인증기 앱 사용 가이드

목차

• 인증기 앱이란?
• 인증기 앱은 어떻게 작동하나?
• 인증기 앱 설정 방법
• 설정 후 인증기 앱 사용법
• 실패 사례와 한계
• 대체 접근법 비교
• 운영자와 사용자를 위한 체크리스트
• 분실/복구 SOP
• 위험 행렬 및 완화책
• 짧은 용어집
• 요약

인증기 앱이란?

인증기 앱은 웹사이트나 서비스에 로그인할 때 추가 인증 단계를 제공하는 모바일 앱입니다. 일반적으로 스마트폰에 설치되어 주기적으로 바뀌는 6자리 숫자 코드를 생성합니다. 이 코드는 로그인 시 두 번째 인증 수단으로 사용되어 비밀번호만으로는 접근할 수 없게 만듭니다.

정의(한 줄): 인증기 앱은 시간 또는 이벤트 기반 일회용 비밀번호를 생성해 계정 접근을 보호하는 앱입니다.

대표 사례: Google Authenticator, Microsoft Authenticator. 이 앱들은 문자(SMS) 대신 로컬에서 생성된 코드를 사용하므로 SIM 스와핑 같은 공격에 더 강합니다.

중요: 인증기 앱은 비밀번호를 대체하지 않습니다. 대신 두 번째 인증 요인으로 작동하여 보안 강도를 높입니다.

인증기 앱은 어떻게 작동하나?

대부분의 인증기 앱은 두 가지 표준 방식 중 하나로 작동합니다.

• 시간 기반 일회용 비밀번호(TOTP): 앱은 공유된 비밀 키와 현재 시간을 바탕으로 30초 주기의 6자리 코드를 생성합니다. 서버도 동일한 알고리즘을 사용해 코드를 검증합니다.
• 이벤트 기반 일회용 비밀번호(HOTP): 사용자가 인증을 요청할 때마다 카운터(이벤트)를 증가시켜 코드를 생성합니다. 새 코드를 요청해야 이전 코드가 만료됩니다.

설정 흐름(간단):

1. 웹사이트 또는 서비스에서 인증기 연동을 허용한다.
2. 서비스는 QR 코드(또는 설정 키)를 생성한다.
3. 인증기 앱으로 QR 코드를 스캔하거나 키를 입력해 비밀 값을 저장한다.
4. 앱과 서버가 같은 비밀 키를 공유하면 코드 생성과 검증이 가능해진다.

보안 포인트: 코드 자체는 기기 내에서 생성되고, 서버에 전송되지 않습니다. 따라서 실시간으로 복제하기 어렵습니다.

인증기 앱 설정 방법

1. 앱 설치: App Store 또는 Google Play에서 인증기 앱을 다운로드합니다.
2. 초기 로그인: 일부 앱은 계정이나 프로필을 요구할 수 있습니다. 기존 계정으로 로그인하거나 로컬 전용 앱으로 바로 사용합니다.
3. 서비스 측 설정으로 이동: 예: Google, Microsoft, 워드프레스, 은행 등의 보안 설정에서 2단계 인증을 선택합니다.
4. QR 코드 스캔 또는 설정 키 입력: 화면에 표시된 QR 코드를 앱으로 스캔하거나 제공된 영숫자 키를 앱에 입력합니다.
5. 백업 키 저장: 서비스가 제공하는 복구 키(설정 키)를 안전한 장소에 따로 저장합니다. 종이로 출력하거나 암호 관리 도구에 보관하세요.

팁: 설정 키는 분실 시 계정 접근을 복구하는 유일한 수단일 수 있습니다. 안전한 오프라인 보관을 권장합니다.

설정 후 인증기 앱 사용법

1. 평상시 로그인: 아이디와 비밀번호로 첫 단계 인증을 통과합니다.
2. 두 번째 단계: 로그인 화면이 추가 코드를 요구하면 인증기 앱에서 현재 표시된 6자리 코드를 확인합니다.
3. 코드 입력: 동일한 숫자가 웹사이트(또는 앱)과 일치하면 접근이 허용됩니다. 숫자를 잘못 입력했다면 30초 후에 새로운 코드로 다시 시도합니다.

주의: 인증기 앱은 기기 분실 시 계정 접근에 영향을 줍니다. 꼭 복구 키와 백업 방법을 마련하세요.

실패 사례와 한계

• 기기를 잃어버린 경우: 인증기 앱에만 의존하면 잠금이 발생할 수 있습니다. 모든 서비스에서 복구 코드나 대체 수단을 제공하지 않습니다.
• 시간 동기화 문제: TOTP는 기기의 시간에 의존합니다. 시간이 크게 어긋나면 코드가 불일치합니다. 기기 시간을 자동으로 동기화하세요.
• QR 코드 훔침: 설정 단계에서 QR 코드나 설정 키를 노출하면 공격자가 같은 코드를 생성할 수 있습니다. 설정 화면은 안전한 환경에서만 열어두세요.
• 오프라인 복구 부족: 일부 서비스는 백업 코드를 제공하지만, 사용자가 이를 저장하지 않으면 복구가 어렵습니다.

