
2단계 인증(2FA)을 설정해두면 안전하다고 생각하셨나요? 저도 한때 그렇게 믿었습니다. 그런데 부모님께 SMS 인증을 설정해드린 지 몇 달도 안 돼서 피싱 전화 사건이 터졌습니다. 2FA의 종류에 따라 보안 수준이 하늘과 땅 차이라는 걸 그때 처음 실감했습니다. 어떤 방식이 진짜 안전한지, 직접 겪어보고 나서 정리한 내용을 솔직하게 풀어보겠습니다.
보안 강도: SMS OTP부터 패스키까지, 뭐가 다를까
SMS OTP가 2FA 중에서 가장 취약하다는 사실, 알고 계셨습니까? 저는 몰랐습니다. 처음 부모님 구글 계정에 2FA를 설정해드릴 때, 문자로 인증번호가 오는 방식이 제일 간편해 보여서 고민 없이 선택했습니다. 그런데 몇 달 뒤, 어머니께서 "인증번호가 왔는데 이게 뭔지 모르겠다"며 당황한 목소리로 전화를 하셨습니다. 알고 보니 피싱 전화를 받으신 상황이었고, 자칫 코드를 그대로 불러드릴 뻔했습니다.
SMS 기반 인증이 취약한 이유는 구조적입니다. 해커는 피싱이나 중간자 공격(MITM)으로 인증 코드를 가로챌 수 있고, SIM 스와핑이라는 수법으로 아예 전화번호를 탈취해버리기도 합니다. 여기서 SIM 스와핑이란, 공격자가 통신사를 속여 피해자의 전화번호를 자신의 유심으로 이전시키는 공격입니다. 2025년 SK텔레콤 유심 정보 유출 사고 이후 이 위협은 국내에서도 현실적인 문제가 됐습니다(출처: 나무위키, "2단계 인증").
그렇다면 어떤 순서로 강해질까요. 제가 공부하고 직접 써보면서 정리한 보안 강도 순서는 아래와 같습니다.
- SMS OTP — 가장 취약. 피싱·SIM 스와핑에 무방비
- 이메일 OTP — SMS보다 조금 낫지만 이메일 계정 자체가 뚫리면 끝
- TOTP 앱(Google Authenticator, Authy 등) — 네트워크 없이 토큰을 생성하므로 탈취가 어렵다
- 하드웨어 보안 키(YubiKey) — 물리적 키를 직접 꽂아야 하므로 원격 공격이 불가능
- 패스키(Passkey) — FIDO2 프로토콜 기반의 공개 키 암호화 방식. 현재 가장 강력
여기서 TOTP란 시간 기반 일회용 비밀번호(Time-based One-Time Password)를 뜻합니다. 쉽게 말해, 서버와 앱이 같은 시각을 기준으로 30초마다 동일한 숫자를 독립적으로 계산해내는 방식입니다. 네트워크를 타지 않기 때문에 문자처럼 가로챌 수가 없습니다. 그리고 패스키에 사용되는 FIDO2 프로토콜이란, 비밀번호 없이 공개 키와 개인 키 한 쌍을 이용해 신원을 증명하는 국제 표준 인증 규격입니다. Verizon 2024 DBIR에 따르면 확인된 침해 사고의 22%가 도난된 자격 증명에서 시작됐는데, 패스키는 서버에 비밀번호 자체를 저장하지 않기 때문에 이 위협을 원천 차단합니다(출처: SentinelOne, "패스키는 어떻게 작동하나요?").
솔직히 이건 예상 밖이었습니다. 2FA를 쓰기만 하면 충분하다고 생각했는데, 어떤 2FA를 쓰느냐가 이렇게나 차이를 만든다는 걸 직접 겪고서야 제대로 이해했습니다.
TOTP 앱과 패스키, 실제로 도입해보니
피싱 사건 이후 저는 부모님 계정을 Google Authenticator로 바꿔드렸습니다. 앱에서 6자리 숫자를 직접 확인하고 입력하는 방식이라, 문자처럼 외부로 새어나갈 경로가 없습니다. 그런데 어머니께서 처음 쓰실 때 "30초마다 숫자가 바뀌는 게 너무 불안하다"고 하셨습니다. 시간 안에 못 입력하면 어떡하냐는 걱정이었습니다. 그래서 저는 같이 앉아서 5번 정도 로그인을 반복 연습했습니다. 직접 해보고 나서야 "아, 이게 별거 아니구나" 하는 표정을 보여주셨는데, 그 장면이 아직도 기억납니다. 기술보다 연습이 먼저였습니다.
회사에서도 비슷한 경험을 했습니다. Slack과 Google Workspace에 TOTP를 의무화했을 때, 첫 2주 동안 IT 팀에 "인증 앱을 어떻게 설치하냐"는 문의가 폭발적으로 들어왔습니다. 사전에 동영상 가이드를 만들어서 배포했어야 했는데, 그걸 놓쳤습니다. 제 경험상 이건 좀 다릅니다. 기술 도입은 하루 만에 끝낼 수 있지만, 사람이 익숙해지는 데는 최소 2주가 필요합니다. 보안 강화 프로젝트에서 사용자 교육을 뒤로 미루면 반드시 사고가 납니다.
