【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]‘약한 인증’ 노리는 공격자들… 해법으로 떠오른 ‘패스키’ [어센티케이트 APAC]

온카뱅크관리자

2026-06-03 08:37:30

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">로드니 탄 CSA 디렉터 “MFA·SMS OTP 넘어 피싱 저항 인증 필요”</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="2axJ9b8Bdo">
          <p contents-hash="d34e3840dcef6f8938124a0d448ffd8ad7edb266a5dfbcf8bad1b1d544b1fcce" dmcf-pid="VAeLf2Q9JL" dmcf-ptype="general">"강한 인증은 기존 모델 위에 추가 단계를 얹어서 해결되는 문제가 아니다. 자격증명 탈취와 피싱 기반 공격에 대한 구조적 노출을 처음부터 줄여야 한다."</p>
          <p contents-hash="486ff090fa2c740ea44cc39d947f9b5e183dddc462fb3bdb592606244cae6b89" dmcf-pid="fcdo4Vx2Jn" dmcf-ptype="general">싱가포르 정부가 디지털 정부 서비스 보안의 다음 단계로 '피싱 저항 인증(phishing-resistant authentication)' 수단인 '패스키(Passkey)'를 제시했다. 그동안 다중요소인증(MFA) 확대와 국가 디지털 신원 인프라 강화, SMS 일회용비밀번호(OTP) 의존 축소로 기본 보안을 끌어올린 데 이어, 앞으로는 피싱·세션 탈취·인증정보 재전송 공격에 강한 인증 구조로 전환하겠다는 구상이다.</p>
          <div contents-hash="7bb3ad1f4a70504a6a7c8201953e2cd797ebc77c51156678de541d8fa03256dc" dmcf-pid="4kJg8fMVni" dmcf-ptype="general">
           로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA) 사이버보안 엔지니어링센터 디렉터는 2일 싱가포르 그랜드 하얏트 호텔에서 열린 '어센티케이트 APAC 2026(Authenticate APAC 2026)' 메인 스테이지 세션에서 이 같은 인증 전환 방향을 제시했다.
          </div>
          <figure class="figure_frm origin_fig" contents-hash="6571f4bd5dc7ad81a73137379fc3780df160c3055e35799d24b3c3e9f16953e0" data-idxno="444404" data-type="photo" dmcf-pid="8Eia64RfLJ" dmcf-ptype="figure">
           <p class="link_figure"><img alt="로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA) 사이버보안 엔지니어링센터 디렉터 / 정종길 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/03/552810-SDi8XcZ/20260603082719125bflr.jpg" data-org-width="1280" dmcf-mid="K4CBXGFYJa" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/03/552810-SDi8XcZ/20260603082719125bflr.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA) 사이버보안 엔지니어링센터 디렉터 / 정종길 기자
           </figcaption>
          </figure>
          <p contents-hash="c3ed8000fe1d3f218fc8e70d85afb047dfc522ee0705386bb2032f8abf4e7f23" dmcf-pid="6DnNP8e4id" dmcf-ptype="general">어센티케이트 APAC 2026은 FIDO 얼라이언스가 주최하는 디지털 신원·피싱 저항 인증 콘퍼런스다. 아시아·태평양 지역에서 올해 처음 열린 이번 행사는 패스키, 디지털 신원, 금융·결제, AI 에이전트 시대의 인증 문제를 주요 의제로 다뤘다.</p>
          <p contents-hash="277990ffe49768bb40415e98af5c64d6b5ddac6566fb56744a00367ef9a4df88" dmcf-pid="PwLjQ6d8de" dmcf-ptype="general">싱가포르는 그동안 정부 시스템과 민간 디지털 생태계 전반의 접근 보안 기준을 높여 왔다. 로드니 탄 디렉터는 싱가포르가 MFA 도입을 확대하고 국가 디지털 신원 인프라를 강화했으며, SMS OTP 같은 약한 인증 방식에 대한 의존을 점진적으로 줄였다고 설명했다. 이러한 조치는 시민과 기업이 매일 사용하는 디지털 서비스의 보안 수준을 높이는 기반이 됐다.</p>
