패스 키는 비밀번호 입력 없이 온라인 계정을 만들고 로그인할 수 있는 간단하고 안전한 기기 간 인증 기술입니다. 계정에 로그인하려면 사용자에게 지문 센서 터치 같은 기기의 화면 잠금을 사용하라는 메시지가 간단히 표시됩니다.
Google은 Apple 및 Microsoft와 더불어 FIDO Alliance와 다년간 협력하여 전 세계에 패스 키를 제공하고 있습니다. 2022년에는 Android 및 Chrome 사용자가 모든 기기에서 앱과 웹사이트에 원활하게 로그인할 수 있도록 패스 키에 대한 플랫폼 지원을 출시했습니다. 2023년 5월, 저희는 패스 키로 Google 계정에 로그인할 수 있도록 지원하여 사용자에게 패스 키의 보안과 편리함을 제공했습니다.
Google은 패스 키를 위한 인프라를 개발하는 동시에 패스 키를 사용하는 가장 큰 업체 중 하나로서 독보적인 입지를 차지하고 있습니다. 결과를 측정하고 그에 따른 피드백을 활용하여 패스 키 인프라와 Google 계정 사용 경험을 지속적으로 개선할 수 있도록 Google 계정용 패스 키를 신중하고 계획적으로 제공하고 있습니다.
맞춤형 온라인 환경의 출현 이후 비밀번호가 표준 로그인 방법으로 사용되어 왔습니다. 암호 없는 패스 키 사용 환경은 어떻게 도입될까요?
연구에 따르면 인증과 관련하여 사용자는 편의성을 가장 중요하게 생각하는 것으로 나타났습니다. 사용자는 실제 경험으로의 원활하고 빠른 전환을 원하는데, 이는 로그인 후에만 가능합니다.
그래도 패스 키로 전환하기 위해서는 머슬 메모리 변경이 필요하고 사용자가 패스 키로 전환할 가치가 있다고 확신해야 합니다.
Google.com의 패스 키에 대한 사용자 환경은 인증 프로세스의 모든 단계에서 사용 편의성과 보안이라는 두 가지 원칙을 강조하도록 전략적으로 설계되었습니다.
사용자가 보는 첫 번째 패스 키 화면은 가볍고 이해하기 쉽습니다. "로그인을 간단하게"라는 헤더의 문구는 사용자가 누리는 이점에 집중합니다.
본문에서는 "이제 패스 키를 사용해서 지문, 얼굴 또는 화면 잠금을 사용하여 본인임을 확인할 수 있습니다"라고 설명합니다.
첫 화면의 그림은 페이지에서 제시하는 가치 제안에 메시지를 담아내고자 합니다. 큰 파란색으로 표시된 기본 동작을 수행하면 사용자는 계속 진행할 수 있습니다. 이때에 사용자가 진행 여부를 정할 수 있도록 하는 부수적인 동작 사항으로 '나중에(Not now)'가 포함되어 있어 사용자는 선택권을 갖게 됩니다. 그리고 계속 진행하기 전에 패스 키를 더 잘 이해하고 싶어 하는 호기심 충만한 사용자를 위해 '자세히 알아보기(Learn more)'가 제공됩니다.
저희는 로그인하는 동안 사용자에게 패스 키를 소개하기 위해 사용된 많이 반복되는 페이지를 살펴보았습니다. 여기에는 패스 키의 보안, 기술 및 기타 측면을 강조한 어려운 콘텐츠가 포함되었지만, 실제로 가장 큰 반향을 일으킨 것은 편의성이었습니다. Google의 콘텐츠 전략, 그림, 상호작용 디자인은 패스 키 구현을 위한 이 핵심 원칙을 잘 보여줍니다.
패스 키는 대다수 사용자가 새로 접하는 용어이므로 익숙한 용어로 만들기 위해 의도적으로 사용자에게 조금씩 노출되도록 했습니다. 내부 조사 결과에 따라 패스 키를 보안과 전략적으로 연계하고 있습니다.
눈에 잘 띄지 않는 본문 내에 위치한 '패스 키'라는 단어는 로그인 과정 전체에 포함되어 있습니다. 지문, 얼굴 스캔 또는 기타 기기 화면 잠금 같이 패스 키 사용을 가능하게 하는 익숙한 보안 환경 사이에 일관되게 자리 잡고 있습니다.