패스키에 대해서는 개인적으로 복잡한 감정이 있습니다. 분명히 미래 방향이고, 비밀번호와 OTP를 동시에 대체할 수 있는 강력한 방식입니다. 그런데 기기를 잃어버렸을 때의 복구 절차가 아직 일반 사용자에게 불친절하다고 느낍니다. 패스키는 기기의 생체 인식이나 PIN과 묶여 있기 때문에, 스마트폰을 분실하면 복구 과정이 꽤 복잡해집니다. 구형 OS를 쓰는 중장년층이나 노인층에게 패스키 도입을 권하기엔 아직 기술적 장벽이 높다는 게 제 판단입니다.
그래서 저는 이렇게 권합니다. 가족에게 2FA를 도입할 때는 TOTP 앱부터 시작하는 게 현실적입니다. 회사 환경이라면 일반 직원은 TOTP, 관리자 계정과 핵심 시스템에는 YubiKey 같은 하드웨어 보안 키나 패스키를 우선 적용하는 단계적 접근이 효과적입니다. 그리고 2FA를 설정할 때 반드시 챙겨야 할 것이 하나 더 있습니다. 바로 백업 코드입니다. 백업 코드란, 인증 앱이나 기기를 분실했을 때 계정에 접근할 수 있도록 발급받는 일회성 복구 코드입니다. 이걸 따로 안전하게 보관하지 않으면 2FA를 설정한 계정을 본인도 영구히 잃어버리는 역설적인 상황이 생깁니다. 제가 직접 봤습니다. 보안을 강화하다가 본인이 잠기는 경우입니다.
자주 묻는 질문
Q. SMS 인증이 있는데 굳이 Google Authenticator로 바꿔야 하나요?
A. 바꾸시는 걸 강하게 권합니다. SMS 인증은 피싱 전화 한 통에도 코드가 넘어갈 수 있고, SIM 스와핑 공격에도 뚫립니다. 저도 부모님 계정에서 직접 겪은 뒤에야 바꿨는데, 솔직히 더 일찍 바꿨어야 했습니다. Google Authenticator는 네트워크를 타지 않아 가로채는 것 자체가 구조적으로 불가능합니다.
Q. 패스키가 가장 안전하다면 바로 패스키로 넘어가면 되지 않나요?
A. 보안 강도만 보면 맞는 말이지만, 현실은 조금 다릅니다. 패스키는 스마트폰이나 기기에 종속돼 있어 기기를 잃어버렸을 때 복구 과정이 복잡합니다. 특히 구형 기기나 구형 OS 환경에서는 지원 자체가 안 되기도 합니다. 디지털 환경에 익숙하지 않은 가족이 있다면, TOTP 앱에 먼저 적응시킨 뒤 패스키를 검토하는 순서가 현실적입니다.
Q. 백업 코드는 어디에 보관하면 좋나요?
A. 출력해서 지갑이나 서랍 안에 넣어두는 게 가장 확실합니다. 디지털 파일로 저장할 경우, 그 파일이 담긴 기기나 클라우드 계정까지 함께 잠기면 소용이 없어집니다. 2FA 계정과 분리된 오프라인 공간에 보관하는 것이 핵심입니다.
Q. 회사에 TOTP를 도입할 때 직원 반발을 줄이는 방법이 있나요?
A. 제 경험상, 사전 동영상 가이드가 없으면 도입 첫 2주가 지옥입니다. 의무화 공지 전에 "설치 방법 3분 영상"을 먼저 배포하고, IT 팀이 Q&A 채널을 열어두는 것만으로도 문의량이 크게 줄어듭니다. 강제로 막기 전에 충분히 연습할 시간을 주는 게 핵심입니다.
결론
2FA는 켜두기만 해도 된다는 생각은 절반만 맞습니다. SMS OTP에 머물러 있다면, 없는 것보다는 낫지만 안심하기엔 이릅니다. 오늘 당장 Google Authenticator나 Authy 같은 TOTP 앱으로 바꾸는 것, 그게 현실적으로 가장 빠르게 보안을 높이는 방법입니다.
패스키는 분명히 가야 할 방향입니다. 다만 UI와 복구 경험이 더 성숙해질 때까지는, 개인은 TOTP 앱, 기업 관리자 계정은 YubiKey 같은 하드웨어 보안 키를 병행하는 전략이 현실적입니다. 그리고 무엇보다, 백업 코드를 인쇄해서 보관하는 습관을 지금 바로 시작하십시오. 2FA 설정 후 계정을 잃는 건 해커 때문이 아니라 백업 코드 분실 때문인 경우가 생각보다 많습니다.
참고: IBM Think, "2단계 인증(2FA)이란 무엇인가요?" / SentinelOne, "패스키는 어떻게 작동하나요?" (2026.04) / 나무위키, "2단계 인증" (2026.05) / Google 계정 고객센터, "비밀번호 대신 패스키로 로그인하기" / picory.com, "2026년 필수 보안: 패스워드 제로로 완성하는 해킹 방지법" (2026.01)
'IT적응기' 카테고리의 다른 글
| Home Assistant (설치 입문, 자동화, 보안) (0) | 2026.07.06 |
|---|---|
| 공용 와이파이 위험 (이블 트윈, 중간자 공격, VPN) (0) | 2026.07.05 |
| 피싱 이메일 분석 (메일 헤더, 발신자 확인, 모의 훈련) (0) | 2026.07.03 |
| 3-2-1 백업 전략 (원칙이해, 복구테스트, 랜섬웨어대응) (0) | 2026.07.02 |
| 제로 트러스트 (ZTA 원칙, VPN 한계, MFA 실천) (0) | 2026.07.01 |