          <p contents-hash="f57822ef53cf107e9e53e123ef8a3f2178603abfe850098ac4e3e30066013f63" dmcf-pid="QroAxPJ6iR" dmcf-ptype="general">다만 공격 환경이 빠르게 달라졌다는 게 문제다. 탄 디렉터는 "더 이상 사용자가 비밀번호나 MFA를 갖췄는지로는 충분하지 않다"며 "공격자들은 이제 인증 자체를 표적으로 삼고 있다"고 말했다. 공격자가 정교한 소프트웨어 취약점을 뚫지 않아도, 비밀번호나 인증 토큰을 탈취해 정상 사용자처럼 접속하는 사례가 늘었다는 설명이다.</p>
          <p contents-hash="f8622b1659791e7f6b854221ee7307917e25600548395ae83d474eafdc4798fa" dmcf-pid="xmgcMQiPLM" dmcf-ptype="general">이 때문에 인증 기술은 더 이상 시스템 뒤편에서 조용히 작동하는 보안 통제 영역에 머물지 않는다. 디지털 정부, 금융, 기업 시스템, 소비자 플랫폼으로 들어가는 '현관문'으로 기능하게 됐다. 이 문이 약해지면 개별 계정 피해를 넘어 디지털 생태계 전반의 신뢰가 흔들릴 수 있다.</p>
          <p contents-hash="2e54a2ad65eb66e4dabf9af92b3721c428abce2543ef3120bda547db4713b1f0" dmcf-pid="yKFuWTZvex" dmcf-ptype="general"><strong>'더 많은 인증 단계'보다 '피싱 안 되는 인증'</strong></p>
          <p contents-hash="bad469500c173ead68436f0097090b97d6c5ef818ec85b02be6d1e6cdb4a69a0" dmcf-pid="W937Yy5TiQ" dmcf-ptype="general">탄 디렉터는 최근 공격자가 인증과 사용자 행동 사이의 빈틈을 파고든다고 짚었다. 기존 인증 체계는 사용자가 비밀번호, OTP, 푸시 승인 등으로 본인임을 증명하면 접속을 신뢰할 수 있다는 전제에 기반했다. 그러나 최근 공격자는 실시간 세션을 가로채고, 인증 토큰을 탈취하며, 사용자를 조작해 정상 승인처럼 보이는 흐름을 만든다.</p>
          <p contents-hash="0276891128913355cbeddc869385e91bb04e2e070793b46edd4d475de7019a49" dmcf-pid="Y20zGW1yeP" dmcf-ptype="general">여기에 최근 빠르게 발전한 AI는 이 흐름을 더욱 가속한다. 피싱 캠페인은 더 설득력 있고 개인화된 형태로 바뀌고 있으며, 여러 언어와 지역으로 확장하기도 쉬워졌다. 사용자가 올바른 링크인지, 올바른 푸시 승인인지, 세션 가로채기 징후가 있는지 계속 판단해야 하는 방식은 대규모 환경에서 한계가 커질 수밖에 없다.</p>
          <p contents-hash="61252f489a0a319d75bb81b2916e866812943c6a5a31f5fdb3e652f3deab5c3d" dmcf-pid="GVpqHYtWi6" dmcf-ptype="general">탄 디렉터는 "더 많은 인증 단계가 항상 더 강한 보안을 의미하지는 않는다"고 지적했다. MFA가 지난 10년간 보안 수준을 높인 것은 사실이지만, 현 시점에서 보면 상당수 MFA 구현 방식이 과거의 위협 환경을 전제로 설계됐다는 설명이다. 특히 인증 절차가 늘어날수록 사용자의 불편도 커지고, 실수 가능성도 높아질 수 있다는 문제가 있다.</p>
          <p contents-hash="a40380f72902141e88951f5de47f9dab950373f1d346a2bf716ef10dc0d549d7" dmcf-pid="HfUBXGFYd8" dmcf-ptype="general">CSA는 다음 인증 방향으로 패스키와 기기 바인딩 자격증명을 제시했다. 쉽게 말해 비밀번호나 문자 인증번호처럼 사용자가 직접 입력하는 정보에 의존하지 않고, 신뢰할 수 있는 기기와 검증된 서비스 도메인에 묶인 암호학적 자격증명으로 본인 여부를 확인하는 방식이다.</p>
          <div contents-hash="1dabdf07fc0c188e17d7169ba7eb7707c9fa7d0e9a82a9dea2800c792b764a96" dmcf-pid="XjRnV9PKe4" dmcf-ptype="general">
           패스키는 여러 기기에서 동기화해 쓸 수 있는 형태와, 보안키나 특정 단말에 더 강하게 묶어 쓰는 방식 모두 가능하다. CSA가 강조한 기기 바인딩 자격증명은 인증 정보가 특정 신뢰 기기에서만 유효하도록 해 탈취·재전송을 더 어렵게 만드는 방향이며, 패스키로도 구현할 수 있다. 탄 디렉터는 이러한 방식이 피싱, 인증정보 재전송, 중간자 공격에 대한 회복력을 높일 수 있다고 설명했다.