Google의 연구에 따르면 많은 사용자가 생체 인식과 보안을 연계하는 것으로 나타났습니다. 패스 키는 생체 인식을 요구하지는 않지만(예: 패스 키를 기기 PIN과 함께 사용 가능), 패스 키의 보안상 이점에 대한 사용자 인식 제고를 위해 패스 키와 생체 인식의 연결을 받아들이고 있습니다.
'자세히 알아보기(Learn more)'에서 제공되는 추가 콘텐츠에는 민감한 생체 인식 데이터는 개인 기기에 보관되고 패스 키를 만들거나 사용할 때 결코 저장되거나 공유되지 않는다는 확신을 포함하여 사용자에게 유용한 정보가 많이 있습니다. 대다수 사용자가 패스 키의 편리성 측면이 매력적이라고 생각했기에 이 접근 방식을 취했지만, 테스트 중에 생체 인식 요소를 고려한 사용자는 소수에 불과했습니다.
Google의 휴리스틱은 소개 화면을 보여줄 사용자를 신중하게 결정합니다. 고려 사항에는 사용자가 2단계 인증 활성화했는지와 동일한 기기에서 해당 계정에 정기적으로 액세스하는지 등이 포함됩니다.
패스 키로 성공할 가능성이 가장 높은 사용자가 먼저 선택되며 시간이 지남에 따라 더 많은 사용자에게 적용할 것입니다(하지만 오늘은 g.co/passkeys에서 누구나 시작할 수 있음).
선택된 사용자에게 사용자 이름과 비밀번호로 로그인한 후 패스 키를 생성하라는 메시지가 표시됩니다. 사용자 여정에서 이 지점을 선택한 몇 가지 이유가 있습니다.
초기 사용자 연구에 따르면 많은 사용자가 여전히 백업 로그인 방법으로 비밀번호를 원하는 것으로 나타났습니다. 모든 사용자가 패스 키를 채택하는 데 필요한 기술을 보유하지는 않을 것입니다.
따라서 Google을 포함한 업계가 "비밀번호 없는 미래"를 향해 나아가는 한편 Google은 의도적으로 패스 키를 비밀번호에 대한 간단하고 안전한 대안으로 포지셔닝하고 있습니다. Google의 UI는 패스 키의 장점에 초점을 맞추고 비밀번호를 없애는 것을 암시하는 표현을 지양합니다.
사용자가 등록하기로 선택하면 패스 키를 만들 수 있는 브라우저별 UI 모달이 표시됩니다.
패스 키 자체는 업종별로 조정된 아이콘 및 패스 키를 생성하는 데 사용되는 정보와 함께 표시됩니다. 여기에는 표시 이름(사용자의 실제 이름 같은 패스 키의 친숙한 이름)과 사용자 이름(서비스에 있는 고유한 이름으로, 이메일 주소가 여기에 상당히 적합할 수 있음)이 포함됩니다. 패스 키 아이콘으로 작업하는 경우 FIDO 얼라이언스는 검증된 패스 키 아이콘을 사용할 것을 권장하며 또한 사용자 설정을 통해 자신만의 패스 키 아이콘을 만들도록 장려합니다.
패스 키 아이콘은 사용자가 패스 키를 사용하거나 관리할 때 표시되는 내용이 익숙해지도록 사용자 여정 전반에 걸쳐 일관되게 표시됩니다. 패스 키 아이콘은 컨텍스트나 지원 자료 없이는 절대 표시되지 않습니다.
앞서 사용자와 플랫폼이 어떤 식으로 협력하여 패스 키를 생성하는지 간략하게 설명했습니다. 사용자가 '계속(Continue)'을 클릭하면 플랫폼에 따라 고유한 UI가 표시됩니다.
그 점을 염두에 둔 저희는 내부 조사를 통해 일단 패스 키가 생성되면 확인 화면이 프로세스의 이 단계에서 이해와 종료 측면에 있어 큰 도움이 될 수 있다는 점을 알게 되었습니다.
확인 화면은 사용자를 위한 패스 키 안내 및 자체적인 패스 키 생성 과정의 여정을 완료하기 위한 의도적인 ‘일시 중지’ 화면입니다. 사용자가 패스 키를 처음 사용했을 가능성이 있으므로 이 페이지는 여정의 분명한 마무리가 목표입니다. 구조화되고 안정적인 종단 간 경험을 제공하기 위해 소규모 알림과 생성 후 이메일 같은 다른 도구를 시도해 본 후 독립형 페이지를 선택했습니다.
사용자가 여기서 '계속(Continue)'을 클릭하면 목적한 페이지로 이동합니다.
