쉽게 풀어 쓴 2단계 인증

2단계 인증은 대부분의 사람이 아직 사용하지 않고 있는 가장 효과적인 보안 설정입니다. Microsoft가 공개한 수치에 따르면 자동화된 계정 탈취의 99% 이상을 막아줍니다. 그런데도 어색하다는 평이 있는 이유는 일부 — 흔히 말하는 세 가지 방식("SMS 코드", "인증 앱", "보안 키")이 마치 서로 같은 것인 양 다뤄지기 때문입니다. 실제로는 다릅니다. 다음은 실용적인 정리입니다.

2FA가 실제로 하는 일

비밀번호는 끊임없이 유출됩니다. 데이터베이스 덤프, 피싱 페이지, 브라우저 악성코드, 비밀번호 재사용 — 본인의 비밀번호 중 하나가 누군가의 스프레드시트에 올라갈 경로가 너무 많습니다. 2FA는 본인이 아는 것뿐 아니라 본인이 가진 것에 묶인 두 번째 확인을 추가합니다. 비밀번호를 훔친 공격자는 같은 기기에서, 실시간으로, 그 두 번째 요소까지 훔쳐야 하므로 — 훨씬 어렵습니다.

SMS 2FA

여섯 자리 코드가 문자로 옵니다. 입력하면 됩니다. 모든 휴대폰이 이미 이 방식을 지원하니 가장 쉬워서, 받아들일 만한 보안의 최저선이기도 합니다 — 자격증명 스터핑 봇을 막는 데는 충분하지만, SIM 스왑 공격(공격자가 통신사를 설득해 본인 번호를 가져가는 것)이나, 보안이 약한 망에서의 무음 SMS 가로채기에 취약합니다.

적합: 다른 앱을 깔고 싶지 않은 낮은 가치의 계정. 포럼, 쇼핑몰, 메일링 리스트 등.

부적합: 이메일, 은행, 정부 포털, 그리고 다른 계정을 통제하는 모든 것.

인증 앱 (TOTP)

Google Authenticator, 1Password, Bitwarden, Authy 같은 앱은 본인 기기에만 저장된 시드를 기반으로 30초마다 새 여섯 자리 코드를 만들어냅니다. SMS도 통신사도 필요 없고 — 오프라인에서도 동작합니다. 비밀번호와 단일 코드를 동시에 가로채는 피싱은 여전히 가능하지만, SIM 스왑은 더 이상 문제가 되지 않습니다.

설정 팁: 사이트가 QR 코드를 보여줄 때, 그 옆에 표시되는 텍스트 시드도 함께 저장해두세요(대부분의 인증 앱이 시드를 내보낼 수 있습니다). 시드도 복구 코드도 없이 휴대폰을 잃어버리면 모든 계정을 처음부터 다시 설정해야 합니다.

적합: 거의 모든 곳. 대부분의 이메일 제공자, 소셜 플랫폼, 암호화폐 거래소, 개발자 도구가 TOTP를 지원하며, 무료입니다.

보안 키 (FIDO2 / WebAuthn / passkey)

USB나 NFC 형태의 키(YubiKey, Titan, 그리고 최근에는 iOS와 Android 키체인에 내장된 "passkey")로, 로그인 챌린지를 암호학적으로 서명합니다. 결정적으로, 키는 사이트 도메인에 묶여 있어서 — 실제와 똑같이 생긴 피싱 페이지가 와도 서명을 받지 못합니다. 잘 만들어진 피싱을 차단하는 유일한 흔한 2FA 방식입니다.

적합: 주 이메일, 비밀번호 관리자, 잃으면 안 되는 모든 것. 키 두 개를 사서 둘 다 등록하고, 하나는 서랍에 넣어두세요.

임시 번호의 위치

임시 SMS 번호는 최초 가입 단계에 훌륭하지만, 지속적인 SMS 2FA에는 적합하지 않습니다 — 나중에 코드를 받아야 할 때쯤이면 번호가 이미 풀로 반환되었을 것이기 때문입니다. 모범 사례: 임시 번호로 가입하고, 곧바로 계정 보안 설정에서 TOTP를 켜고, 복구 코드를 안전한 곳에 저장하세요. 그러고 나면 임시 번호는 사라져도 괜찮습니다.

복구 코드도 꼭 언급할 것

거의 모든 2FA 설정 화면은 일회용 복구 코드 목록을 제공합니다. 인쇄해두거나 비밀번호 관리자에 저장하세요. 모든 기기를 잃었을 때 다시 들어갈 수 있는 길입니다. 이 단계를 건너뛰지 마세요 — 복구 코드 없이 계정을 되찾으려면 보통 몇 주가 걸리는 신분 증명 절차가 필요합니다.

빠른 권장 사항

• 이메일과 비밀번호 관리자: 보안 키를 우선, 백업으로 TOTP.
• 은행, 증권, 거래소: 그들이 제공하는 가장 높은 수준의 옵션.
• 소셜, 개발 도구, 업무용 SaaS: TOTP.
• 전화번호를 요구하는 무명 포럼: 임시 SMS, 가입 후 TOTP.