🔑 Passkeys 뚫린다? SquareX 연구팀, WebAuthn API 하이재킹 공격 시연

Passkey는 비밀번호를 대체할 차세대 인증 기술로,
구글·마이크로소프트·아마존 같은 빅테크들이 적극 도입·추천하고 있습니다.

• 기존 비밀번호와 달리 디바이스에 저장된 개인 키로 로그인
• 사용자는 PIN·지문·Face ID 같은 생체 인증으로 접근
• 피싱 저항성이 뛰어나, 가짜 사이트가 Passkey를 가로채는 것이 불가능

👉 그런데 지난 주말 DEF CON에서 SquareX 연구팀이 이 보안의 ‘약한 고리’를 파고든 공격 기법을 공개했습니다.

---

⚡ 공격 핵심: 암호학이 아니라 브라우저 환경 노린다

SquareX의 설명에 따르면, 이번 공격은 Passkey 자체의 암호 기술을 깨는 것이 아님을 강조했습니다.
대신 WebAuthn API가 동작하는 브라우저 환경을 하이재킹해 등록·인증 절차 자체를 조작합니다.

공격 시나리오

1. 웹사이트 로그인 흐름: Passkey 기반 로그인을 위해 브라우저가 WebAuthn API 호출
2. 공격자 개입: 자바스크립트 인젝션(JS Injection)으로 API 호출을 가로채 위조
3. 위조된 플로우 실행:
   • 공격자가 임의로 Passkey 등록 과정을 재시작
   • 또는 사용자를 비밀번호 기반 로그인으로 강제 다운그레이드 후 자격 증명 탈취

👉 결과적으로, 공격자는 실제 기기에 Face ID 인증 장치가 없어도 피해자 계정에 접근할 수 있습니다.

---

🎭 공격자가 시스템을 장악하는 방법

• 악성 브라우저 확장 프로그램 설치 유도
  • 공격자는 유용해 보이는 도구로 위장해 크롬 웹스토어 같은 저장소에 업로드
  • 사용자가 설치하는 순간, WebAuthn API 하이재킹 가능
• 웹사이트 자체 취약점 악용 (예: XSS)
  • 공격 대상 사이트에 클라이언트 사이드 취약점이 있으면 자바스크립트 주입으로 동일 공격 가능
  • 피해자는 단순히 로그인 페이지 접속만 해도 감염

👉 연구팀 설명:

"피해자는 평소처럼 Passkey로 로그인하려고 웹사이트를 방문하는 것만으로 충분합니다. 추가적인 사용자 조작은 필요하지 않습니다." – Shourya Pratap Singh, SquareX

---

🛡️ 보안적 함의

• Passkey는 암호학적으로는 여전히 안전
• 하지만 브라우저·클라이언트 환경이 오염되면 그 위의 모든 보안 계층이 무력화
• 공격의 본질은 Passkey 시스템의 신뢰할 수 있는 실행 환경(Trusted Execution)을 깨뜨리는 것

특히 기업 환경에서는 사용자 브라우저 확장 프로그램 관리가 매우 중요해집니다.

---

✅ 대응 방안

1. 브라우저 보안 관리 강화
   • 확장 프로그램 화이트리스트 관리
   • 사용자 기기에서 승인되지 않은 확장 프로그램 설치 제한
2. 웹사이트 개발사 측 보완책
   • 철저한 XSS 방지 및 CSP(Content Security Policy) 적용
   • Passkey 플로우 중복 등록 방어
3. 사용자 주의사항
   • 의심스러운 확장 프로그램 설치 자제
   • 공식 스토어라도 출처 불분명한 확장 기능은 피하기

---

📌 결론

Passkey는 비밀번호보다 훨씬 안전하지만,

“브라우저라는 전장(戰場)이 뚫리면 그 위의 모든 보안도 무의미하다”

는 점을 SquareX가 이번에 입증했습니다.

따라서, Passkey 자체의 안전성에 안심하기보다는,

• 브라우저 보안 관리
• 클라이언트 사이드 취약점 점검
• 보안 인식 교육

이 병행되어야 진정한 안전을 보장할 수 있습니다.