비밀번호 관리자를 쓰기 시작했다면 다음 질문은 자연스럽게 passkey, 즉 패스키로 넘어갑니다.

“이제 비밀번호 관리자가 필요 없어지나?"
"패스키를 켜면 2단계 인증은 꺼도 되나?"
"휴대폰을 잃어버리면 패스키도 같이 사라지나?”

2026년 5월 기준 답은 이렇습니다.

패스키는 비밀번호보다 훨씬 나은 로그인 방식으로 자리 잡고 있습니다.
하지만 초급자는 비밀번호 관리자를 버리는 것이 아니라 비밀번호 관리자, 복구 수단, 패스키를 같이 정리하는 것부터 시작해야 합니다.

왜 지금 패스키를 봐야 하나

FIDO Alliance가 2026년 5월 7일 발표한 State of Passkeys 2026 보고서에 따르면, 전 세계에서 활성 사용 중인 패스키는 약 50억 개 규모에 도달했습니다.

같은 보고서는 소비자 쪽에서 다음 수치를 제시합니다.

  • 소비자 90%가 패스키를 알고 있음
  • 75%가 적어도 일부 계정에서 패스키를 켰음
  • 49%는 가능할 때마다 또는 대부분의 경우 패스키를 사용

기업 쪽도 더 이상 실험만 하는 단계는 아닙니다.
FIDO는 500명 이상 조직의 인증 의사결정자 조사에서 68%가 직원 로그인용 패스키를 배포, pilot, rollout 중이라고 설명했습니다.

즉 패스키는 “언젠가 올 미래”보다 이미 주요 계정에서 켜볼 만한 로그인 방식에 가깝습니다.

패스키는 무엇이 다른가

비밀번호는 사람이 기억하고 입력하는 문자열입니다.
서버가 유출되거나, 사용자가 피싱 페이지에 입력하거나, 같은 비밀번호를 여러 곳에서 재사용하면 위험해집니다.

패스키는 구조가 다릅니다.

passkeys.dev는 패스키를 기기에 저장된 secret으로 설명합니다. 사용자는 생체 인증이나 PIN으로 기기 안의 패스키 사용을 승인합니다.

중요한 차이는 세 가지입니다.

  1. 서비스마다 고유합니다.
  2. 서버는 공개 키를 저장하고, 개인 키는 사용자 기기나 credential manager 쪽에 남습니다.
  3. 브라우저와 운영체제가 도메인 연결을 확인하므로 피싱 페이지에서 쓰기 어렵습니다.

그래서 패스키는 비밀번호 재사용, 비밀번호 유출, 가짜 로그인 페이지 입력 문제를 크게 줄입니다.

그렇다고 모든 문제가 사라지지는 않는다

패스키가 좋다는 말과 “아무 준비 없이 켜도 된다”는 말은 다릅니다.

초급자가 특히 봐야 할 것은 복구입니다.

  • 휴대폰을 잃어버렸을 때 계정에 다시 들어갈 수 있는가
  • 새 노트북으로 바꿨을 때 패스키를 옮길 수 있는가
  • iCloud, Google Password Manager, Windows, 1Password 같은 저장 위치를 이해하고 있는가
  • 계정 복구 이메일과 전화번호가 최신인가
  • 중요한 계정에 패스키가 하나만 등록돼 있지는 않은가

패스키는 로그인 보안을 강하게 만들지만, 복구 흐름을 대충 두면 계정 잠김 문제가 생길 수 있습니다.

초급자는 어디부터 켜야 하나

처음부터 모든 계정을 바꾸려 하지 않는 편이 좋습니다.

추천 순서는 이렇습니다.

1. 이메일 계정

가장 먼저 볼 것은 이메일입니다.
다른 계정의 비밀번호 재설정 링크가 이메일로 오기 때문입니다.

Google, Microsoft, Apple 계정처럼 운영체제와 연결된 계정부터 패스키를 켜면 효과가 큽니다.

2. 비밀번호 관리자 계정

비밀번호 관리자 자체 계정은 매우 중요합니다.
여기에는 다른 계정의 비밀번호, 복구 코드, 패스키가 함께 모일 수 있습니다.

가능하면 강한 마스터 비밀번호, MFA, 복구 코드 보관을 먼저 끝낸 뒤 패스키를 켭니다.

3. 금융, 결제, 쇼핑 계정

결제 수단이 묶인 계정은 우선순위가 높습니다.
특히 같은 비밀번호를 여러 쇼핑몰에서 쓰고 있었다면 패스키 전환 효과가 큽니다.

4. 업무 계정

회사 계정은 개인 판단으로 바꾸기 어렵습니다.
관리자가 정책을 켜야 하거나, 특정 기기와 보안 키만 허용될 수 있습니다.

업무 계정은 회사 지침을 먼저 확인해야 합니다.

비밀번호 관리자는 계속 필요한가

필요합니다.

패스키 지원 서비스가 늘고 있지만, 모든 서비스가 패스키를 지원하는 것은 아닙니다.
또 패스키를 쓰더라도 복구 코드, 기존 비밀번호, 보안 질문, MFA 백업 수단을 관리해야 합니다.

현실적인 방향은 이렇습니다.

  • 패스키 지원 계정: 패스키를 기본 로그인으로 사용
  • 아직 패스키가 없는 계정: 비밀번호 관리자에 긴 고유 비밀번호 저장
  • 중요한 계정: 패스키를 2개 이상 등록하거나 복구 수단 점검
  • 모든 계정: 복구 이메일, 전화번호, 백업 코드 최신화

즉 비밀번호 관리자는 사라지는 것이 아니라 패스키와 복구 수단까지 관리하는 금고가 됩니다.

패스키를 켤 때 확인할 체크리스트

패스키를 켜기 전에 아래를 봅니다.

  1. 이 계정의 복구 이메일이 지금도 접근 가능한가
  2. 휴대폰 분실 시 다른 기기에서 로그인할 방법이 있는가
  3. 비밀번호 관리자나 플랫폼 계정 자체에 MFA가 켜져 있는가
  4. 패스키가 어느 곳에 저장되는지 알고 있는가
  5. 보안 키를 쓰는 경우 예비 키가 있는가
  6. 회사 계정이면 조직 정책과 충돌하지 않는가
  7. 계정 복구 코드를 안전한 곳에 보관했는가

이 7개를 모르면 패스키를 켜도 불안합니다.

한 줄 결론

패스키는 2026년에 이미 대중화 단계로 들어왔습니다.
하지만 초급자에게 가장 좋은 전환 방식은 비밀번호 관리자를 버리는 것이 아니라, 중요한 계정부터 패스키와 복구 수단을 같이 정리하는 것입니다.

같이 보면 좋은 글

출처