💡 2단계 인증을 설정했다고 끝이 아닙니다. SMS 방식은 여전히 SIM 스와핑에 뚫리고, 피싱 사이트는 OTP도 빼갑니다. 설정 후 놓치기 쉬운 5가지를 반드시 확인하세요.
2단계 인증 설정하고 안심했다가 그대로 털린 이야기
대학교 선배 중에 게임 계정을 10개 넘게 운영하던 분이 있었어요. 스팀, 배틀넷, 넥슨, 에픽게임즈까지. 2단계 인증을 다 켜뒀다고 자신했는데, 어느 날 새벽에 스팀 계정이 통째로 넘어갔습니다. 인벤토리에 있던 아이템들도 전부 이전됐고요.
원인은 SMS 인증이었습니다. 계정 해킹 방지를 위해 2단계를 켰지만, 방식이 잘못됐던 거예요. 이게 얼마나 흔한 함정인지, 직접 파고들어 봤습니다.
함정 1: SMS 인증은 이미 뚫렸습니다
💡 SIM 스와핑 공격은 해커가 통신사를 속여 피해자 번호를 자기 유심으로 이전하는 수법입니다. 이 순간부터 모든 문자 인증을 해커가 받습니다.
SIM 스와핑이라는 말, 들어보셨나요? 사실 국내에서도 꽤 발생하는데 잘 알려지지 않았어요.
해커가 여러분의 이름, 생년월일, 전화번호를 알고 있다면 — 이 정보들은 대부분 유출된 데이터에서 구할 수 있습니다 — 통신사 고객센터에 전화해서 유심 재발급을 신청합니다. 본인 확인 방식이 허술한 경우, 해커의 유심으로 여러분 번호가 이전됩니다. 그 다음부터는 “비밀번호 찾기 문자”가 전부 해커한테 가는 거예요.
이게 실제로 가능한 일이냐고요? 미국에서는 수십억 달러 규모의 암호화폐 도난 사건 다수가 이 방법으로 발생했습니다. 국내도 안전하지 않아요.
대응법은 간단합니다. SMS 인증을 OTP 앱 인증으로 교체하는 것. 구글 OTP, Microsoft Authenticator 같은 앱은 유심 이전과 무관하게 내 기기에서만 작동합니다.
sequenceDiagram
participant 해커
participant 통신사
participant 피해자폰
participant 서비스
해커->>통신사: 유심 재발급 요청 (피해자 정보 도용)
통신사->>해커: 번호 이전 완료
서비스->>해커: SMS 인증번호 발송
해커->>서비스: 인증 완료 → 계정 탈취
Note over 피해자폰: 신호 없음 (번호 이전됨)
함정 2: OTP도 피싱 사이트에서 빼갑니다
💡 리얼타임 피싱은 가짜 사이트가 여러분의 OTP를 받아 30초 안에 진짜 사이트에 입력합니다. OTP만으로는 이 속도전을 막을 수 없습니다.
OTP 앱으로 바꿨으니 이제 안전하다고요? 잠깐, 이건 꼭 알아야 해요.
“리얼타임 피싱”이라는 수법이 있습니다. 구글 로그인 페이지와 똑같이 생긴 가짜 사이트를 만들어 두고, 피해자가 비밀번호와 OTP를 입력하면 그걸 그대로 진짜 구글에 중계하는 방식입니다. OTP 유효 시간 30초 안에 처리하기 때문에, 숫자가 맞아 떨어집니다.
이 수법은 OTP로는 막을 수가 없어요. 막는 방법은 두 가지입니다.
- 하드웨어 보안 키(FIDO2) — 키가 도메인을 직접 검증하므로 가짜 사이트에서는 아예 응답 안 함
- URL 확인 습관 — 로그인 전에 주소창을 반드시 확인. accounts.google.com이 맞는지 직접 봐야 합니다
솔직히 이 부분은 저도 좀 무서웠어요. OTP 쓴다고 방심하고 있었거든요. (이건 진짜 꿀팁 — 구글 계정은 패스키로 업그레이드해 두면 이런 피싱이 원천 차단됩니다.)
