보안 인증 키가 왜 최강인지, 그리고 2단계 인증 설정 후 놓치기 쉬운 함정까지. 두 편 모두 작성합니다.
—
보안 인증 키(YubiKey) 사용법: 가장 강력한 2단계 인증 완벽 설명
💡 YubiKey 같은 하드웨어 보안 키는 스마트폰 앱 인증보다 물리적으로 강력하며, 구글 계정 등록은 5분이면 끝납니다. 단, 예비 키 없이 쓰다간 잠길 수 있으니 반드시 2개 세트로 준비하세요.
해킹당한 지인을 보고 나서 달라진 것들
지인 중에 50대 중소기업 대표분이 계십니다. 회사 G메일 계정이 통째로 털렸어요. 거래처 이메일 수천 건, 클라우드에 올려둔 계약서, 심지어 직원 급여 파일까지. 복구하는 데 꼬박 3주가 걸렸고, 그 사이에 거래처 한 곳과 관계가 끊겼다고 하더군요.
그분이 쓰던 보안 방식은 SMS 인증이었습니다. “문자로 인증번호 오니까 괜찮지 않냐”고 하셨는데, 사실 그게 제일 위험한 방식 중 하나예요. 그 얘기는 뒤에서 다시 하겠습니다.
그 사건 이후 제가 직접 찾아서 쓰기 시작한 게 보안 인증 키, 즉 하드웨어 보안 키입니다. 처음엔 ‘이게 USB인데 뭔 보안이야?’ 싶었어요. 써보고 나서 생각이 완전히 바뀌었습니다.
보안 인증 키가 앱 인증을 압도하는 이유
💡 FIDO2/WebAuthn 방식은 서버에 비밀번호를 저장하지 않고, 물리적 키를 꽂아야만 인증이 완료됩니다. 피싱 사이트는 이 방식을 원천적으로 뚫을 수 없습니다.
구글 OTP 앱이나 네이버 OTP를 쓰고 계신 분들, 나쁜 선택은 아닙니다. 근데요, 거기에도 구멍이 있어요.
OTP 앱은 결국 30초마다 바뀌는 숫자를 입력하는 방식이잖아요. 피싱 사이트가 진짜 구글 로그인 화면처럼 꾸며서 여러분의 비밀번호와 OTP 번호를 동시에 빼가면 — 30초 안에 진짜 사이트에 그대로 입력합니다. 실제로 이 수법이 꽤 많이 쓰이고 있어요.
FIDO2/WebAuthn 방식의 하드웨어 보안 키는 이걸 원천 차단합니다. 원리가 다릅니다.
- 서버는 여러분의 공개키만 저장합니다 (비밀번호 자체를 저장하지 않음)
- 인증 시 키가 “지금 접속한 사이트의 도메인”을 직접 확인합니다
- 피싱 사이트의 도메인은 google.com이 아니므로, 키가 아예 응답하지 않습니다
- 물리적 키를 손에 쥐고 있지 않으면 인증 자체가 불가능합니다
쉽게 말하면, 해커가 내 비밀번호를 알아내도 키가 없으면 로그인이 안 됩니다. 진짜예요.
flowchart TD
A[로그인 시도] --> B{인증 방식 선택}
B --> C[SMS 문자 인증]
B --> D[OTP 앱 인증]
B --> E[하드웨어 보안 키]
C --> F[SIM 스와핑에 취약]
D --> G[피싱 사이트에 취약]
E --> H[도메인 직접 검증]
H --> I[피싱·스와핑 원천 차단]
F --> J[계정 탈취 위험]
G --> J
I --> K[가장 강력한 보안]
YubiKey 모델 선택 — 뭘 사야 할까요?
💡 스마트폰 중심이면 NFC 모델, 노트북 중심이면 USB-C 모델, 회사 데스크탑까지 커버해야 한다면 USB-A+NFC 겸용이 가장 편합니다.
YubiKey를 처음 사려고 검색하면 모델이 너무 많아서 멍해집니다. 저도 그랬어요. 지난 초에 직접 세 가지를 나란히 놓고 비교해봤는데, 정리하면 이렇습니다.
참고로, 아이폰은 USB로 직접 꽂는 방식이 잘 안 됩니다. NFC 탭으로 쓰는 게 현실적이에요. 안드로이드는 USB-C든 NFC든 둘 다 됩니다.
잠깐, 이건 꼭 알아야 해요. YubiKey는 반드시 2개를 사야 합니다. 하나를 잃어버리거나 망가졌을 때 계정에서 영원히 잠기는 상황을 막기 위해서예요. 아래에서 자세히 설명하겠습니다.
구글 계정에 YubiKey 등록하는 방법
💡 구글 계정 보안 설정에서 패스키/보안 키 항목을 찾아 키를 꽂거나 탭하면 5분 안에 등록 완료됩니다.
생각보다 쉽습니다. 제가 처음 등록할 때 예상보다 훨씬 간단해서 오히려 당황했을 정도예요.
- myaccount.google.com에 접속합니다
- 왼쪽 메뉴 보안 클릭
- Google에 로그인하는 방법 섹션에서 2단계 인증 선택
- 스크롤 내려서 보안 키 추가 클릭
- 화면 안내에 따라 YubiKey를 USB 포트에 꽂고 버튼 터치 (또는 NFC 탭)
- 키 이름 지정 후 저장
그런 다음 바로 두 번째 키도 같은 방법으로 등록해 두세요. 이걸 빠뜨리는 분이 많습니다.
스마트폰 NFC 연동은요? 안드로이드는 구글 앱에서 로그인할 때 키를 뒤에 댄 후 잠깐 기다리면 됩니다. 아이폰은 Safari에서 웹으로 접속한 뒤 NFC 탭 방식으로 사용합니다.
분실했을 때 — 당황하지 않으려면
💡 예비 키 1개를 금고나 서랍에 보관하고, 구글 백업 코드 10개를 프린트해 오프라인에 보관하면 어떤 상황에서도 복구할 수 있습니다.
아 그리고, 이게 진짜 중요한데요. 보안 키를 쓰다가 잃어버리면 어떻게 될까요?
예비 키가 없으면 계정 복구 절차를 밟아야 합니다. 구글 기준으로 복구는 수일이 걸릴 수 있고, 예전 기기·이메일·전화번호로 본인 확인이 안 되면 영구적으로 잠기는 경우도 있습니다. 이건 진짜 공포예요.
그래서 권장하는 보관 방법입니다:
- 메인 키 — 열쇠고리에 붙여서 항상 소지
- 예비 키 — 회사 서랍 또는 집 금고에 보관
- 구글 백업 코드 10개 — 종이에 프린트, 밀봉해서 오프라인 보관
50대 중소기업 대표분 이야기로 돌아가면 — 그분은 지금 YubiKey 5C NFC 두 개를 쓰고 계십니다. 하나는 노트북 케이스에, 하나는 금고에. “이걸 진작 알았더라면”이라고 하셨어요.
혹시 회사 계정을 여러 개 관리하시는 분, 클라우드 서비스 의존도가 높으신 분이라면 — 지금 바로 YubiKey 두 개 세트 구입을 진지하게 고려해 보시길 권합니다. 한 번 당하고 나서 찾는 건 너무 늦으니까요.
혹시 특정 서비스(네이버, 카카오, 은행 앱 등)에서 YubiKey 호환 여부가 궁금하신 분 계신가요? 아직 국내 서비스 지원은 제한적인 부분이 있어서, 댓글로 물어봐 주시면 확인해 드리겠습니다.
답글 남기기