회사 업무용 계정에 패스키를 도입하면 피싱 위험과 비밀번호 관리 부담을 줄일 수 있어 매력적입니다. 하지만 기업 환경에서는 개인 계정처럼 바로 적용되지 않는 경우가 많습니다. 기기 관리 정책, 구형 장비, 공용 PC, 협업 도구 연동, 계정 라이프사이클 같은 현실 변수 때문인데요. 그래서 패스키가 안전하다는 말만 믿고 전사 도입을 밀어붙이면 사용자 불편과 보안 공백이 동시에 생길 수 있습니다. 이번 글에서는 회사 계정에 패스키 도입 시 실제로 자주 생기는 문제와, 실무에서 바로 적용할 수 있는 해결책을 한 번에 정리해드립니다.
문제 1 회사 보안 정책 때문에 패스키 등록이 막히는 경우
MDM이나 보안 정책이 강한 환경에서는 패스키 등록 팝업 자체가 차단되거나, Windows Hello 같은 기기 인증이 제한되는 경우가 있습니다. 해결책은 사전에 정책을 정리하는 것입니다. 패스키 도입을 하려면 최소한 기기 잠금, 생체인증, PIN 설정을 허용하고, 인증 팝업이 뜰 수 있도록 정책 예외를 설정해야 합니다. 파일럿 그룹을 먼저 운영해 어떤 정책이 막는지 확인한 뒤 전사 정책에 반영하는 방식이 현실적입니다.
문제 2 직원마다 기기 환경이 달라 지원이 들쭉날쭉한 경우
기업은 윈도우 버전, 브라우저, 보안 프로그램, 하드웨어가 제각각인 경우가 많습니다. 그래서 패스키 옵션이 어떤 PC에서는 보이고 어떤 PC에서는 안 보이는 현상이 생깁니다. 해결책은 표준 환경을 만드는 것입니다. 최소 지원 OS와 브라우저 버전을 정하고, 표준 이미지나 업데이트 정책으로 맞추는 것이 우선입니다. 혼재 환경이라면 우선 지원이 잘 되는 구간부터 단계적 도입을 하면서 나머지는 기존 로그인 방식을 병행하는 것이 안전합니다.
문제 3 공용 PC나 핫데스크 환경에서 계정 접근이 꼬이는 경우
공용 PC는 로그인 유지가 남으면 사고가 날 수 있고, 반대로 매번 로그인하면 업무가 끊깁니다. 패스키는 기기 기반 인증이라 공용 PC에는 맞지 않는 경우가 많습니다. 해결책은 공용 환경에서는 패스키를 기본으로 강제하지 않는 것입니다. 대신 SSO와 세션 제한, 자동 로그아웃, 브라우저 프로필 초기화 같은 운영 정책을 강화하고, 공용 환경은 별도 인증 흐름을 두는 것이 현실적입니다.
문제 4 휴대폰 분실이나 기기 변경 시 업무 계정이 막히는 경우
패스키는 편하지만 분실 시 복구 흐름이 준비되지 않으면 장애가 됩니다. 해결책은 계정 복구 정책을 도입 전에 확정하는 것입니다. 예를 들어 복구 수단을 문자만 의존하지 않고, 인증 앱이나 백업 코드, 보안 키 같은 대안을 준비합니다. 또한 IT 헬프데스크가 수행할 수 있는 안전한 복구 절차를 문서화하고, 관리자 승인 프로세스를 만들어야 합니다.
문제 5 퇴사자 처리와 권한 회수가 애매해지는 경우
패스키는 기기 기반이라 퇴사자가 기기를 들고 있거나, 개인 기기에서 등록한 패스키가 남아 있으면 위험할 수 있습니다. 해결책은 계정 라이프사이클 정책을 강화하는 것입니다. 퇴사 처리 시 모든 세션 강제 로그아웃, 기기 신뢰 해제, 패스키 토큰 회수 같은 절차를 한 번에 실행할 수 있게 해야 합니다. 가능하면 관리되는 기기에서만 패스키를 허용하는 방식도 선택지입니다.
문제 6 보안 프로그램이나 확장 프로그램이 인증 창을 막는 경우
광고 차단 확장, 기업 보안 확장, DLP, 프록시 환경이 패스키 인증 팝업을 막는 일이 있습니다. 해결책은 원인 진단 루틴을 만드는 것입니다. 시크릿 모드 테스트, 확장 비활성화 테스트, 정책 예외 적용 같은 기본 점검 절차를 헬프데스크에 공유하면 해결 속도가 빨라집니다.
문제 7 사용자 교육이 부족해 피싱 대응이 느슨해지는 경우
패스키가 피싱에 강한 것은 맞지만, 사용자가 무작정 승인만 누르는 습관을 가지면 다른 방식의 사회공학 공격이 생깁니다. 해결책은 교육을 간단하게 하는 것입니다. 패스키 도입 안내는 길게 설명하기보다 실제 화면 기준으로 어떤 상황이 정상이고 어떤 상황이 이상인지, 인증 요청이 뜰 때 확인해야 할 포인트를 짧게 반복 교육하는 방식이 효과적입니다.
문제 8 지원되지 않는 레거시 시스템이 발목을 잡는 경우
사내 그룹웨어나 오래된 ERP 같은 레거시 시스템은 패스키를 지원하지 않을 수 있습니다. 해결책은 핵심 계정부터 적용하고 레거시는 병행하는 것입니다. 패스키를 전사에 강제하기보다, 이메일과 협업 도구 같은 외부 노출이 큰 영역부터 적용하고 레거시는 비밀번호 관리자와 2단계 인증으로 보완하는 전략이 현실적입니다.
문제 9 계정이 여러 개여서 패스키가 엉뚱한 계정에 붙는 경우
업무용 구글 계정, 개인 구글 계정이 섞이면 패스키가 다른 프로필에 등록되는 문제가 생깁니다. 해결책은 브라우저 프로필 분리와 표준 안내입니다. 업무용은 업무용 프로필로 고정하고, 개인 계정 로그인은 제한하거나 안내를 명확히 해야 혼선을 줄일 수 있습니다.
문제 10 도입 후 운영 지표가 없어서 효과를 체감 못 하는 경우
보안팀 입장에서는 사고가 줄어들어도 숫자로 보이지 않으면 평가가 어렵습니다. 해결책은 지표를 잡는 것입니다. 비밀번호 재설정 티켓 감소, 피싱 사고 건수, 로그인 실패 관련 헬프데스크 문의량, 사용자 만족도 같은 운영 지표를 도입 전후로 비교하면 패스키 도입 효과를 설득할 수 있습니다.
회사 업무용 계정에 패스키를 도입할 때 생기는 문제는 대부분 기술 자체가 아니라 기업 환경의 정책과 운영에서 발생합니다. 기기 관리 정책과 표준 환경, 공용 PC 운영, 분실 복구, 퇴사 처리, 레거시 시스템 병행, 사용자 교육까지 함께 설계하면 패스키의 장점을 현실에서 안전하게 가져올 수 있습니다.