서론: 화면이 없으면 로그인도 못 하나요?

패스키(PASSKEY)는 피싱에 강하고 암호화된 비밀번호 없는 인증 방식으로 주목받고 있습니다. 일반적인 크로스 디바이스 흐름은 데스크톱에서 QR 코드를 생성하고, 스마트폰 카메라로 스캔하여 인증을 완료하는 방식이죠.

그런데 VR 헤드셋(Meta Quest 등), 스마트 홈 허브, 산업용 센서처럼 화면이 없거나 카메라로 접근하기 어려운 디바이스는 어떻게 해야 할까요? QR 코드를 보여줄 수 없기 때문에 기존 방식은 통하지 않습니다. 이 글에서는 메타 엔지니어링 팀이 이런 디바이스들을 위해 개발한, QR 코드를 우회하는 새로운 패스키 인증 흐름을 소개합니다. 이 내용은 메타 엔지니어링 블로그의 공식 게시물을 근거로 합니다.

Meta Quest headset and smartphone showing passkey authentication flow without QR code Coding Session Visual

본론 1: 컴패니언 앱을 통한 안전한 메시지 전달

핵심 아이디어는 **동일한 계정으로 로그인된 컴패니언 앱(예: Meta Horizon 앱)**을 '안전한 메시지 전달 채널'로 활용하는 것입니다. 화면이 없는 디바이스(이하 '타겟 디바이스')에서 패스키 로그인이 시작되면, 다음과 같은 과정이 진행됩니다.

  1. 하이브리드 플로우 메시지 생성: 타겟 디바이스의 브라우저는 QR 코드에 담겼을 정보(새로운 ECDH 공개 키, 세션 시크릿, 핸드셰이크 정보 등)를 표준 FIDO URL 형식으로 인코딩합니다.
  2. 메시지 전송: 이 FIDO URL은 GraphQL 기반의 푸시 알림 데이터로 변환되어, 타겟 디바이스와 동일 계정으로 로그인된 컴패니언 앱으로 안전하게 전송됩니다.
  3. 알림 및 실행: 사용자의 스마트폰에서 컴패니언 앱이 푸시 알림을 받고, 사용자가 알림을 탭하면 앱이 시스템 URL 실행기를 통해 FIDO URL을 열어 표준 패스키 인증 흐름을 시작합니다.

이 흐름은 사용자 동의를 얻는 표면(알림 탭하기)으로 작동하며, 이후의 BLE 연결, 암호화 채널 수립, 패스키 어설션 생성은 기존 FIDO 하이브리드 프로토콜 표준을 그대로 따릅니다.

한국 개발 생태계에서의 적용 맥락: 국내에서도 XR, IoT, 웨어러블 기기 개발이 활발해지고 있습니다. 이런 기기들에 보안성이 높은 인증을 도입하려면 사용자 편의성과 보안 요구사항 사이의 균형을 찾는 것이 중요합니다. 메타의 이 접근법은 '계정 연동'과 '푸시 채널'이라는 비교적 보편적인 인프라를 활용해 복잡한 하드웨어 변경 없이 보안 인증을 구현한 점에서 참고할 가치가 있습니다.

Companion app notification for cross-device passkey login on mobile phone System Abstract Visual

본론 2: 기존 방식과의 비교 및 주의사항

표준 방식 vs. 메타의 새로운 방식

항목표준 QR 코드 방식메타의 컴패니언 앱 방식
필요한 디바이스 화면필수 (QR 코드 표시)불필요
프로토콜FIDO CTAP 하이브리드FIDO CTAP 하이브리드 (수정)
근접성 확인QR 코드 시각 인식 + BLE/NFCBLE/NFC + 계정 기반 푸시 인증
사용자 동의 경로QR 코드 스캔앱 푸시 알림 탭
적용 가능 디바이스화면 있는 모든 기기화면 없는 XR/IoT, 컴패니언 앱 존재 기기

이 기술의 한계 또는 주의사항

  1. 컴패니언 앱 의존성: 이 방식은 사용자가 타겟 디바이스와 연동된 전용 컴패니언 앱을 설치하고 동일 계정으로 로그인해야 한다는 전제가 있습니다. 앱이 없는 제3자 디바이스에는 적용이 어렵습니다.
  2. 푸시 알림 인프라 필요: 안전한 메시지 전달을 위해 신뢰할 수 있는 푸시 알림 채널이 구축되어야 합니다. 이는 추가적인 백엔드 개발과 유지보수 부담을 의미합니다.
  3. 5분 제한: 보안을 위해 생성된 로그인 요청은 5분 후 만료됩니다. 사용자는 이 시간 내에 알림을 확인하고 인증을 완료해야 합니다.

이러한 인증 흐름을 설계할 때는, **ML/AI 개발의 빠른 반복을 가능하게 한 Metaflow Spin의 사례**처럼, 사용자 경험과 보안 요구사항을 지속적으로 테스트하고 개선하는 '피드백 루프'가 중요합니다. 특히 **예측 가능한 결과를 만드는 강력한 피드백 루프의 설계 원칙**은 복잡한 시스템의 신뢰성을 높이는 데 핵심적입니다.

Various screenless IoT devices like smart speakers and sensors using secure authentication Software Concept Art

결론: 다음 단계 학습 방향 제시

화면 없는 디바이스를 위한 패스키 인증은 패스키 생태계의 확장에 중요한 이정표입니다. 이 기술은 모바일과 데스크톱을 넘어 웨어러블, IoT, 임베디드 시스템 전반에 보안성이 높은 비밀번호 없는 인증을 도입하는 길을 열어줍니다.

실무에서 이를 적용해보고 싶은 개발자라면, 다음 단계를 고려해보세요:

  1. FIDO/WebAuthn 표준 심화 학습: 하이브리드 프로토콜(CTAP), 신뢰 애널리시스(Trust Anchors) 등 핵심 표준을 깊이 이해하세요.
  2. 사용자 경험(UX) 검증: '알림 탭'이라는 새로운 동의 방식이 실제 사용자에게 얼마나 직관적인지 프로토타입을 통해 테스트하세요.
  3. 대체 채널 탐구: 푸시 알림 외에 음성 안내, 햅틱 피드백, 초광대역(UWB) 등 화면이 없는 상황에서 신뢰를 전달할 수 있는 다른 보조 채널을 연구해보세요.

이 혁신은 단일 기술이 아니라, 기존 표준(FIDO), 인프라(푸시, 계정 시스템), 사용자 행동(알림 확인)을 유기적으로 결합한 '시스템적 해결책'의 좋은 예입니다. 앞으로 더 다양한 디바이스가 우리 삶에 스마트하게 연결될수록, 이처럼 맥락에 맞고 안전한 인증 방식의 중요성은 더욱 커질 것입니다.

본 콘텐츠는 신뢰할 수 있는 출처를 바탕으로 AI 도구를 활용하여 초안이 작성되었으며, 편집자의 검토를 거쳐 발행되었습니다. 전문가의 조언을 대체하지 않습니다.