          </div>
          <figure class="figure_frm origin_fig" contents-hash="9b496beeba826e770ff4b29d17a66a587821ab444b744369a6104029606422ae" data-idxno="444405" data-type="photo" dmcf-pid="ZAeLf2Q9Rf" dmcf-ptype="figure">
           <p class="link_figure"><img alt="로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA) 사이버보안 엔지니어링 센터 디렉터가 2일 싱가포르 그랜드 하얏트 호텔에서 열린 '어센티케이트 APAC 2026(Authenticate APAC 2026)'에서 피싱 저항 인증 전환 필요성을 설명하고 있다. / FIDO 얼라이언스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/03/552810-SDi8XcZ/20260603082720657merz.jpg" data-org-width="1280" dmcf-mid="90WZOmSreg" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/03/552810-SDi8XcZ/20260603082720657merz.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            로드니 탄(Rodney Tan) 싱가포르 사이버보안청(CSA) 사이버보안 엔지니어링 센터 디렉터가 2일 싱가포르 그랜드 하얏트 호텔에서 열린 '어센티케이트 APAC 2026(Authenticate APAC 2026)'에서 피싱 저항 인증 전환 필요성을 설명하고 있다. / FIDO 얼라이언스
           </figcaption>
          </figure>
          <p contents-hash="b62c8b43a5812cbe304f729d77f4ebad2f44ad59a00e10c8ee4c22088277efe9" dmcf-pid="5cdo4Vx2JV" dmcf-ptype="general"><strong>사용자 노력보다 인증 생태계 전환이 해법</strong></p>
          <p contents-hash="8cd924f02d7bc906b6de998bb7cca00ccce14e6ce7a5b94d1a303b94dc31ae4c" dmcf-pid="1kJg8fMVd2" dmcf-ptype="general">'피싱 저항 인증'인 패스키로의 전환은 기술만 도입한다고 끝나지 않는다. 정부기관과 금융사, 대형 플랫폼처럼 많은 이용자와 오래된 시스템을 함께 운영하는 곳은 기존 업무 시스템, 모바일·PC·보안키 등 다양한 접속 기기, 내부 직원과 일반 이용자처럼 서로 다른 사용자군을 동시에 고려해야 한다. 인증 방식이 서비스마다 다르게 적용되거나 계정 복구 절차가 복잡해지면 이용자는 혼란을 겪고, 조직은 고객지원과 운영 부담을 떠안게 된다.</p>
          <p contents-hash="72def357e859524f647ae16b08a226377fd5a40131b615b6577fca298700cc0d" dmcf-pid="tEia64Rfd9" dmcf-ptype="general">탄 디렉터는 인증 전환을 생태계 차원의 과제로 봤다. 패스키와 기기 바인딩 자격증명이 확산되려면 정부가 전략적 방향을 제시하고, 산업계가 실제 서비스 구현과 대규모 배포를 맡아야 한다는 설명이다. 표준 커뮤니티는 플랫폼과 서비스가 서로 맞물려 작동할 수 있도록 상호운용성과 일관성을 높이는 역할을 한다.</p>
          <p contents-hash="f0de21fc897747fc9daa6d409d736abf5d8e8b47b37348205b76aa7e8a675a33" dmcf-pid="FDnNP8e4JK" dmcf-ptype="general">이는 싱가포르가 인증을 단순한 로그인 보안 기능이 아니라 디지털 정부와 민간 서비스 전반의 신뢰 인프라로 보고 있음을 보여준다. 싱가포르 CSA가 그동안 해온 MFA 확대, 국가 디지털 신원 강화, SMS OTP 의존 축소가 기본 보안 수준을 높이는 조치였다면, 패스키 기반 피싱 저항 인증은 피싱·세션 탈취·인증정보 재전송 공격을 전제로 한 다음 단계의 구조적 대응으로 평가된다.</p>
          <p contents-hash="a8c46eaae728339a998b261c01c833a9058eb8c11b7aaa2a9327d0e21ced8f1c" dmcf-pid="3wLjQ6d8Mb" dmcf-ptype="general">탄 디렉터는 "오랫동안 우리는 사용자에게 강한 비밀번호를 만들고, 비밀번호를 재사용하지 말고, 비밀번호 관리자를 쓰라고 요구해 왔다"며 "그 결과 많은 사용자는 500개의 비밀번호를 하나의 부담스러운 마스터 비밀번호로 지키는 상황에 이르렀다"고 말했다. 그는 이어 "공격자가 더 빠르고, 더 싸고, 더 확장 가능한 방식으로 움직이는 상황에서 몇 년마다 사용자에게 더 많은 노력을 요구하는 것만으로는 답이 될 수 없다"며 "어느 시점에는 인증 모델 자체가 진화해야 한다"고 덧붙였다.</p>
          <p contents-hash="d117177b4b18f15d8dd9780bbeee6928cbbf941628649bc246dfabaf83c388e8" dmcf-pid="0roAxPJ6RB" dmcf-ptype="general">싱가포르=정종길 기자<br>jk2@chosunbiz.com</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기