코인 거래소 패스키 로그인, OTP 코드가 없는데 왜 더 안전하다고 할까

코인 거래소에서 패스키 로그인을 켜면 OTP 숫자를 입력하지 않고도 계정에 들어갈 수 있습니다. 그래서 처음에는 보안 단계를 건너뛰는 것처럼 보이지만, 실제 핵심은 숫자 입력을 줄이는 데 있지 않습니다. 키가 거래소의 진짜 사이트와 내 기기 쪽에 묶여 있다는 점입니다.

코드보다 사이트를 먼저 보는 키

OTP 앱은 짧은 숫자를 보여 주고, 사용자는 그 숫자를 로그인 화면에 옮겨 적습니다. 문제는 가짜 사이트도 그 숫자를 입력받을 수 있다는 점입니다. 화면이 비슷하면 사용자는 내가 어느 사이트에 코드를 넣고 있는지 놓칠 수 있습니다.

패스키는 흐름이 다릅니다. Kraken은 패스키가 웹사이트나 앱의 identity에 묶이기 때문에, 브라우저와 운영체제가 그 패스키를 원래 만들어진 사이트나 앱에서만 쓰도록 확인한다고 설명합니다. Crypto.com도 패스키의 암호화 키 쌍이 기기 안에서 만들어지고 안전하게 저장된다고 안내합니다. 독자 입장에서는 “숫자를 안 치니 약하다”가 아니라 “숫자를 다른 사이트에 넘길 일이 줄어든다”에 가깝게 봐야 합니다.

이 차이가 거래소에서는 큽니다. 코인 거래소 계정은 단순 로그인 계정이 아니라 잔고, 주문, 출금 설정이 붙어 있습니다. 비밀번호와 OTP를 동시에 속이는 피싱 화면보다, 사이트 주소와 기기 인증을 같이 확인하는 방식이 더 단단한 방어선이 될 수 있습니다.

내 얼굴을 거래소가 가져가는 건 아닙니다

패스키를 만들 때 지문, 얼굴 인식, 화면 잠금 PIN이 뜨면 생체 정보가 거래소로 넘어가는 것처럼 느껴질 수 있습니다. 하지만 Kraken은 생체 정보가 거래소에 직접 저장되거나 사용되는 것이 아니라, 기기의 보안 영역에 남는다고 설명합니다.

거래소가 확인하는 것은 “이 기기가 등록된 키를 쓸 수 있는가”에 가깝습니다. 지문이나 얼굴은 그 키를 꺼내 쓰기 위한 내 기기 안의 잠금장치입니다. 은행 앱에서 얼굴 인식으로 앱을 여는 느낌과 비슷하지만, 패스키는 여기에 사이트와 묶인 인증이라는 성격이 더 붙습니다.

그래서 패스키를 켰다고 해서 계정 비밀번호, 보안 알림, 출금 확인을 모두 가볍게 봐도 되는 것은 아닙니다. 로그인 문턱을 더 안전하고 빠르게 넘는 수단이지, 계정 안의 모든 행동을 자동으로 안전하게 만드는 장치는 아닙니다.

어디에 저장했는지가 중요합니다

패스키가 편한 이유는 저장 위치에 따라 여러 기기에서 쓸 수 있기 때문입니다. Crypto.com은 패스키를 만들 때 iCloud Keychain, 휴대폰·태블릿·보안 키, Chrome Profile 같은 저장 위치를 선택하는 흐름을 보여 줍니다. 같은 말이라도 어디에 저장했는지에 따라 새 기기에서 따라오는지, 특정 기기 하나에만 남는지가 달라집니다.

이 말은 장점이면서 확인할 점이기도 합니다. 새 휴대폰으로 바꿨는데 같은 iCloud나 Google 계정에 로그인되어 있으면 패스키가 자연스럽게 따라올 수 있습니다. 반대로 특정 브라우저나 특정 기기에만 묶인 패스키라면, 그 기기를 잃거나 초기화했을 때 바로 막힐 수 있습니다.

Kraken은 여러 기기에서 쓸 수 있는 roaming 방식과 특정 기기·브라우저에 묶인 device-bound 방식처럼 패스키 유형을 나눠 설명합니다. 이름을 외울 필요는 없습니다. 거래소 보안 설정에서 이 패스키가 클라우드 키체인에 저장된 것인지, 하드웨어 보안 키에 들어간 것인지, 지금 쓰는 기기 하나에만 묶인 것인지 정도는 구분해 두는 편이 좋습니다.