언제 실패하는가(실전 예시):

• 해외 여행 중 휴대폰을 분실하고 백업 코드를 준비하지 않은 경우.
• 회사에서 중앙 관리되는 인증 앱을 사용했는데 관리자가 계정을 삭제한 경우.

대체 접근법 비교

1. SMS 기반 2단계 인증

   • 장점: 설정이 간단하고 대부분의 사용자가 즉시 접근 가능.
   • 단점: SIM 스와핑, 문자 가로채기 위험이 있음.

2. 푸시 기반 인증(예: Microsoft Authenticator의 푸시 알림)

   • 장점: 확인 작업이 간단(푸시 수락), 피싱에 더 강함.
   • 단점: 푸시 알림 가로채기 또는 기기 도난 시 위험.

3. 하드웨어 보안 키(FIDO2, U2F)

   • 장점: 가장 강력한 인증 방식 중 하나. 피싱 저항성이 높음.
   • 단점: 물리적 키를 항상 휴대해야 하며 비용 발생.

4. 패스키 및 생체 인증

   • 장점: 비밀번호 없이 안전한 로그인 제공. 플랫폼 간 점진적 채택 중.
   • 단점: 아직 모든 서비스에서 지원하지 않음.

결론: 보안과 편의성의 균형을 고려해 2개 이상의 인증 수단을 마련하는 것이 권장됩니다.

운영자와 사용자를 위한 체크리스트

운영자 체크리스트:

• 서비스에 TOTP/HOTP와 푸시 인증을 모두 지원하는가?
• 사용자에게 복구 코드 발급 절차를 제공하는가?
• 동기화 문제 해결을 위한 가이드(시간 동기화 방법)를 제공하는가?
• MFA 관련 장애 대응 프로세스를 문서화했는가?

사용자 체크리스트:

• 복구 키를 안전한 장소에 보관했는가?
• 인증기 앱을 설치한 기기와 대체 기기를 준비했는가?
• 자동 시간 업데이트가 활성화되어 있는가?
• 중요 계정에 대해 하드웨어 키 또는 백업 수단을 고려했는가?

분실 및 복구 SOP

목적: 인증기 앱을 사용 중 기기 분실/파손 시 계정 접근을 복구하는 표준 절차입니다.

1. 즉시: 분실/도난 발생 시 계정에 연동된 서비스(이메일, 은행 등)에 연락해 임시 잠금 또는 알림을 설정합니다.
2. 복구 코드 사용: 서비스에서 제공한 복구 코드 또는 백업 키로 로그인합니다.
3. 계정 복구 옵션이 없을 경우: 각 서비스의 고객지원(지원 티켓, 신분증 확인 등)을 통해 본인 확인 후 복구를 요청합니다.
4. 기기 교체 후: 새 기기에 인증기 앱을 설치하고, 서비스의 2단계 인증 설정에서 새 기기로 QR 코드 재설정 또는 설정 키 입력합니다.
5. 보안 재설정: 분실된 기기에서의 인증 연동을 해제하고, 필요한 경우 비밀번호를 변경합니다.

중요: 복구 과정은 서비스마다 다릅니다. 미리 백업 코드를 안전하게 보관해 두면 복구 시간이 크게 줄어듭니다.

위험 행렬 및 완화책

완화책 요약: 복수의 복구 수단을 준비하고, 사용자 교육과 내부 문서를 통해 사고 대응을 표준화하세요.

짧은 용어집

• TOTP: 시간 기반 일회용 비밀번호. 현재 시간과 비밀 키로 코드 생성.
• HOTP: 이벤트(카운터) 기반 일회용 비밀번호. 요청 때마다 새 코드 생성.
• MFA: 다중 요소 인증. 두 가지 이상 인증 요소를 요구.
• FIDO2: 피싱 저항성이 높은 하드웨어 보안 키 표준.

추가 권장 사항

• 조직은 인증기 사용 가이드를 배포하세요. 포함 항목: 앱 설치, 백업 키 저장 위치, 복구 프로세스.
• 개인 사용자는 중요한 계정(이메일, 금융 등)에 대해 하드웨어 키 또는 추가 백업 수단을 고려하세요.
• 인증기 앱을 여러 기기에서 관리할 경우 암호 관리자나 보안 저장소와 연동하되, 저장 방식의 보안성을 검토하세요.

요약

• 인증기 앱은 SMS보다 안전한 2단계 인증 수단입니다.
• 설정 시 QR 코드 스캔 또는 키 입력으로 비밀 키를 공유합니다.
• 기기 분실에 대비해 복구 코드와 대체 인증 수단을 마련하세요.
• 운영자는 사용자 교육과 복구 SOP를 문서화해야 합니다.

추가 정보: Google Authenticator를 Windows PC에서 사용하는 방법과 패스키(비밀번호 없는 로그인)에 대한 옵션도 고려해 보세요.

Image credit: Unsplash. 모든 스크린샷: Sayak Boral.