2단계 인증은 비밀번호 외에 추가 인증 수단을 요구하여 해커가 비밀번호를 알아도 로그인할 수 없게 만듭니다. 대규모 개인정보 유출 사고가 빈번한 요즘, 2단계 인증은 선택이 아닌 필수입니다. 본 글에서는 2단계 인증의 원리와 그 필요성을 설명하고, 구글, 애플, 네이버, 카카오 등 주요 서비스별 설정 방법을 상세히 다룹니다. 그리고 2단계 인증에서 필요한 백업 코드 관리, 기기 분실 대처 및 하드웨어 보안 키 활용법을 제시합니다.
2단계 인증의 원리
인터넷 서비스의 보안은 대부분 비밀번호에 의존합니다. 아이디와 비밀번호를 입력하면 본인임이 확인되고 서비스를 이용할 수 있습니다. 그러나 비밀번호만으로는 보안이 충분하지 않습니다. 비밀번호는 여러 경로로 유출될 수 있습니다. 첫째, 대규모 데이터 유출 사고입니다. 기업의 서버가 해킹당하면 수백만 명의 계정 정보가 한꺼번에 유출됩니다. 유출된 정보는 다크웹에서 거래되고, 해커들이 이를 이용하여 다른 서비스에 로그인을 시도합니다. 같은 비밀번호를 여러 사이트에서 사용했다면 연쇄적으로 피해를 입습니다. 둘째, 피싱 공격입니다. 가짜 로그인 페이지로 유도하여 비밀번호를 입력하게 만듭니다. 은행, 포털, 쇼핑몰을 사칭한 정교한 피싱 사이트가 많습니다. 이메일이나 문자의 링크를 클릭하면 진짜와 구분하기 어려운 가짜 사이트가 나타납니다. 셋째, 키로거와 악성코드입니다. 컴퓨터나 스마트폰에 설치된 악성코드가 입력하는 모든 키보드 내용을 기록하여 전송합니다. 넷째, 무차별 대입 공격입니다. 자동화된 프로그램으로 가능한 모든 비밀번호 조합을 시도합니다. 짧거나 단순한 비밀번호는 금방 뚫립니다. 다섯째, 사회공학적 공격입니다. 고객센터를 사칭하거나 지인인 척하여 비밀번호를 알아냅니다. 비밀번호를 아무리 복잡하게 만들어도 이러한 공격에는 취약합니다. 강력한 비밀번호도 유출되면 무용지물입니다. 2단계 인증은 이 문제를 해결합니다. 2단계 인증은 비밀번호 외에 추가 인증 수단을 요구합니다. 비밀번호를 입력한 후 두 번째 단계로 다른 방식의 인증을 거쳐야 로그인이 완료됩니다. 해커가 비밀번호를 알아도 두 번째 인증 수단이 없으면 로그인할 수 없습니다. 인증 요소는 세 가지 유형이 있습니다. 알고 있는 것은 비밀번호, PIN 등입니다. 가지고 있는 것은 스마트폰, 보안 키, OTP 생성기 등입니다. 본인인 것은 지문, 얼굴, 홍채 같은 생체 정보입니다. 2단계 인증의 원리는 이 중 두 가지 이상을 조합합니다. 일반적으로 비밀번호와 스마트폰을 조합합니다. OTP는 One-Time Password의 약자로, 일회용 비밀번호입니다. 매번 새로운 번호가 생성되어 한 번만 사용됩니다. 30초마다 바뀌므로 유출되어도 재사용이 불가능하기 때문에 2단계 인증에서 가장 많이 사용되는 방식입니다. 인증 방식에는 여러 종류가 있습니다. SMS 인증은 문자 메시지로 인증 코드를 받습니다. 가장 익숙하고 쉽지만 보안 수준은 낮습니다. 심 스와핑 공격으로 문자를 가로채는 것이 가능합니다. 인증 앱은 스마트폰 앱에서 OTP를 생성합니다. 네트워크 연결 없이 작동하고, SMS보다 안전합니다. 구글 Authenticator, Microsoft Authenticator, Authy 등이 있습니다. 하드웨어 보안 키는 USB나 NFC로 연결하는 물리적 장치입니다. 가장 안전하지만 별도 구매가 필요합니다. YubiKey가 대표적입니다. 푸시 알림은 스마트폰에 로그인 승인 요청이 뜨고, 탭 한 번으로 인증합니다.