백업 없는 편의는 위험합니다

패스키를 쓰기 시작할 때 가장 피해야 할 상황은 “하나만 믿고 나머지를 지우는 것”입니다. Kraken은 여러 2FA 방법을 활성화하면 한 인증 기기를 쓸 수 없을 때 계정 접근 문제를 줄일 수 있다고 설명합니다. 패스키가 빨라서 편하더라도, 복구 수단까지 같이 남겨 두는 쪽이 안전합니다.

Crypto.com은 계정에 여러 패스키를 추가할 수 있고, 패스키가 로그인뿐 아니라 출금 같은 행동 확인에도 쓰일 수 있다고 설명합니다. 이런 거래소에서는 패스키가 단순 로그인 버튼이 아니라 자금 이동 전 확인 단계까지 이어질 수 있습니다. 휴대폰 하나에만 모든 인증을 몰아두면 편하지만, 그 휴대폰이 고장 났을 때는 편의가 그대로 막힘으로 바뀝니다.

실제로는 두 가지를 같이 두는 식이 낫습니다. 매일 쓰는 휴대폰에는 클라우드 동기화 패스키를 두고, 별도로 보관하는 보안 키나 다른 2FA 방법을 남겨 둡니다. 거래소가 복구 절차를 제공하더라도, 신분 확인과 대기 시간이 붙을 수 있으니 발행 전후로 큰 금액을 움직일 계획이 있을 때는 더 조심해야 합니다.

지갑 서명과는 다른 화면

패스키 화면과 지갑 서명 화면은 둘 다 지문이나 얼굴 인식을 요구할 수 있어서 헷갈립니다. 하지만 두 화면이 뜻하는 바는 다릅니다. 패스키는 거래소 계정에 로그인하거나 거래소 안의 보안 확인을 통과하기 위한 인증이고, 지갑 서명 요청은 지갑 주소가 특정 메시지나 권한에 동의한다는 표시가 될 수 있습니다.

또 거래소 API 키와도 다릅니다. API 키는 외부 프로그램이나 봇이 계정 정보를 읽거나 주문을 넣도록 허용하는 별도 권한입니다. 패스키로 로그인했다고 해서 API 키 권한이 줄어드는 것도 아니고, API 키를 안전하게 만든 것도 아닙니다.

보안 설정 화면에서 패스키, 2FA, 지갑 연결, API 키가 따로 보이면 한 묶음으로 생각하지 않는 것이 좋습니다. 로그인 인증은 로그인 인증대로, 외부 권한은 외부 권한대로, 지갑 서명은 지갑 서명대로 확인해야 합니다.

켜기 전 세 가지

패스키를 켜기 전에는 먼저 거래소 주소와 앱이 공식 경로인지 확인합니다. 패스키가 피싱에 강한 방식이라도, 설정을 시작하는 화면 자체가 가짜라면 첫 단추가 잘못됩니다.

둘째, 저장 위치를 봅니다. iCloud Keychain, Google Password Manager, Chrome Profile, 하드웨어 보안 키처럼 어디에 저장되는지에 따라 새 기기에서의 접근성과 분실 리스크가 달라집니다. 하드웨어 보안 키에 저장한 패스키는 디지털 탈취 위험이 낮지만, 물리적으로 잃어버리지 않게 관리해야 합니다.

셋째, 백업 방법을 남깁니다. 패스키 하나가 편하다고 SMS, 인증 앱, 보안 키, 보안 프롬프트 같은 다른 방법을 모두 지우면 복구가 어려워질 수 있습니다. 패스키는 OTP를 없애는 약한 지름길이 아니라, 로그인 피싱 위험을 줄이는 새 인증 수단입니다. 다만 안전하게 쓰려면 “어디에 저장했는가”와 “무엇으로 복구할 수 있는가”를 같이 봐야 합니다.

공식 도움말로는 Kraken의 패스키 설명과 Crypto.com Exchange의 패스키 사용 안내를 확인할 수 있습니다. 거래소마다 지원 기기, 복구 절차, 출금 확인 적용 범위가 다를 수 있으니 실제 계정에서는 해당 거래소의 최신 보안 설정 화면을 기준으로 봐야 합니다.