해킹보다 무서운 내부자… 기업 보안, ‘패스워드리스’로 전환하나

최근 국내 이커머스와 금융권을 중심으로 내부자에 의한 정보 유출 사고가 잇따르면서 외부 해킹보다 통제하기 어려운 ‘인재(人災)’가 기업 보안의 최대 리스크로 부상하고 있다. 첨단 보안 체계를 갖춘 글로벌 대기업들조차 내부자의 과실이나 고의에 따른 정보 유출을 피하지 못하면서 기존 비밀번호 중심 보안 전략의 한계가 분명해졌다는 평가다. 이에 따라 계정 탈취 가능성을 구조적으로 차단하는 패스키·FIDO 기반의 ‘패스워드리스(passwordless)’ 인증 전환이 현실적 대안으로 주목받고 있다.

25일 보안업계에 따르면 내부자 사고의 상당수는 계정 도용이나 권한 오·남용에서 발생한다. 접근 통제의 출발점인 인증 체계를 바꾸지 않는 한 사고 재발을 막기 어렵다는 것이다. 패스키는 지문·얼굴 등 생체 정보를 활용해 허가된 사용자만 시스템에 접근하도록 하는 방식이다. 다만 생체 정보를 서버에 저장할 경우 탈취 위험이 커질 수 있는데, 이를 해결한 기술적 기반이 국제 표준 FIDO(Fast IDentity Online)다.

FIDO는 사용자의 생체 정보를 서버로 보내지 않고 개인 기기 안에서만 검증한다. 사용자가 인증을 시도하면 기기에 저장된 ‘개인키’가 작동하고, 서버는 이에 대응하는 ‘공개키’만 확인해 접근을 허용하는 구조다. 기업 입장에서는 내부 직원이라도 권한이 없는 시스템 접근을 원천 차단할 수 있어, 관리자 계정이나 고객정보 데이터베이스(DB) 등 민감 구간에서 보안 효과가 크다. 특히 다중인증(MFA) 환경에서 비밀번호나 문자 인증을 FIDO로 대체하면 탈취 가능한 정보 자체가 줄어든다.

글로벌 패스키·생체인증 표준을 주도하는 FIDO 얼라이언스 이사회에는 구글, 마이크로소프트, 삼성전자, 아마존, 애플 등 주요 글로벌 기업과 함께 국내 보안기업 라온시큐어도 참여하고 있다. 이사회 멤버는 정책 방향과 기술 표준 제정에 대한 의결권을 갖는다.

FIDO가 주목받는 배경에는 내부자 사고가 글로벌 기업 전반으로 확산되고 있다는 현실이 있다. 미국 전기차 기업 테슬라는 2023년 내부 직원의 과실로 7만5735명의 개인정보를 유출했다. 일론 머스크 최고경영자(CEO)의 사회보장번호를 포함해 임직원 개인정보와 고객 차량 불만 정보 등 기술 기밀까지 외부로 유출됐다. 미국 최대 가상화폐 거래소 코인베이스 역시 협력사 직원이 고객의 사회보장번호와 계좌 정보를 빼돌려 판매한 사건이 발생해 약 7만 명의 고객이 피해를 입었다.

▲해롤드 로저스 쿠팡 임시 대표가 17일 오전 서울 여의도 국회 과학기술정보방송통신위원회 전체회의에서 열린 쿠팡 침해사고 관련 청문회에 이상휘 국민의힘 의원의 김병기 더불어민주당 원내대표 관련 질의를 듣고 있다. (뉴시스)

통계도 내부자 리스크의 심각성을 보여준다. 미국 사이버 보안 연구기관 사이버시큐리티 인사이더스가 보안 전문가 413명을 대상으로 조사한 결과, 응답자의 83%가 “지난 1년간 최소 한 차례 이상 내부자 공격을 경험했다”고 답했다. IBM의 ‘2025년 데이터 유출 비용 보고서’에 따르면 악의적 내부자 공격으로 인한 평균 피해 비용은 492만 달러(약 71억 원)에 달한다. 정보 유출 이후 기업은 소송과 규제 조사, 평판 훼손 등 장기적 후폭풍에 직면하게 된다.

이에 따라 국내 주요 금융사와 공공기관도 FIDO 기반 MFA 도입을 확대하는 추세다. 비밀번호 중심 인증으로는 내부자 사고와 계정 탈취를 막기 어렵다는 판단에서다. 한 보안업계 관계자는 “외부 공격보다 내부자의 일탈이 기업에 더 치명적일 수 있다”며 “사고가 반복될수록 이용자들이 해외 플랫폼으로 이동하는 ‘디지털 이주’ 가능성도 커진다”고 말했다.

퇴사자에 의한 개인정보 유출을 겪은 쿠팡 역시 최근 국회 현안질의에서 “패스키를 국내에도 도입하는 방안을 검토하겠다”고 밝혔다. 대만에서는 이미 패스키를 적용 중이지만, 한국 서비스에는 아직 도입되지 않았다. 이를 계기로 내부자 리스크를 구조적으로 줄일 수 있는 인증 전환이 본격화될지 주목된다.

이기혁 중앙대 융합보안학과 교수는 “내부자 리스크와 중앙집중형 서버 취약점은 AI 시대 기업의 핵심 자산인 데이터를 한순간에 무너뜨릴 수 있는 위협”이라며 “사후 대응이 아니라 FIDO 기반 분산 인증을 국가·산업 인프라에 선제 적용하는 것이 데이터 주권을 지키는 길”이라고 말했다.