서비스별 설정
주요 서비스별 설정 방법을 알아봅니다. 제일 먼저, 지메일, 유튜브, 구글 드라이브 등 많은 서비스와 연결되어 있는 구글 계정의 2단계 인증 설정 방법입니다. 구글 계정 보안 페이지에 접속합니다. myaccount.google.com/security로 이동하거나, 구글에 로그인한 상태에서 프로필, 구글 계정 관리, 보안 탭을 선택합니다. 2단계 인증 항목을 찾아 시작하기를 클릭합니다. 비밀번호를 다시 입력하여 본인 확인을 합니다. 전화번호를 입력하고 SMS 또는 전화로 코드를 받습니다. 받은 코드를 입력하여 전화번호를 확인합니다. 사용 설정을 클릭하면 2단계 인증이 활성화됩니다. 더 안전한 인증 앱을 추가합니다. 2단계 인증 설정 페이지에서 Authenticator 앱 항목을 찾아 설정을 클릭합니다. 스마트폰에 구글 Authenticator 앱을 설치합니다. 앱을 열고 QR 코드 스캔을 선택한 후 화면의 QR 코드를 스캔합니다. 앱에 표시되는 6자리 코드를 입력하면 등록이 완료됩니다. 이후 로그인 시 앱에서 생성되는 코드를 입력합니다. 애플 계정 2단계 인증 설정입니다. 아이폰에서 설정, 사용자 이름, 암호 및 보안, 이중 인증 켜기를 선택합니다. 신뢰할 수 있는 전화번호를 입력합니다. 새 기기에서 로그인하면 기존 애플 기기에 6자리 코드가 표시됩니다. 맥에서는 시스템 환경설정, Apple ID, 암호 및 보안에서 설정합니다. 애플은 자체 시스템을 사용하므로 별도 앱이 필요 없습니다. 네이버 2단계 인증 설정입니다. 네이버에 로그인한 후 네이버 내 정보로 이동합니다. 보안 설정, 2단계 인증을 선택합니다. 네이버 앱 또는 OTP 앱 중 선택합니다. 네이버 앱을 선택하면 스마트폰의 네이버 앱에서 로그인 승인 알림을 받습니다. OTP를 선택하면 인증 앱에 네이버를 등록합니다. QR 코드를 스캔하거나 설정 키를 직접 입력합니다. 생성된 코드를 입력하면 등록이 완료됩니다. 카카오 계정 2단계 인증입니다. 카카오톡 앱에서 더보기, 설정, 개인보안, 카카오계정, 2단계 인증을 선택합니다. 카카오톡 인증 또는 다른 인증 앱을 선택합니다. 카카오톡 인증을 선택하면 새 기기 로그인 시 기존 카카오톡에 승인 요청이 옵니다. 인증 앱을 선택하면 QR 코드를 스캔하여 등록합니다. 금융 서비스와 거래소도 2단계 인증을 설정합니다. 은행 앱은 대부분 자체 OTP를 제공하고, 암호화폐 거래소는 인증 앱 등록을 필수로 요구하는 경우가 많습니다. 자산과 직결되므로 반드시 설정합니다. SNS 계정도 보호합니다. 인스타그램은 설정, 보안, 2단계 인증에서, 트위터는 설정 및 개인정보 보호, 보안 및 계정 액세스, 2단계 인증에서 설정합니다. 페이스북은 설정 및 개인정보, 비밀번호 및 보안, 2단계 인증에서 설정합니다.
