2025년 9월 Windows 미리 보기 업데이트를 설치한 후 보안 키에 PIN이 필요할 수 있습니다.

업데이트된 환경

Windows 업데이트, 2025년 9월 29일- KB5065789(OS 빌드 26200.6725 및 26100.6725) 미리 보기 또는 이후 업데이트를 설치한 후에는 PIN이 필요하지 않았거나 초기 등록 중에 설정되지 않은 경우에도 보안 키로 로그인할 PIN을 만들어야 할 수 있습니다.

이 동작은 RP(신뢰 당사자) 또는 IDP(ID 공급자)가 PIN 집합이 없는 빠른 FIDO2(IDentity Online 2) 보안 키를 사용하여 인증하는 동안 User Verification = Preferred 요청할 때 발생합니다.

원인

이는 WebAuthn 사양을 준수하도록 구현된 동작입니다.

이 동작에 대한 지원은 2025년 9월 29일 미리 보기 업데이트(KB5065789)를 설치한 후 Windows 11 디바이스에 점진적으로 배포되기 시작했습니다. Windows 보안 업데이트, 2025년 11월 11일- KB5068861(OS 빌드 26200.7171 및 26100.7171) 이상 업데이트를 설치한 후 Windows 11 클라이언트에서 롤아웃이 완료되었습니다.

이러한 업데이트는 RP(신뢰 당사자)가 WebAuthn 인증 흐름의 PublicKeyCredentialRequestOptions에서 "userVerification"을 "기본 설정"으로 설정한 경우 보안 키에 대한 PIN 설정에 대한 지원을 추가했습니다.

배경

UV(사용자 확인)는 사용자가 존재하고 일반적으로 PIN 또는 생체 인식을 통해 보안 키를 사용할 권한이 있는지 확인합니다. 사용자 확인을 Discouraged, Preferred또는 Required로 설정할 수 있습니다. 

User Verification = Preferred 인증자가 수행할 수 있는 경우 RP가 사용자 확인을 원한다는 것을 의미합니다. 즉, PIN을 설정해야 하는 경우 플랫폼에서 설치해야 합니다.

User Verification = Discouraged RP가 사용자 확인을 원하지 않음을 의미합니다. PIN이 설정되지 않은 경우 인증자 구성에 필요한 경우가 아니면 그렇게 할 필요가 없습니다.

인증 흐름에서 PIN 설정에 대한 지원이 등록 및 인증 흐름 모두에서 일관되도록 추가되었습니다.

새 단계

신뢰 당사자가 사용자 확인을 원하지 않고 사용자가 보안 키에 대한 PIN을 만들거나 입력하지 않도록 하려면 PublicKeyCredentialRequestOptions에서 "userVerification"을 "권장 안 함"으로 설정해야 합니다.