패스키 계정 1280만개 돌파한 메루카리… 일본이 보여준 인증 혁신 [어센티케이트 APAC]

작성일 06-04

<div id="layerTranslateNotice" style="display:none;"></div> 로그인 성공률 82.5%, 인증 시간 4.4초로 개선 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="ZlSsqwhDLg">
 "패스키 계정이 1200만개를 넘기까지는 긴 시간이 걸렸다. 하지만 신뢰와 안전, 사용자 경험, 비용 절감 측면에서 패스키는 가장 효과적인 선택지였다. 특히 패스키 계정에서는 비밀번호와 SMS 로그인을 제거해 피싱 가능한 우회 경로를 줄였다는 점이 보안상 큰 성과다."
 일본은 디지털 전환이 느리다는 평가를 받기도 하지만, 일본 대표 소비자간거래(C2C) 플랫폼 메루카리(Mercari)는 패스키(Passkey)를 대규모 서비스에 적용한 선도 사례로 꼽힌다. 메루카리는 메루카리, 메루페이, 메루코인 등 전자상거래·핀테크 서비스를 아우르는 통합 계정 환경에서 패스키를 확산해 왔다. 2026년 5월 기준 패스키 계정은 1280만개를 넘어섰고, 이는 월간활성이용자(MAU)의 절반을 넘는 규모다.
 <div contents-hash="988a899dbffaa9b0474b23fa48c9110669d291e2b46c469d324e3188291a8964" dmcf-pid="tTyCKsvmLn" dmcf-ptype="general">
 이치하라 나오히사(Naohisa Ichihara) 메루카리 그룹 최고정보보호책임자(CISO)는 이달 3일 싱가포르 그랜드 하얏트 호텔에서 열린 '어센티케이트 APAC 2026(Authenticate APAC 2026)'에서 '전자상거래·핀테크 애플리케이션에서의 패스키 도입 사례(Mercari's Case Study of Passkey Adoption in E-commerce and Fintech Application)'를 주제로 발표하며 이 같은 경험을 공유했다.
 </div>
 <figure class="figure_frm origin_fig" contents-hash="16f3d804ce07b262a4057ec121634a726cbe1d19872c3efd1e1c9a0033e3b345" data-idxno="444464" data-type="photo" dmcf-pid="FyWh9OTsdi" dmcf-ptype="figure">
 <img alt="이치하라 나오히사(Naohisa Ichihara) 메루카리 그룹 최고정보보호책임자(CISO) / FIDO 얼라이언스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/04/552810-SDi8XcZ/20260604153936708hwmp.jpg" data-org-width="1280" dmcf-mid="HU1YPTZveN" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/04/552810-SDi8XcZ/20260604153936708hwmp.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 이치하라 나오히사(Naohisa Ichihara) 메루카리 그룹 최고정보보호책임자(CISO) / FIDO 얼라이언스
 </figcaption>
 </figure>
 어센티케이트 APAC 2026은 FIDO 얼라이언스가 주최하는 디지털 신원·피싱 저항 인증 콘퍼런스다. 아시아·태평양 지역에서 올해 처음 열린 이번 행사는 패스키, 디지털 신원, 금융·결제, AI 에이전트 시대의 인증 문제를 주요 의제로 다뤘다.
 피싱 피해가 패스키 도입 압박으로
