IT

회사 내부 시스템 비밀번호 정책이 또 바뀌어서 특수문자 2개 이상에 대문자 포함에 16자리 이상이래. 솔직히 이쯤 되면 비밀번호 자체가 보안이 아니라 업무 방해인 거 같아. 요즘 양자컴퓨터 쪽 논문 보면 RSA 2048 정도는 이론상 몇 시간이면 깨진다는 얘기가 나오고 있어. 아직 실용 단계는 아닌데 방향 자체가 그쪽이니까 기존 암호체계 유통기한이 생각보다 짧을 수도 있겠다 싶더라. NIST에서 포스트 양자 암호 표준화 작업 진행하고 있고, 구글이나 애플은 이미 패스키 쪽으로 전환 밀고 있잖아. 나도 개인 계정은 거의 패스키로 옮겼는데 한번 써보면 비밀번호로 못 돌아감. 지문 한 번이면 끝이니까. 근데 문제는 우리 같은 B2B 레거시 환경이야. 내부 어드민만 해도 아직 Spring Security에 bcrypt 박아놓고 비밀번호 90일 변경 정책 돌리고 있거든. 패스키 도입하려면 인증 서버부터 뜯어야 되는데 일정 잡아줄 PM이 없어. 결국 비밀번호가 사라지는 건 기술 문제가 아니라 마이그레이션 문제인 거 같아. 신규 서비스는 패스키 기본으로 가는 게 맞고, 기존 시스템은 FIDO2 점진 도입이 현실적이겠지. 양자컴퓨터가 실용화되기 전에 최소한 준비는 해놔야 나중에 안 뒤집어지니까. 4년차인데 우리 회사 인증 모듈 담당이 나야. 연말까지 패스키 지원 넣겠다고 했는데 솔직히 자신 없어.