마이크로소프트, 'World Passkey Day' 발표… FIDO 추산 패스키 50억개·사내 99.6% 피싱 저항 인증, Entra Windows·External ID 5월 말 GA·2027년 1월 보안 질문 폐지

마이크로소프트가 World Passkey Day를 맞아 자사 ID 인증 체계의 패스키(passkey) 도입 현황과 향후 로드맵을 공개했다. FIDO Alliance와의 파트너십을 강조하며, 표준 작업 그룹 참여 등 패스워드리스 인증 확산 활동을 이어가겠다고 밝혔다.

FIDO Alliance 추산에 따르면 전 세계에 이미 약 50억 개의 패스키가 사용되고 있다. 마이크로소프트의 OneDrive·Xbox·Copilot 등 컨슈머 서비스에서는 매일 수억 명의 사용자가 패스키로 로그인 중이다. 사내에서는 사용자와 디바이스의 99.6%가 피싱 저항(phishing-resistant) 인증으로 전환됐다.

마이크로소프트는 패스워드 의존을 줄여야 하는 이유로 AI 기반 피싱의 위협을 들었다. 자사 'Microsoft Digital Defense Report 2025'에 따르면 AI 기반 피싱 캠페인의 클릭률은 최대 54%에 달한다. 패스워드와 약한 다요소 인증(MFA)은 피싱에 특히 취약하다는 분석이다.

제품 업데이트도 발표됐다. Microsoft Entra ID에서 동기화 패스키(Synced passkeys)와 패스키 프로필이 클라우드 환경 전반으로 확장된다. 'Entra passkeys on Windows'는 개인 또는 비관리 Windows 기기에서 Windows Hello를 통해 디바이스 바운드 패스키를 만들 수 있게 하며, 2026년 5월 말 정식 출시(GA) 예정이다.

고객용 애플리케이션을 위한 'Passkeys for Microsoft Entra External ID' 또한 2026년 5월 말 GA로 출시된다. 'Passkey-preferred authentication'(프리뷰)은 등록된 인증 방식 가운데 가장 강력한 방법을 우선 노출하며, 패스키가 등록돼 있으면 패스키를 먼저 보여준다. 컨슈머 측 Microsoft Password Manager에는 패스키 저장·동기화 기능이 추가되며, iOS·Android 지원이 Microsoft Edge를 통해 곧 제공될 예정이다.

계정 복구 보안도 강화됐다. 'Microsoft Entra ID account recovery'가 정식 출시(GA)됐으며, 모든 인증 수단을 잃은 사용자는 정부 발급 신분증과 생체 얼굴 검증을 통해 계정에 다시 접근할 수 있다. 신원 검증 파트너로는 기존 Au10tix·IDEMIA·TrueCredential에 1Kosmos와 CLEAR1이 새로 합류했다.

피싱 가능한(phishable) 인증 수단 자체를 제거하는 작업도 진행 중이다. 마이크로소프트는 2027년 1월부터 Microsoft Entra ID에서 보안 질문(security questions)을 비밀번호 재설정 옵션에서 제거한다. 추측과 사회공학에 취약하다는 이유에서다.

마이크로소프트는 지난해 다수 조직과 함께 'Passkey Pledge'에 참여해 피싱 저항 인증 도입 가속을 약속한 바 있다. 회사는 AI 에이전트가 사용자 권한으로 시스템과 워크플로를 실행하는 시대에는 한 번의 ID 탈취가 광범위한 침해로 이어질 수 있다며, 약한 인증 수단을 빠르게 걷어내야 한다고 강조했다.