 메루카리는 2013년 출범한 일본의 온라인 중고거래(C2C) 플랫폼이다. 이후 메루페이(Merpay), 메루코인(Mercoin) 등 결제·가상자산 영역으로 서비스를 넓혔다. 흔히 국내 이용자들에게 '일본판 당근마켓'으로 불린다. 다만 하나의 모바일 앱 안에 전자상거래와 핀테크 기능이 결합된 형태라 계정 탈취 피해가 결제·자산 영역으로 번질 수 있다는 점에서 보안 요구 수준이 높다.
 메루카리가 패스키 도입을 본격 검토한 배경에는 일본 내 피싱 피해 확대가 있다. 이치하라 CISO는 일본에서 2024년 피싱 신고가 170만건에 달했다고 설명했다. 메루카리 역시 2021~2022년 대규모 피싱 사이트와 금전 피해를 겪었고, 이 문제가 사업부와 경영진 차원의 대응 과제로 떠올랐다.
 2019년 메루카리는 로그인 시 다중요소인증(MFA)을 의무화했고, 이후 SMS 일회용비밀번호(OTP)를 활용했다. 그러나 SMS OTP만으로는 피싱과 계정 탈취 위험을 충분히 줄이기 어려워졌고, 2023년 3월 메루코인 출시 시점에 맞춰 FIDO 기반 패스키를 도입하게 됐다.
 초기 패스키 적용 범위는 재인증과 메루코인 등 일부 서비스 로그인에 한정됐다. 송금 전 확인, 중요 정보 변경 같은 민감 작업에서 SMS 인증을 패스키로 대체하고, 보안 요구 수준이 높은 서비스 로그인에 먼저 적용했다. 이후 메루카리 앱 전반의 로그인 수단으로 패스키를 확대 적용했다.
 이 과정에서 핵심은 패스키를 보조 인증으로만 두지 않았다는 점이다. 메루카리는 패스키를 등록한 계정을 '패스키 계정'으로 구분하고, 해당 계정에서는 비밀번호와 SMS 인증 기반 로그인을 비활성화했다. 패스키가 작동하지 않을 때 비밀번호로 되돌아가는 구조를 남기면 피싱 가능한 경로가 계속 열린다고 본 것이다.
 패스키는 비밀번호 대신 공개키·개인키 쌍을 활용하는 FIDO 기반 인증 방식이다. 이용자가 서비스에 패스키를 등록하면 개인키는 스마트폰이나 PC, 보안키 등 사용자가 가진 기기나 자격증명 관리자에 저장되고, 공개키는 서비스 서버에 등록된다. 로그인할 때 이용자는 비밀번호를 입력하지 않고 기기 안의 개인키로 서명하며, 서비스는 서버에 등록된 공개키로 이를 검증한다. 비밀번호처럼 입력해 넘기는 정보가 없고 인증 정보가 서비스 도메인과 연결돼 있어 피싱 사이트에서 탈취·재사용되기 어렵다.
 복구는 마이넘버카드 기반 IC-KYC로 보완
 패스키 계정에서 비밀번호·SMS 우회로를 끊으면 계정 복구가 더 중요해진다. 이용자가 기기를 잃어버리거나 패스키를 쓸 수 없는 상황이 생겼을 때, 기존처럼 고객지원 이메일로 문서를 보내 계정을 복구하는 방식은 사용자 경험과 보안 양쪽에서 한계가 있다. 복구 절차 자체가 공격 대상이 될 수도 있다.
 <div contents-hash="e4e96b8fbd4c0b4ac5e486fa2216431c2d11162b607c4c4c9434af7c42ec7029" dmcf-pid="KedPC4Rfe4" dmcf-ptype="general">
 메루카리는 이를 보완하기 위해 2025년 iOS 패스키 계정에 마이넘버카드 기반 IC-KYC 셀프 계정 복구를 도입했다. IC-KYC는 신분증에 내장된 IC칩 정보를 활용해 이용자가 실제 본인인지 확인하는 고객확인(KYC·Know Your Customer) 방식이다. 이용자는 스마트폰으로 마이넘버카드를 읽어 본인 확인을 진행하고, 이후 패스키를 다시 등록할 수 있다. 2026년 4월 기준 일본인의 82.7%가 마이넘버카드를 보유하고 있다.
 </div>
 <figure class="figure_frm origin_fig" contents-hash="f13c688c50d9f3f4699f9fe9b1223c507386458652cc1abd5719730379dc7af9" data-idxno="444469" data-type="photo" dmcf-pid="9dJQh8e4Jf" dmcf-ptype="figure">