기기 분실 대처
2단계 인증을 설정하면 백업 코드를 반드시 저장해야 합니다. 백업 코드는 스마트폰을 분실하거나 인증 앱에 접근할 수 없을 때 사용하는 비상용 코드입니다. 대부분의 서비스에서 2단계 인증 설정 시 백업 코드를 제공합니다. 구글은 2단계 인증 페이지에서 백업 코드 항목에서 10개의 일회용 코드를 받을 수 있습니다. 각 코드는 한 번만 사용할 수 있습니다. 다 사용하면 새로 생성합니다. 백업 코드는 안전한 곳에 보관합니다. 종이에 적어서 금고에 보관하거나, 암호화된 파일로 저장합니다. 클라우드에 그냥 저장하면 클라우드 계정이 해킹될 때 함께 유출되므로 주의합니다. 비밀번호 관리자의 보안 메모 기능을 활용하는 것도 방법입니다. 인증 앱 백업도 중요합니다. 구글 Authenticator는 최근 클라우드 동기화 기능이 추가되었습니다. 앱 설정에서 구글 계정에 로그인하면 다른 기기에서도 복원할 수 있습니다. 다만 보안을 위해 동기화를 사용하지 않는 분들도 있습니다. Microsoft Authenticator는 아이클라우드 또는 마이크로소프트 계정에 백업됩니다. Authy는 여러 기기에서 동시에 사용할 수 있고, 암호화된 클라우드 백업을 제공하여 복구가 쉽습니다. 처음부터 Authy를 사용하면 기기 변경이 편리합니다. 스마트폰 등 기기 분실 대처 방안입니다. 먼저, 백업 코드로 로그인합니다. 백업 코드가 없다면 서비스별 계정 복구 절차를 진행합니다. 신분 확인이 필요하고 시간이 걸릴 수 있습니다. 복구 후에는 분실한 기기에서 로그아웃시키고, 2단계 인증을 새 기기로 재설정합니다. 스마트폰을 바꿀 때는 미리 준비합니다. 새 스마트폰에 인증 앱을 설치하고, 기존 계정을 이전합니다. 구글 Authenticator는 전송 기능이 있어 QR 코드로 계정을 옮길 수 있습니다. Authy는 로그인만 하면 자동으로 복원됩니다. 이전이 어려우면 각 서비스에서 2단계 인증을 해제했다가 새 기기로 다시 설정합니다. 하드웨어 보안 키는 가장 안전한 인증 방식입니다. YubiKey 같은 보안 키는 USB 포트에 꽂거나 NFC로 터치하여 인증합니다. 가짜 사이트에서는 보안 키가 작동하지 않습니다. 물리적으로 보안 키를 가지고 있어야 하므로 원격 해킹이 불가능합니다. 구글, 페이스북, 마이크로소프트 등 주요 서비스에서 지원합니다. 가격은 몇만 원 수준이며, 중요한 계정 보호에 투자할 가치가 있습니다. 분실에 대비하여 두 개를 등록하고 하나는 안전한 곳에 보관하는 것이 좋습니다. 주의할 점도 있습니다. 2단계 인증을 설정한 후 백업 없이 스마트폰을 분실하면 계정에 접근할 수 없게 됩니다. 반드시 백업 코드를 저장하고, 복구 이메일과 전화번호를 최신으로 유지합니다. 공용 컴퓨터에서는 이 기기를 신뢰합니다의 옵션을 선택하지 않습니다. 인증 코드를 다른 사람에게 알려주면 안 됩니다. 고객센터를 사칭하여 코드를 요구하는 사기가 있습니다. 2단계 인증은 현재 가장 효과적인 계정 보호 방법입니다. 지금 바로 중요한 계정에 설정하시기 바랍니다.
요약
비밀번호는 유출, 피싱, 악성코드 등으로 언제든 뚫릴 수 있어 2단계 인증이 필수입니다. 2단계 인증은 비밀번호 외에 스마트폰이나 보안 키 같은 추가 인증을 요구합니다. 인증 방식은 SMS보다 인증 앱이 안전하고, 하드웨어 보안 키가 가장 안전합니다. 구글은 myaccount.google.com/security에서, 애플은 설정의 암호 및 보안에서, 네이버와 카카오는 각 앱의 보안 설정에서 2단계 인증을 활성화합니다. 설정 후 백업 코드를 반드시 안전한 곳에 저장합니다. 인증 앱은 Authy처럼 클라우드 백업을 지원하는 것이 기기 변경 시 편리합니다. 스마트폰 분실 시 백업 코드로 로그인하고, 하드웨어 보안 키는 두 개를 등록하여 하나를 예비로 보관합니다. 인증 코드를 타인에게 알려주지 않으며, 공용 컴퓨터에서 기기 신뢰 옵션을 사용하지 않습니다.