비밀번호를 없애는 흐름이 빨라질수록, 인증 보안의 전장은 오히려 더 넓어진다. 패스키(Passkey)와 차세대 다중요소인증(MFA)이 ‘비밀번호 없는 로그인’의 대안으로 떠오르고 있지만, 공격자들도 곧바로 새로운 우회 경로를 찾고 있어서다. 국내 빅데이터 분석 AI 기업 S2W가 글로벌 온라인 인증 표준화 기구 FIDO 얼라이언스에 합류한 배경도 여기에 맞닿아 있다.
S2W는 22일 글로벌 인증 표준화 기구인 FIDO 얼라이언스(FIDO Alliance)에 회원사로 합류했다고 밝혔다. FIDO 얼라이언스는 비밀번호 의존도를 낮추고 피싱 저항성이 높은 인증 체계를 확산하기 위해 만들어진 국제 표준화 단체다. 공개키 암호화 기반의 패스키와 FIDO2, 상호운용 가능한 차세대 인증 기술 표준을 다루며, 제품 시험·인증 프로그램도 운영한다. FIDO 공식 회원 디렉터리에는 애플, 구글, 마이크로소프트, 삼성 계열사 등 주요 기술 기업과 정부·금융·보안 기업들이 다수 이름을 올리고 있으며, 최근에도 패스키 구현과 인증 상호운용성 강화를 위한 인증 프로그램과 테스트를 이어가고 있다.
이번 합류의 핵심은 S2W가 ‘인증 기술 회사’라기보다 ‘위협 인텔리전스 회사’에 가깝다는 점이다. S2W는 다크웹과 텔레그램 등 은닉 채널에서 수집한 데이터를 분석해 사이버범죄 동향을 추적하는 CTI(Cyber Threat Intelligence) 역량을 강점으로 내세워 왔다. 최근에는 공공·정부기관용 안보 AI 플랫폼과 보안 AI 솔루션으로 공공시장 확장에도 속도를 내고 있다. 지난달에는 자사 SaaS 기반 안보·보안 제품 2종에 대해 CSAP 인증을 취득했다고 밝히며 공공 수주 기반 강화에 나선 바 있다.
표면적으로 보면 FIDO는 인증 표준을 만드는 조직이고, S2W는 사이버위협 분석 기업이다. 접점이 분명하지 않아 보일 수 있지만, 패스키 확산 이후 보안 업계가 마주한 현실을 보면 이야기가 달라진다. 패스키는 피싱과 비밀번호 재사용 위험을 줄이는 강력한 대안으로 평가받지만, 공격이 완전히 사라지는 것은 아니다. 공격자들은 비밀번호 자체를 훔치기보다 세션을 탈취하거나, 계정 복구 절차를 악용하거나, 기기 등록 과정을 조작하는 식으로 우회 공격을 시도할 수 있다. 즉 인증 방식이 바뀌면, 공격면도 함께 이동한다는 뜻이다.
S2W는 이 지점을 파고들겠다는 구상이다. 회사는 다크웹 모니터링과 CTI 기술을 활용해 FIDO 기반 인증 환경을 노리는 신종 위협을 포착·분석하고, 인증 체계 전반에 대한 위협 가시성을 높이겠다고 밝혔다. 쉽게 말해 “패스키가 안전하다”는 선언에 머무르지 않고, 실제 범죄 생태계 안에서 공격자들이 어떤 식으로 인증 우회를 시도하는지 추적해 표준 생태계 안에 보안 인사이트를 공급하겠다는 얘기다.
이런 흐름은 FIDO 진영의 최근 움직임과도 맞닿아 있다. FIDO 얼라이언스는 단순히 패스키 도입을 독려하는 데서 그치지 않고, 구현 간 상호운용성과 인증 신뢰도를 높이는 작업을 병행하고 있다. 올해 6월에도 FIDO2 구현체를 대상으로 한 상호운용성 테스트 창을 열어 인증 후보 제품 간 호환성과 적합성을 점검했다. 패스키가 소비자 서비스에서 끝나지 않고 기업·규제 산업 환경으로 들어갈수록, “비밀번호를 없애자”는 구호보다 “어떻게 안전하게 운영할 것인가”가 더 중요한 화두가 되고 있다는 뜻이다.
S2W가 노리는 지점도 결국 운영 보안이다. 회사는 패스워드리스 인증 환경에서 발생할 수 있는 위협을 실시간으로 파악해 제로트러스트 아키텍처 고도화에 기여하겠다고 밝혔다. 제로트러스트는 사용자를 한 번 인증했다고 신뢰하지 않고, 접속 주체와 기기, 세션 상태를 계속 검증하는 보안 모델이다. 패스키가 로그인 단계의 보안을 강화한다면, CTI는 그 이후 인증 환경 전반에서 어떤 위협이 부상하는지 바깥에서 감시하는 역할을 맡을 수 있다.
다만 FIDO 합류 자체가 곧바로 사업 성과로 이어진다고 보긴 어렵다. FIDO 얼라이언스는 방대한 글로벌 생태계를 가진 표준 기구지만, 회원사 합류만으로 기술이 표준에 직접 반영되거나 제품 도입이 즉시 확대되는 구조는 아니다. S2W가 실제로 존재감을 키우려면, 단순한 회원사 참여를 넘어 인증 보안과 관련한 위협 데이터, 공격 시나리오 분석, 산업별 대응 인사이트를 얼마나 구체적으로 제시하느냐가 중요하다. 패스키를 둘러싼 위협이 실제로 얼마나 빠르게 진화하는지, 그리고 그 변화가 FIDO 커뮤니티와 기업 고객에게 얼마나 유의미한 정보로 전환되는지가 관건이라는 얘기다.
그럼에도 시점은 나쁘지 않다. 글로벌 인증 시장은 비밀번호를 대체할 패스키와 피싱 저항형 MFA를 빠르게 확산시키는 국면에 들어섰고, 그만큼 인증 우회 공격에 대한 방어 논리도 함께 정교해져야 한다. 인증 기술 기업이 아니라 위협 인텔리전스 기업이 FIDO 생태계에 들어온 점은, 이제 인증 보안이 단순 로그인 기술이 아니라 공격자 생태계까지 함께 읽어야 하는 문제로 옮겨가고 있음을 보여준다.
앤드류 시키어 FIDO 얼라이언스 CEO는 S2W 합류와 관련해 “패스키 도입이 확대될수록 새로운 공격 기법을 선제적으로 식별하고 차단하는 역량이 중요해졌다”며 “S2W의 위협 인텔리전스와 사이버범죄 환경에 대한 통찰은 피싱 저항형 인증 체계와 제로트러스트 모델을 고도화하는 데 의미 있는 관점을 제공할 수 있다”고 밝혔다. 서상덕 S2W 대표는 “FIDO의 표준화된 인증 체계와 S2W의 CTI 기술력을 결합해 패스워드리스 인증 환경의 보안 신뢰도를 높이고, 신종 공격에 대한 예방 체계 구축에 힘을 보태겠다”고 말했다.
패스키 시대의 경쟁은 이제 “비밀번호를 없앨 수 있느냐”보다 “비밀번호가 사라진 뒤에도 인증을 안전하게 운영할 수 있느냐”에 더 가까워지고 있다. S2W의 FIDO 합류는 그 전장의 한복판으로 들어가겠다는 선언으로 읽힌다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
