쉬운 보안 용어집

"패스키", "공개키", "AES", "PWA"…… 보안 분야는 약어 천지입니다. 여기서는 약어를 풀어 쓰고, 가능한 한 일상의 비유로 함께 설명합니다.

최종 업데이트: 2026년 5월

로그인과 키

공개키 / 개인키(Public key / Private key)

한 쌍의 키. 공개키는 안전하게 공개해도 됩니다 — 누구나 쓸 수 있는 자물쇠처럼. 개인키는 그 자물쇠를 열 수 있는 유일한 열쇠로, 절대 남에게 주지 않습니다. 이 한 쌍 덕분에 키 자체를 주고받지 않고도 안전하게 정보를 교환할 수 있습니다.

패스키(Passkey)

비밀번호 없는 로그인 방식. 키는 휴대폰, PC, 또는 YubiKey 같은 보안 키 안에 만들어집니다. 본인 확인 방법은 기기에 따라 다릅니다 — 휴대폰과 PC는 지문이나 얼굴 인식, YubiKey는 "금속 접점 터치"에 필요 시 PIN 추가(주의: 일반 YubiKey에는 지문 센서가 없습니다). 기억할 것이 없고 피싱에도 매우 강합니다.

WebAuthn(Web Authentication) / FIDO2(Fast IDentity Online 2)

패스키를 브라우저에서 동작하게 하는 표준. 웹사이트가 브라우저에게 "이 사용자를 기기나 키로 인증하라"라고 요청하는 방식을 정의합니다. FIDO2는 그 아래의 더 넓은 규격 군입니다.

PRF(Pseudo-Random Function, 의사난수 함수)

YubiKey로부터 "같은 비밀 값을, 그 키 고유의 형태로" 요청 시 꺼내는 방식. Arpass는 이를 사용해 각 등록 YubiKey마다 별도의 암호화 키를 파생합니다.

2FA(Two-Factor Authentication) / MFA(Multi-Factor Authentication)

비밀번호 외에 추가 확인 단계를 더하는 것 — 휴대폰의 코드, YubiKey 터치 등. "문에 자물쇠 두 개." MFA는 더 일반적인 용어로 두 가지 이상 요소를 조합한다는 의미.

OTP(One-Time Password, 일회용 비밀번호)

30초 정도마다 바뀌는 일회성 숫자 코드. 도난당해도 금방 만료. 2FA에 흔히 사용.

암호화의 원리

암호화 / 복호화(Encryption / Decryption)

암호화는 키로 데이터를 읽을 수 없게 바꾸는 것. 복호화는 키로 다시 되돌리는 것. 그게 전부입니다.

AES(Advanced Encryption Standard, 고급 암호화 표준)

오늘날 가장 널리 쓰이는 암호화 방식. 같은 키로 암호화하고 복호화("대칭 암호화"). "AES-256"은 키 길이가 256비트라는 뜻 — 매우 강력.

RSA(Rivest–Shamir–Adleman) / ECC(Elliptic Curve Cryptography, 타원 곡선 암호)

둘 다 공개키 암호. RSA는 오래 사용된 고전(세 발명자 이름에서). ECC는 새것이며 같은 강도를 더 짧은 키로 달성해 휴대폰과 YubiKey에서 점차 표준이 되고 있습니다. 수학은 복잡하지만 몰라도 쓸 수 있습니다.

해시(Hash)

데이터를 고정 길이의 "지문" 문자열로 바꿉니다. 같은 입력은 항상 같은 지문을 만들지만, 지문에서 원본을 거꾸로 알아낼 수는 없습니다. 변조 탐지나 항목 비교에 사용.

키 파생 / HKDF(HMAC-based Key Derivation Function)

하나의 기반 비밀에서 용도별 키를 안전하게 만들어 내는 방식. 같은 비밀을 그대로 재사용하지 않는 규율.

양자 컴퓨터 / PQC(Post-Quantum Cryptography, 양자 내성 암호)

이론적으로 현재의 공개키 암호(RSA, ECC)를 깰 수 있는 미래의 초강력 컴퓨터. PQC는 그것에 저항하도록 설계된 차세대 암호. 현재는 실제 위협이 아닙니다.

하드웨어(물리 기기)

보안 키 / YubiKey(Security key)

로그인 키를 보관하는 작은 USB / NFC 물리 기기. YubiKey가 가장 잘 알려진 브랜드. 키가 물리적으로 손 안에 있어서 보안이 매우 강력합니다.

