패스키 해킹 위협?…브라우저 확장만으로 계정 탈취 가능성 제기

패스워드를 대체할 보안 인증 수단으로 주목받아온 패스키(passkey)가 해킹에 취약할 수 있다는 보안 연구 결과가 나왔다. 브라우저 보안 스타트업 스퀘어엑스(SquareX)의 최신 보고서에 따르면, 악성 확장 프로그램과 스크립트를 활용해 패스키 인증 절차를 가로채는 방식으로 계정 탈취가 가능하다는 사실이 드러났다.

패스키는 비밀번호 대신 공개키 기반 구조를 이용해 사용자 단말기의 생체 인증이나 보안 하드웨어로 본인 여부를 인증하는 방식이다. FIDO 얼라이언스에 따르면, 전 세계적으로 150억 개 이상의 계정이 패스키를 통해 로그인할 수 있는 상태다. 전통적인 비밀번호보다 보안성이 높다고 알려지며 금융, 전자상거래, 기업용 SaaS 전반에 빠르게 확산됐다.

하지만 이 인증 방식의 핵심은 브라우저의 무결성에 크게 의존한다는 점이다. 스퀘어엑스는 비교적 단순한 브라우저 확장 프로그램을 통해도 공격자가 패스키 등록 및 인증 과정을 위조하거나 조작할 수 있으며, 사용자는 이를 정상적인 등록 흐름으로 인식하게 된다고 경고했다. 즉 사용자는 여전히 생체 인증을 거치지만, 그 과정에서 내부적으로 공격자가 통제권을 탈취할 수 있다는 것이다.

스퀘어엑스 리서처 쇼라야 프라탑 싱(Shourya Pratap Singh)은 “사용자들은 생체 인증 메시지를 신뢰의 신호로 받아들이지만, 실제로는 공격자가 패스키의 흐름을 인식하지 못할 정도로 쉽게 변조할 수 있다”고 설명했다. 그는 이처럼 패스키 시스템이 피싱이나 무차별 대입 공격을 막는 데 효과적인 것으로 인식되어 온 만큼, 공격자 입장에서는 오히려 더욱 매력적인 침투 지점이 될 수 있다고 분석했다.

문제는 기존의 엔드포인트 보안이나 네트워크 감시 솔루션이 브라우저 내부에서 일어나는 이러한 공격을 탐지하지 못한다는 점이다. 특히 SaaS 애플리케이션에 의존하는 기업 환경에서는 단 하나의 브라우저 확장 프로그램만으로도 민감한 데이터에 대한 접근 권한이 공격자 손에 넘어갈 수 있다.

스퀘어엑스의 창업자 비벡 라마찬드란(Vivek Ramachandran)은 “우리가 연구한 바에 따르면, 브라우저 보안 레이어가 없는 상태에서의 패스키는 독립적인 수단으로는 충분한 방패가 될 수 없다”며 “기업은 사내 클라우드 앱에 대한 접근을 브라우저 수준에서 보호하는 보안 플랫폼과 병행해 적용할 필요가 있다”고 강조했다.

한편, 스퀘어엑스는 올해 4월 시리즈 A 투자 라운드를 통해 2,000만 달러(약 288억 원)를 유치했으며, 현재까지 총 2,600만 달러(약 374억 원)의 자금을 조달했다. 주요 투자사는 SYN 벤처스와 피크 XV 파트너스다.

이번 연구 결과는 사용자 인증 방식의 진화가 반드시 보안 수준을 높인다는 통념에 일침을 가한 셈이다. 기술의 신뢰성은 결국 해당 기술이 동작하는 환경의 안전성을 담보하지 않으면 쉽게 무너질 수 있음을 다시금 보여주는 사례다.