고려해볼 수 있습니다.

패스키를 통한 비밀번호 없는 로그인 및 2단계 인증이 GitLab에서 사용할 수 있습니다 (새 탭에서 열림)

GitLab이 계정 보안 강화와 사용자 편의성 증대를 위해 패스키(Passkeys) 지원을 공식적으로 시작했습니다. 이제 사용자들은 지문, 얼굴 인식 또는 PIN을 사용하여 비밀번호 없이 로그인하거나, 피싱 방지 기능이 탑재된 강력한 이중 인증(2FA) 수단으로 패스키를 활용할 수 있습니다. 이번 업데이트는 보안 환경을 개선하고 다중 인증(MFA) 사용률을 높이려는 GitLab의 '보안 설계(Secure by Design)' 서약 이행의 일환입니다. **패스키의 기술적 원리와 보안성** * 패스키는 WebAuthn 기술과 공개키 암호화(Public-key cryptography) 방식을 기반으로 작동합니다. * 개인키(Private Key)는 사용자의 기기에 안전하게 보관되어 절대 외부로 유출되지 않으며, GitLab 서버에는 공개키(Public Key)만 저장됩니다. * 이러한 구조 덕분에 설령 GitLab 서버가 침해당하더라도 공격자가 사용자의 계정에 접근할 수 있는 유효한 인증 정보를 탈취하는 것이 근본적으로 불가능합니다. **광범위한 호환성 및 설정 방법** * 데스크톱 브라우저(Chrome, Firefox, Safari, Edge)는 물론 모바일 기기(iOS 16+, Android 9+), FIDO2 하드웨어 보안 키를 모두 지원합니다. * 사용자는 자신의 프로필 설정 내 'Account > Manage authentication' 메뉴에서 패스키를 간단히 등록할 수 있습니다. * 여러 기기에서 편리하게 접속할 수 있도록 계정 하나에 다수의 패스키를 등록하여 사용하는 것이 가능합니다. **보안 설계(Secure by Design) 서약 준수** * GitLab은 CISA(미국 사이버보안 및 인프라 보안국)의 'Secure by Design' 서약에 동참하여 제품 전반의 보안 수준을 높이고 있습니다. * 패스키는 해당 서약의 핵심 목표 중 하나인 다중 인증(MFA) 채택률 확대를 달성하기 위한 핵심 요소입니다. * 기존에 2FA를 활성화한 사용자의 경우 패스키를 등록하면 해당 방식이 기본 인증 수단으로 자동 설정되어 더욱 매끄러운 로그인 경험을 제공합니다. 보안 사고의 상당수가 피싱을 통한 계정 탈취에서 시작되는 만큼, GitLab 사용자는 보안 수준을 높이기 위해 기존의 일회용 비밀번호(OTP) 방식을 대체하거나 보완할 수 있는 패스키를 적극적으로 등록해 사용할 것을 권장합니다.