사용 방법은 금속 접점 터치, 필요 시 PIN. 일반 YubiKey(5 시리즈, Security Key 시리즈)는 지문 센서가 없습니다. (Yubico의 "YubiKey Bio"는 지문이 있지만 다른 제품군입니다.)

NFC(Near Field Communication, 근거리 무선 통신)

매우 짧은 거리의 무선. "휴대폰을 YubiKey에 갖다 대는" 종류의 통신. 비접촉 교통카드와 같은 계열의 기술.

Secure Enclave(보안 격리 영역)

휴대폰이나 PC 내부의 격리된 전용 영역으로 추가 보호와 함께 키를 저장. 지문·얼굴 데이터와 기기 키가 여기에 있고 밖으로 나오지 않습니다. (이는 휴대폰과 PC에 내장된 것으로 YubiKey와는 다릅니다.)

HSM(Hardware Security Module, 하드웨어 보안 모듈)

키를 절대 외부로 내보내지 않고 처리하는 전용 하드웨어. 은행과 대형 서비스의 서버 측에서 사용.

OpenPGP(개방형 Pretty Good Privacy 표준)

이메일과 파일의 암호화·서명을 위한 오래된 표준. 원조 "PGP"(Pretty Good Privacy)에 기반. YubiKey가 이 키를 보관할 수 있습니다.

PIV(Personal Identity Verification, 개인 신원 확인)

본래 미국 정부 직원을 위한 "스마트 카드" 방식의 신원 확인 표준. 기업 PC 로그인 등에 사용. YubiKey가 이를 지원.

웹과 앱 용어

PWA(Progressive Web App, 프로그레시브 웹 앱)

웹사이트가 앱처럼 동작하도록 만드는 방법. "홈 화면에 추가"로 아이콘을 만들어 전체 화면에서 사이트를 실행. 앱 스토어를 거치지 않습니다.

서비스 워커(Service Worker)

웹 페이지를 위해 백그라운드에서 도는 작은 프로그램. 오프라인 지원과 사이트가 PWA로 자격을 갖추는 데 사용.

Web App Manifest(웹 앱 매니페스트)

PWA의 작은 "설정 파일". 앱 이름, 아이콘, 실행 방식을 정의. 브라우저가 사이트를 앱처럼 다루도록 합니다.

TWA(Trusted Web Activity, 신뢰할 수 있는 웹 활동)

웹사이트를 Android "앱 셸"로 감싸 Google Play에 게시할 수 있게 하는 방법.

IAP(In-App Purchase, 앱 내 결제)

앱 내에서 Apple / Google 결제 시스템으로 디지털 상품을 구매. 스토어가 수수료를 가져갑니다.

CSP(Content Security Policy, 콘텐츠 보안 정책)

웹 페이지에 "스크립트와 이미지는 이 위치에서만 로드 가능"이라고 알려주는 보안 설정. 주입된 악성 스크립트의 실행을 차단.

Arpass 전용 용어

제로 지식(Zero-knowledge)

서비스 운영자가 당신의 데이터 내용을 볼 수 없도록(접근할 수 없도록) 설계한 방식. 암호화는 전적으로 브라우저에서 이루어지며 운영자는 암호화된 바이트만 볼 수 있습니다. Arpass가 이 설계를 채택.

블록체인 / Arweave

"블록체인"은 데이터를 분산 저장하여 변조·삭제가 매우 어렵게 하는 방식. Arweave는 그중에서도 한 번 쓴 것이 영구히 남는 종류의 저장소. Arpass는 여기에 암호화된 데이터를 저장합니다.

MEK(Master Encryption Key, 마스터 암호화 키)

Arpass에서 실제로 당신의 데이터를 암호화하는 마스터 키. MEK 자체는 비밀번호, YubiKey, 기타 "요소"들로 다시 감싸지므로(암호화되므로) 그대로 노출되지 않습니다.

Recovery Secret(복구 비밀)

Arpass의 복구 코드. 모든 기기와 키를 잃었을 때의 최후 수단. 종이에 인쇄해 안전하게 보관. (YubiKey 전용 모드는 Recovery Secret을 사용하지 않습니다.)

관련 글

• YubiKey란 무엇이며 어떻게 선택할까(2026)
• YubiKey vs iCloud / Google 패스키
• YubiKey로 비밀번호 관리 — Arpass의 YubiKey 전용 모드