IT

회사에서 올해 초에 사내 시스템 로그인을 패스키로 바꿨다. 인프라팀에서 공지 하나 딱 올리고, 다음 주부터 패스키 등록하라고. 솔직히 백엔드 만지는 입장에서 패스키 구조는 알고 있었는데, 직접 매일 쓰게 되니까 느낌이 다르더라. 노트북 지문 한 번이면 로그인 끝. 비밀번호 입력창 자체가 없어. 처음엔 뭔가 허전했다. 진짜로. 비밀번호 치는 그 0.5초가 없으니까 로그인한 건지 안 한 건지 감이 안 오는 거다. 근데 문제는 그 바깥이다. 회사 시스템은 패스키로 바꿨는데, 내가 쓰는 서비스가 몇 개야. 은행 앱, 통신사, 쇼핑몰, 배달앱, 커뮤니티 사이트. 이것들은 여전히 비밀번호다. 특수문자 포함 8자 이상, 대문자 소문자 섞어라, 3개월마다 바꿔라. 2024년부터 구글이랑 애플이 패스키 밀고 있고, 올해 들어서 국내 대형 서비스들도 하나둘 도입하긴 하는데, 아직 메인 로그인 수단으로 쓸 수 있는 데는 솔직히 손에 꼽는다. 제일 웃긴 게 뭐냐면, 패스키 등록하려고 들어가면 먼저 비밀번호로 로그인하라고 한다. 비밀번호 없애려고 패스키 등록하는 건데 비밀번호를 쳐야 돼. 그리고 등록 끝나고 나서도 비밀번호는 그대로 살아있다. 폴백 수단이라고. 결국 비밀번호를 관리 안 해도 되는 게 아니라, 패스키를 하나 더 얹은 거다. 집에서 자취하면서 기기가 몇 개냐면, 회사 노트북, 개인 노트북, 폰, 태블릿. 패스키가 기기 종속이라 하나 등록하면 다른 기기에서 또 등록해야 된다. 물론 아이클라우드나 구글 패스워드 매니저가 동기화 해주긴 하는데, 크로스 플랫폼이 애매하다. 맥에서 등록한 패스키를 윈도우에서 쓰려면 QR 찍고 폰으로 인증하고. 이 과정이 비밀번호 치는 것보다 빠른 건지 잘 모르겠다. 회사에서 신규 서비스 인증 설계할 때도 결국 비밀번호를 완전히 빼지는 못한다. 기획팀에서 "패스키 안 되는 사용자는 어떡해요" 하면 할 말이 없어. 구형 폰 쓰는 사람, 생체인식 안 되는 기기, 공용 PC에서 접속하는 사람. 다 커버하려면 비밀번호 로그인은 남겨둬야 된다. 그래서 우리 서비스도 패스키는 "추가 로그인 수단"이지 "유일한 로그인 수단"은 아니다. 개발자 입장에서 패스키가 좋은 건 확실하다. 서버에 비밀번호 해시를 저장 안 해도 되니까 DB 털려도 패스워드 유출 사고가 안 난다. 피싱도 원천 차단이고. 근데 그건 기술적으로 좋다는 거고, 현실은 전환 비용이 크다. 기존 사용자한테 "패스키 등록하세요"라고 해봐야 열에 셋이 하면 많이 하는 거다. 나머지는 그냥 비밀번호 치고 들어온다. 결국 지금은 과도기다. 비밀번호가 나쁜 거 다 아는데, 대체할 수 있는 인프라가 아직 안 깔렸다. 패스키가 비밀번호를 죽이는 게 아니라, 비밀번호 옆에 나란히 서 있는 상태. 비밀번호의 "끝"이 오려면 패스키만으로 모든 서비스에 로그인할 수 있어야 되는데, 솔직히 그게 2~3년 안에 될 것 같진 않다. 오늘도 퇴근하고 집 와서 배달앱 켜는데 비밀번호 틀려서 재설정했다. 특수문자 뭘 넣었는지 기억이 안 나. 패스키 빨리 퍼졌으면 좋겠다. 진심으로.