 <img alt="메루카리의 로그인 화면에서 패스키를 선택한 모습 / 메루카리 홈페이지 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/04/552810-SDi8XcZ/20260604153938068wciz.png" data-org-width="1280" dmcf-mid="XP8KEqfzia" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/04/552810-SDi8XcZ/20260604153938068wciz.png" width="658">
 <figcaption class="txt_caption default_figure">
 메루카리의 로그인 화면에서 패스키를 선택한 모습 / 메루카리 홈페이지 갈무리
 </figcaption>
 </figure>
 이치하라 CISO는 이 방식이 고객지원 이메일을 거치는 복구보다 높은 수준의 본인확인을 제공한다고 설명했다. 최근에는 외부 KYC 사업자의 신원확인 솔루션도 계정 복구 절차에 추가했다. 비밀번호·SMS로 되돌아가는 대신, 본인확인을 거쳐 패스키를 다시 등록하는 복구 경로를 넓히려는 조치다.
 이는 이번 '어센티케이트 APAC 2026' 첫째날 메인 스테이지 세션에서 리키 몬델로(Ricky Mondello) 애플 수석 소프트웨어 엔지니어가 발표한 '패스키 활용 극대화(Getting the Most out of Passkeys)' 발표의 핵심과도 맞닿아 있다. 애플은 자사 운영체제 전반의 자격증명 관리 생태계에서 패스키를 기본 인증 수단으로 확산시키는 방식을 소개했고, 메루카리는 일본 내 대규모 소비자 서비스 환경에 로그인·재인증·계정 복구 운영에 적용한 사례를 보여줬다. 두 사례 모두 패스키를 단순 보조수단이 아니라 피싱 가능한 인증 경로를 줄이는 '전환 수단'으로 보고 있다는 점에서 맥락이 같다.
 메루카리의 패스키 성과는 수치로도 확인됐다. 이치하라 CISO에 따르면 메루카리의 패스키 등록 계정은 2026년 5월 기준 1280만개를 넘어섰고, 월간활성이용자(MAU)의 50% 이상을 차지했다. 로그인 방식 비중에서도 패스키는 37%로 가장 높은 비중을 차지했다. 아직 비밀번호 기반 계정도 상당수 남아 있지만, 패스키가 주요 로그인 수단으로 자리 잡은 것이다.
 인증 성공률과 속도도 크게 개선됐다. 이치하라 CISO는 SMS 인증만 쓸 때 인증 성공률이 67.6%였지만, 패스키 기반 흐름에서는 82.5%로 높아졌다고 밝혔다. 인증에 걸리는 시간도 24.9초에서 4.4초 수준으로 줄었다. SMS 발송 비용을 줄일 수 있다는 점도 패스키 도입 동기 중 하나로 제시됐다.
 다만 아직 개선 과제도 남아 있다. 기존 이용자를 패스키 계정으로 옮기는 일은 쉽지 않다. 이치하라 CISO는 메루카리가 3년 가까이 이용자에게 패스키 등록을 유도해 왔고, 1200만개 이상 계정까지 도달하는 과정도 "길고 긴 여정"이었다고 소회했다.
 그럼에도 이날 메루카리 사례는 의미가 크다는 평가를 받았다. 일본이 IT 기술에 뒤처졌다는 국내의 일반적 인식과 달리, 메루카리와 같은 IT 기반 대형 소비자 서비스 기업은 패스키 운영에서 글로벌 표준에 빠르게 맞춰 가고 있다. 메루카리는 패스키를 단순 편의 기능이 아니라 계정 보안 체계 전반의 전환 수단으로 활용했다. 특히 로그인, 재인증, 계정 복구까지 함께 설계해야 피싱 저항 인증이 실제 서비스 환경에서 작동한다는 점을 보여준 사례로 평가된다.
 싱가포르=정종길 기자 jk2@chosunbiz.com
 </section> 
 </div> 
 Copyright © IT조선. 무단전재 및 재배포 금지.

이전

이재명 정부 1년…“수송 부문, 온실가스 감축 낙제점”

06-04
다음

IBM, AI 기반 개발시장 진출···통합 관리 기능 내세워

06-04

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

패스키 계정 1280만개 돌파한 메루카리… 일본이 보여준 인증 혁신 [어센티케이트 APAC]

멤버랭킹

관련자료

멤버랭킹