함정 3·4: 백업 코드와 복구 이메일을 방치하면 구멍이 생깁니다
💡 백업 코드는 캡처해서 클라우드에 저장하면 안 됩니다. 그 클라우드가 털리면 백업 코드도 같이 털립니다. 반드시 오프라인 보관이 원칙입니다.
2단계 인증을 설정하면 구글이 백업 코드 10개를 줍니다. 기기 분실 시 계정 복구용이에요. 근데요, 이걸 스마트폰 사진첩에 캡처해 두는 분이 정말 많습니다.
사진첩이 구글 포토에 자동 백업 된다면요? 구글 계정이 털리는 순간 백업 코드까지 한꺼번에 노출됩니다. 의미가 없어요.
백업 코드 보관 방법 비교를 보시면 이해가 빠릅니다:
복구 이메일도 마찬가지입니다. 복구 이메일로 설정해 둔 계정 자체의 보안이 허술하면, 그쪽을 먼저 뚫고 들어와 주 계정을 리셋할 수 있습니다. 복구 이메일도 2단계 인증이 적용된 별도 계정이어야 합니다.
이거 저만 모르고 있었던 건지, 주변에 물어봐도 백업 코드 어디 뒀는지 기억 못 하는 분들이 절반이에요. 지금 바로 확인해 보시겠어요?
함정 5: 비밀번호 관리자 없이 2단계 인증만으로는 반쪽짜리입니다
💡 2단계 인증은 비밀번호가 유출됐을 때 2차 방어선입니다. 비밀번호 자체를 강하게 만드는 관리자와 함께 써야 완전한 보호가 됩니다.
여기서 반전인데, 2단계 인증만 믿고 비밀번호를 “password123” 같은 걸로 써두는 분들이 있습니다. 2단계 인증이 있으니 괜찮다는 생각으로요.
사실은 2단계 인증도 공격자가 첫 번째 단계(비밀번호 입력)를 성공해야 의미가 있습니다. 비밀번호가 약하면 여전히 브루트 포스나 크리덴셜 스터핑 공격에 노출됩니다.
최적의 조합은 이렇습니다:
- 비밀번호 관리자(Bitwarden, 1Password 등)로 계정마다 다른 20자 이상 무작위 비밀번호 생성
- OTP 앱(Google Authenticator, Aegis 등)으로 2단계 인증
- 중요 계정은 하드웨어 보안 키로 최상위 보호
웃긴 건, 비밀번호 관리자를 쓰면 오히려 편해집니다. 기억할 비밀번호가 마스터 패스워드 딱 하나니까요. 처음 설정하는 데 30분 정도 걸리는데, 그 이후로는 훨씬 편하게 쓸 수 있어요.
게임 계정 해킹을 경험했던 그 선배는 지금 Bitwarden + Google OTP 조합으로 관리하고 있습니다. “설정하고 나니 오히려 비밀번호 신경 안 써도 되니까 편하다”고 하더군요. 완전히 반대로 됐습니다.
pie title 2단계 인증 방식별 보안 강도
"하드웨어 보안 키(FIDO2)" : 40
"OTP 앱 인증" : 30
"SMS 문자 인증" : 15
"이메일 인증" : 10
"기타" : 5
2단계 인증, 설정했다고 다 된 게 아닙니다. 방식이 뭔지, 백업은 어떻게 돼 있는지, 비밀번호 관리는 어떻게 하는지 — 이 세 가지가 맞물려야 진짜 계정 해킹 방지가 됩니다.
혹시 지금 어떤 방식으로 2단계 인증을 쓰고 계신지 궁금하네요. 아직 SMS 방식이라면, 오늘 안에 OTP 앱으로 바꾸는 걸 진지하게 고려해 보시길 권합니다.
답글 남기기