패스키는 피싱에 강하고 비밀번호 재사용 위험을 줄여주는 방식으로 알려져 있습니다. 그런데 패스키로 전환했는데도 보안이 약해지는 느낌이 들 때가 있습니다. 이유는 패스키가 만능이라서가 아니라, 패스키의 보안이 기기 보안과 계정 운영 습관에 크게 의존하기 때문입니다. 이번 글에서는 패스키를 쓰면서도 보안이 약해질 수 있는 대표 상황 6가지를 현실적으로 정리하고, 바로 적용할 수 있는 해결 방법까지 함께 안내해드립니다.
상황 1 기기 잠금이 약하거나 잠금 해제가 쉬운 경우
패스키는 비밀번호 대신 기기에서 본인 확인을 합니다. 그래서 기기 PIN이 0000 같은 쉬운 번호이거나, 화면 잠금이 사실상 거의 걸리지 않는 환경이라면 보안이 약해질 수 있습니다. 특히 가족이 기기를 자주 만지거나, 잠금이 풀린 채로 방치되는 시간이 길면 위험이 커집니다. 해결은 단순합니다. 강한 기기 암호로 바꾸고, 가능하면 생체인증을 켭니다. 자동 잠금 시간을 짧게 두는 것도 효과적입니다.
상황 2 공용 PC나 회사 PC에 로그인 상태가 남는 경우
패스키는 편리해서 로그인 유지가 늘어나기 쉽습니다. 그런데 공용 PC, 회사 PC에서 로그인 상태가 남아 있으면 누군가가 그대로 계정에 접근할 수 있습니다. 비밀번호가 없다고 해서 자동으로 안전해지는 것이 아니라, 세션이 남아 있으면 위험합니다. 해결은 공용 기기에서는 자동 로그인을 끄고, 사용 후 로그아웃을 습관화하는 것입니다. 가능하면 브라우저 프로필을 분리하고, 업무용 PC에서는 개인 계정을 최소화하는 편이 안전합니다.
상황 3 계정 복구 수단이 약해서 분실 시 더 위험해지는 경우
패스키를 쓰기 시작하면 비밀번호를 덜 쓰게 됩니다. 이때 복구 이메일과 전화번호가 오래된 상태라면, 기기 분실이나 변경 시 계정 복구가 어려워질 수 있습니다. 보안이 약해지는 느낌은 해킹이 아니라 복구 실패에서 오는 경우도 많습니다. 해결은 복구 수단을 최신으로 유지하고, 인증 앱이나 백업 코드 같은 대체 수단을 확보해두는 것입니다.
상황 4 동기화가 꺼져 있어서 패스키가 꼬이거나 재등록이 늘어나는 경우
패스키는 파일 백업보다는 동기화가 핵심인 경우가 많습니다. 아이폰은 아이클라우드 키체인, 안드로이드는 구글 비밀번호 관리자 동기화가 영향을 주는데요. 동기화가 꺼져 있으면 기기 변경 때 패스키가 사라진 것처럼 보여서 급하게 임시 로그인 방식으로 바꾸는 과정에서 보안이 약해질 수 있습니다. 해결은 동기화를 켜고, 보조 기기 한 대라도 로그인 상태를 유지하는 것입니다.
상황 5 계정 공유로 인해 접근 범위가 넓어지는 경우
가족이 같은 계정을 쓰거나, 팀에서 계정을 공유하는 환경에서는 패스키가 오히려 접근을 더 쉽게 만들 수 있습니다. 예전에는 비밀번호를 바꾸면 통제가 되었지만, 패스키는 기기 기반이라 어느 기기에 어떤 패스키가 남아 있는지 관리가 어려워질 수 있습니다. 해결은 계정 공유를 줄이고, 가능하면 가족 공유나 팀 권한 분리 같은 기능을 쓰는 것입니다. 꼭 공유해야 한다면 로그인된 기기 목록을 주기적으로 정리해야 합니다.
상황 6 업데이트를 미뤄서 브라우저와 인증 환경이 불안정해지는 경우
패스키는 브라우저와 OS 기능에 의존합니다. 업데이트를 오래 미루면 패스키 옵션이 안 뜨거나 인증 창이 꼬여서, 결국 쉬운 우회 방법을 쓰게 될 수 있습니다. 예를 들어 임시로 비밀번호를 낮추거나, 보안 단계를 끄는 식의 대응이 보안을 약하게 만듭니다. 해결은 운영체제와 브라우저를 최신 상태로 유지하고, 패스키가 안될 때는 시크릿 모드 테스트나 확장 프로그램 점검처럼 안전한 해결 순서를 먼저 밟는 것입니다.
패스키로 전환해도 보안이 약해지는 상황은 대부분 패스키 자체 문제라기보다 기기 잠금, 공용 기기 사용, 복구 수단 부실, 동기화 꺼짐, 계정 공유, 업데이트 지연 같은 운영 문제에서 발생합니다. 패스키는 피싱에 강한 대신 기기 보안과 계정 관리가 더 중요해지는 방식입니다. 위 6가지만 정리해도 패스키의 보안 효과를 훨씬 안정적으로 누릴 수 있습니다.