Mercari, Inc. 는 온라인 및 모바일 결제 솔루션뿐만 아니라 마켓 서비스도 제공하는 일본의 전자상거래 회사입니다. Mercari를 통해 사용자는 마켓에서 상품을 판매하고 오프라인 상점에서 구매할 수 있습니다. 2023년에 패스키를 구현했고 이 문서에서는 이러한 결정을 내린 동기와 이들이 달성한 결과를 설명합니다.
동기
이전에 Mercari는 비밀번호를 사용하고 실시간 피싱 공격을 받았고 사용자를 보호하기 위한 인증 방법으로 SMS OTP를 추가했습니다. 이를 통해 보안은 강화되었지만 실시간 피싱 공격을 완전히 제거하지는 않았습니다. 대량의 SMS OTP를 보내는 것도 비용이 많이 들고 사용자 친화적이지 않은 비용이었습니다.
또한 Mercari는 Mercari에서 사용자가 보유한 잔액으로 비트코인을 사고팔 수 있는 플랫폼인 Mercoin이라는 새로운 서비스도 보유하게 되었습니다. 이 플랫폼은 강력한 보안 요구사항과 패스키로 사용자의 요구사항을 충족합니다.
패스키는 웹사이트나 앱의 ID에 바인딩되므로 피싱 공격으로부터 안전합니다. 브라우저와 운영체제는 패스키를 생성한 웹사이트 또는 앱에서만 패스키를 사용할 수 있도록 합니다. 이렇게 하면 사용자가 정품 웹사이트나 앱에 로그인하지 않아도 됩니다.
사용자가 실제로 원하는 작업이 앱을 사용하여 다른 작업을 할 때 추가 인증 방식을 사용하고 추가 작업을 실행하도록 사용자에게 요구하면 됩니다.
패스키 인증을 추가하면 SMS OTP의 추가 단계가 없어지고 사용자 환경이 개선되는 동시에 실시간 피싱 공격으로부터 사용자를 더욱 안전하게 보호하고 SMS OTP 관련 비용을 절감할 수 있습니다.
결과
900,000개의 Mercari 계정에서 패스키를 등록했고 SMS OTP로 로그인 성공률은 67.7% 인 반면, 이것으로 로그인 성공률은 82.5% 입니다.
패스키를 사용한 로그인은 SMS OTP로 로그인하는 것보다 3.9배 더 빠릅니다. Mercari 사용자가 패스키로 로그인하는 데는 평균 4.4초가 걸리지만 SMS OTP로 로그인하는 데 17초가 걸립니다.
| 성공률 | 인증 시간 | |
|---|---|---|
| SMS OTP | 67.7% | 17초 |
| 패스키 | 82.5% | 4.4초 |
인증 성공률이 높아지고 인증 시간이 짧을수록 사용자 환경이 향상되고 Mercari에서 패스키를 구현하는 데 큰 성공을 거둘 수 있습니다.
Mercari의 패스키 구현에 대해 자세히 알아보기
Mercari에서 패스키로 피싱 방지 환경을 구축하는 데 따르는 문제를 어떻게 해결했는지 자세히 알아보려면 Mercari의 패스키 채택에 관한 블로그를 참고하세요.