alltools.one
Security
2025-06-08
7 min
alltools.one Team
2FAAuthenticationSecurityTOTPPrivacy

이중 인증 설정 가이드: 계정을 보호하세요

비밀번호만으로는 충분하지 않습니다. 강력하고 고유한 비밀번호라도 피싱, 데이터 유출, 악성코드를 통해 손상될 수 있습니다. 이중 인증(2FA)은 계정 탈취를 극적으로 어렵게 만드는 두 번째 인증 단계를 추가합니다. 이 가이드에서는 올바르게 설정하는 데 필요한 모든 것을 다룹니다.

2FA란?

이중 인증은 신원을 증명하기 위해 두 가지 다른 유형의 증거를 요구합니다:

  1. 알고 있는 것: 비밀번호
  2. 가지고 있는 것: 전화기, 보안 키, 또는 인증 앱
  3. 본인인 것: 지문, 얼굴 인식

표준 2FA는 비밀번호 (1단계)와 전화기의 코드 또는 보안 키 (2단계)를 결합합니다. 공격자가 비밀번호를 훔쳐도 두 번째 인증 수단 없이는 계정에 접근할 수 없습니다.

2FA 유형

TOTP (시간 기반 일회용 비밀번호) — 권장

인증 앱이 30초마다 새로운 6자리 코드를 생성합니다:

코드: 847 293 (18초 후 만료)

작동 방식: 설정 시 서비스가 인증 앱과 비밀 키를 공유합니다 (보통 QR 코드를 통해). 서비스와 앱 모두 이 키와 현재 시간을 사용하여 독립적으로 같은 코드를 생성합니다.

: Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden.

장점: 오프라인 작동, 전화번호 불필요, SIM 스와핑에 저항력. 단점: 전화기를 잃으면 접근 불가 (백업 코드 없이).

보안 키 (WebAuthn/FIDO2) — 가장 안전

USB, NFC, 또는 Bluetooth를 통해 인증하는 물리적 하드웨어 장치:

브랜드: YubiKey, Google Titan, SoloKeys.

장점: 피싱 방지 (특정 도메인에 바인딩), 코드 입력 불필요, 즉시 작동. 단점: 휴대해야 할 물리적 장치, 비용 발생, 분실 시 제한된 복구 옵션.

SMS 코드 — 가능하면 피하세요

인증 코드가 포함된 문자 메시지:

장점: 앱 불필요, 간단한 설정. 단점: SIM 스와핑에 취약 (공격자가 통신사를 설득해 번호 이전), SMS 가로채기, 셀룰러 서비스 필요.

권장: TOTP나 보안 키를 사용할 수 없는 경우에만 SMS 2FA를 사용하세요. 2FA가 전혀 없는 것보다는 여전히 훨씬 낫습니다.

푸시 알림

서비스가 전화기 앱에 프롬프트를 보내 — "승인"을 탭하여 인증.

장점: 편리함, 로그인 컨텍스트 표시 (위치, 기기). 단점: "푸시 피로" 공격에 취약 (공격자가 사용자가 실수로 승인할 때까지 많은 프롬프트를 트리거).

TOTP 설정

1단계: 인증 앱 설치

백업/동기화를 지원하는 앱을 선택하세요:

  • Authy: 클라우드 백업, 멀티 디바이스 동기화
  • 1Password / Bitwarden: 비밀번호 관리자와 통합
  • Google Authenticator: 심플, 현재 클라우드 백업 지원

2단계: 계정에서 2FA 활성화

대부분의 서비스: 설정 → 보안 → 이중 인증 → 활성화.

3단계: QR 코드 스캔

서비스가 QR 코드를 표시합니다. 인증 앱으로 스캔하세요. 앱이 코드 생성을 시작합니다.

4단계: 인증 코드 입력

현재 6자리 코드를 입력하여 설정을 확인합니다.

5단계: 백업 코드 저장

이것이 가장 중요한 단계입니다. 서비스가 8-10개의 일회용 백업 코드를 제공합니다. 이것이 인증 기기를 잃었을 때의 복구 방법입니다.

백업 코드 저장 위치:

  • 비밀번호 관리자 (암호화)
  • 안전한 장소에 인쇄본 (금고, 안전 금고)
  • 절대로 암호화되지 않은 텍스트 파일이나 이메일에 저장하지 마세요

2FA 우선 계정

이 계정부터 2FA를 활성화하세요 (침해 시 영향 순서):

  1. 이메일 — 모든 다른 계정의 비밀번호 재설정이 이메일을 통해 흐름
  2. 비밀번호 관리자 — 모든 자격 증명 포함
  3. 금융 — 은행, 투자, 암호화폐 계정
  4. 클라우드 스토리지 — Google Drive, Dropbox, iCloud
  5. 소셜 미디어 — 소셜 엔지니어링에 사용될 수 있음
  6. 개발자 계정 — GitHub, npm, AWS, 도메인 등록기관
  7. 쇼핑 — Amazon, 결제 서비스 (저장된 신용카드)

복구 전략

전화기를 잃은 경우

  1. 저장된 백업 코드를 사용하여 로그인
  2. 인증기를 새 기기로 전환 (Authy는 자동 동기화)
  3. 신원 확인으로 고객 지원 연락 (최후 수단)

백업 모범 사례

  • TOTP 비밀 저장: 일부 앱에서 QR 코드나 비밀 키를 내보낼 수 있습니다. 안전하게 저장하세요.
  • 여러 보안 키 등록: 하드웨어 키를 사용한다면 최소 두 개를 등록하세요. 하나를 백업으로 보관.
  • 백업 코드 인쇄: 물리적 사본은 기기 장애에서 살아남습니다.
  • 복구 테스트: 정기적으로 백업 방법이 실제로 작동하는지 확인하세요.

일반적인 실수

  1. 백업 코드 미저장: 가장 흔한 2FA 잠금 원인
  2. SMS만 사용: SIM 스와핑에 취약 — 대신 TOTP 사용
  3. 같은 기기에 인증기와 비밀번호 관리자: 기기가 손상되면 두 인증 수단 모두 위험
  4. 이메일에 2FA 미활성화: 이메일은 다른 모든 것의 복구 메커니즘
  5. 컨텍스트 확인 없이 푸시 알림 승인: 승인 전에 항상 로그인 위치와 기기를 확인

2FA 설정을 보완하는 강력한 비밀번호 생성에는 비밀번호 생성기를 사용하세요.

FAQ

2FA를 우회할 수 있나요?

TOTP는 실시간 피싱 공격 (공격자가 만료 전에 코드를 프록시) 또는 기기의 악성코드로 우회될 수 있습니다. 보안 키 (WebAuthn)는 웹사이트의 도메인을 확인하므로 피싱에 저항력이 있습니다. 100% 완벽한 2FA 방법은 없지만, 모든 방법이 공격 성공률을 극적으로 줄입니다.

비밀번호 관리자의 내장 TOTP를 사용해야 하나요?

비밀번호 관리자에 TOTP 코드를 저장하면 편리하지만 두 인증 수단이 한 곳에 있게 됩니다. 대부분의 사람에게 편의성이 타협할 만한 가치가 있습니다 — 2FA가 있는 비밀번호 관리자는 2FA가 없는 계정보다 훨씬 안전합니다. 고가치 계정에는 별도의 인증 앱이나 하드웨어 보안 키를 고려하세요.

관련 리소스

Published on 2025-06-08
← Back to Blog
Two-Factor Authentication Setup Guide: Protect Your Accounts | alltools.one