다음에 사용자가 로그인하려고 하면 이 페이지가 표시됩니다. 이 페이지는 위에서 설명한 첫 번째 ‘생성‘의 경험을 상기시키기 위해 동일한 레이아웃, 그림, 기본 행동 유도 문안을 사용합니다. 사용자가 패스 키 등록을 선택하면 이 페이지가 익숙하게 느껴지고 로그인에 필요한 단계를 인식하게 됩니다.
여기에도 익숙함의 원리가 똑같이 적용됩니다. 의도적으로 동일한 아이콘, 그림, 레이아웃, 텍스트를 사용합니다. WebAuthn UI 내의 텍스트는 간결하고 광범위하고 재사용 가능한 상태로 유지되므로 모두 인증과 재인증 둘 다에 이 UI를 사용할 수 있습니다.
Google 계정의 설정 페이지 내에 완전히 새로운 페이지를 도입하기 위해서는 응집력 있고 직관적이며 일관된 사용자 경험을 보장할 수 있도록 세심한 고려가 필요했습니다.
이를 실현하기 위해 Google 계정 전반에 존재하는 탐색, 콘텐츠, 계층, 구조 및 확립된 기대치에 관한 패턴을 분석했습니다.
이해하기에 논리적인 상위 수준 카테고리 시스템을 만들고자, 저희는 생태계별로 패스 키를 설명하기로 했습니다. 이렇게 하면 사용자는 패스 키가 생성된 위치와 사용되는 위치를 인식할 수 있습니다. 각 ID 공급업체(Google, Apple, Microsoft)는 각자의 생태계 이름을 가지고 있으므로 저희는 그것(Google Password Manager, iCloud 키 체인, Windows Hello)을 사용하기로 했습니다.
이를 지원하기 위해 메타데이터 생성 시점, 마지막 메타데이터 사용 시점, 메타데이터가 사용된 특정 OS 등의 메타데이터를 더 추가했습니다. 사용자 관리 작업 측면에서 API는 이름 바꾸기, 취소, 생성만 지원합니다.
사용자는 이름 바꾸기를 통해 패스 키에 개인적으로 의미 있는 이름을 할당할 수 있으며, 이는 특정 사용자 집단이 패스 키를 더 쉽게 추적하고 이해하는 데 도움이 될 수 있습니다.
패스 키를 취소해도 사용자의 개인 사용자 인증 정보 관리자(예: Google Password Manager)에서 패스 키가 삭제되지는 않지만, 패스 키를 다시 설정해야 사용할 수 있습니다. 그래서 패스 키를 취소하는 동작을 표현하기 위해 휴지통이나 삭제 아이콘 대신 X 아이콘을 선택했습니다.
계정에 패스 키를 추가하는 동작을 설명할 때 'Add a passkey'보다 'Create passkey'라는 문구가 사용자들에게 더 큰 호응을 받았습니다. 이는 패스 키를 유형의 하드웨어 보안 키와 구별하기 위한 섬세한 언어 선택입니다(단, 패스 키를 일부 하드웨어 보안 키에 저장할 수 있다는 점에 유의해야 함).
내부 조사에 따르면 패스 키 사용이 비교적 원활하고 친숙한 경험인 것으로 보입니다. 그러나 여느 신기술과 마찬가지로 일부 사용자에게는 여전히 의문과 우려가 남아 있습니다.
이 기술이 화면 잠금 이면에서 작동하는 방식과 이 기술을 더 안전하게 만드는 방법, 테스트에서 Google이 겪은 가장 일반적인 '가상(what if)' 시나리오는 Google의 패스 키 고객센터 콘텐츠에서 설명해 드립니다. 어떤 사이트에서든 사용자가 쉽게 전환할 수 있도록 패스 키 출시와 함께 지원 콘텐츠를 준비하는 것이 매우 중요합니다.
사용자가 패스 키로 인증하도록 요청받을 때 '다른 방법 시도(try another way)'를 클릭하기만 하면 이전 시스템으로 간단히 되돌아갈 수 있습니다. 또한 WebAuthn UI를 종료하면 사용자가 패스 키를 다시 시도하거나 기존 방식으로 Google 계정에 로그인할 수 있습니다.
아직은 패스 키 초기 단계이므로 사용자 환경을 설계할 때 아래 몇 가지 원칙을 기억해 두세요.
Google 계정의 패스 키에 대한 선택은 권장사항과 내부 조사를 통해 알 수 있었으며, 실제 사용자로부터 새로 유용한 정보를 얻음에 따라 지속적으로 사용자 경험을 발전시킬 것입니다.
