[태그:] 보안 인증 키

  • Apple 계정에 2단계 인증 설정하는 방법

    Apple 2단계 인증 설정, 아이폰 쓰면서 한 번도 안 해보셨다면 지금이 딱 적기입니다.

    주변에 30대 중반의 직장인이 있는데, 작년 말에 애플 계정을 분실한 경험을 들은 적이 있어요. 중고 아이폰을 팔았는데, 초기화를 했는데도 구매자 쪽에서 애플 계정이 잠겨 있다는 연락이 왔고, 알고 보니 2단계 인증이 없어서 계정 인증이 꼬여버린 상황이었습니다. 결국 애플 고객센터에 몇 주 동안 연락하며 복구했다고 했어요. 그 이야기를 듣고 제 설정을 바로 점검했습니다.

    애플은 2단계 인증을 이중 인증(Two-Factor Authentication)이라는 이름으로 부릅니다. 이름이 달라서 헷갈리시는 분들이 많은데, 같은 개념입니다. 애플 기기 간 신뢰 기반으로 작동하며, 로그인 시 인증된 기기에 6자리 코드가 뜨는 방식입니다.

    Apple 2단계 인증 설정, 설정 앱에서 바로 시작할 수 있습니다

    💡 설정 앱 > Apple ID > 비밀번호 및 보안 섹션에서 이중 인증을 바로 켤 수 있습니다.

    아이폰 기준으로 설명합니다. 아이패드나 맥도 경로는 거의 동일합니다.

    1. 아이폰 설정 앱을 엽니다.
    2. 상단에 본인 이름(Apple ID)을 탭합니다.
    3. 비밀번호 및 보안 항목을 선택합니다.
    4. 이중 인증 옵션을 탭하고 계속을 누릅니다.
    5. 현재 사용 중인 전화번호를 확인하거나 새로 입력합니다.

    아 그리고, 맥에서 설정하려면 시스템 설정 → Apple ID → 비밀번호 및 보안으로 들어가면 동일한 화면이 나옵니다.

    아이폰 소프트웨어 버전이 iOS 9 이상이라면 이중 인증을 사용할 수 있습니다. 혹시 옵션이 보이지 않는다면 소프트웨어 업데이트를 먼저 해보세요.

    인증 가능한 기기 선택과 신뢰 설정

    💡 동일한 Apple ID로 로그인된 기기가 자동으로 ‘신뢰할 수 있는 기기’가 되어 인증 코드를 받을 수 있습니다.

    애플의 이중 인증은 기기 간 신뢰 관계를 기반으로 작동합니다. 쉽게 말해, 이미 로그인돼 있는 아이폰이나 아이패드가 “이 새 로그인 진짜예요?”를 확인해주는 역할을 합니다.

    신뢰할 수 있는 기기 조건은 이렇습니다.

    • 동일한 Apple ID로 로그인된 상태여야 합니다.
    • iOS 9, iPadOS 13, macOS El Capitan 이상이어야 합니다.
    • 이중 인증이 활성화된 상태여야 합니다.

    기기가 하나뿐이라면 전화번호 인증이 유일한 백업 수단이 됩니다. 이 경우 반드시 신뢰할 수 있는 전화번호를 최소 하나 이상 등록해두어야 합니다. 가족 번호나 자주 쓰는 번호를 추가로 넣어두는 걸 권장합니다.

    그런데 말이에요, 이중 인증을 켜면 이후에는 끄기가 굉장히 까다로워집니다. 애플은 보안 정책상 활성화 후 2주 이내에만 비활성화를 허용합니다. 그 이후엔 사실상 되돌릴 수 없으니, 설정 전에 충분히 이해하고 켜시는 게 좋습니다.

    비밀번호 및 보안 섹션 상세 설정

    💡 신뢰할 수 있는 전화번호를 여러 개 등록해두면 기기 분실 시에도 계정 복구가 쉬워집니다.

    이중 인증을 켠 뒤 추가로 확인해둘 설정들이 있습니다.

    신뢰할 수 있는 전화번호 관리는 설정 → Apple ID → 비밀번호 및 보안 → 신뢰할 수 있는 전화번호 편집에서 합니다. 번호를 추가할 때 음성 전화 또는 문자 메시지 중 수신 방식을 선택할 수 있습니다.

    참고로, 전화번호는 인증 코드 전송 외에 계정 복구용으로도 사용됩니다. 번호가 바뀌면 반드시 업데이트해두세요.

    sequenceDiagram
        participant U as 사용자
        participant P as iPhone (기존 기기)
        participant A as Apple 서버
        participant N as 새 기기 또는 브라우저
    
        U->>N: Apple ID 로그인 시도
        N->>A: 인증 요청
        A->>P: 신뢰 기기에 6자리 코드 전송
        P->>U: 화면에 코드 표시
        U->>N: 코드 입력
        N->>A: 코드 검증
        A->>N: 로그인 허용
        N->>U: 이 기기를 신뢰하시겠어요? (선택)
    

    이 흐름을 보면 알 수 있듯이, 기존 기기가 없으면 코드를 받을 수 없습니다. 그래서 신뢰할 수 있는 전화번호 등록이 중요한 거예요.

    보안 질문 대신 복구 연락처와 복구 키를 활용하세요

    💡 최신 iOS에서는 보안 질문 대신 ‘복구 연락처’와 ‘계정 복구 키’로 비상 접근을 관리합니다.

    구형 보안 방식이었던 보안 질문은 iOS 최신 버전에서 사라졌습니다. 대신 두 가지 강력한 대안이 생겼습니다.

    복구 연락처는 신뢰하는 가족이나 지인의 Apple 기기를 통해 복구 코드를 받는 방식입니다. 설정 → Apple ID → 비밀번호 및 보안 → 계정 복구에서 연락처를 추가할 수 있습니다.

    계정 복구 키는 28자리 키를 직접 생성해서 보관하는 방식입니다. 보안 수준은 높지만, 이 키를 잃어버리면 애플도 복구를 도와줄 수 없습니다. 진짜입니다. 이 키는 반드시 오프라인으로 안전하게 보관해야 합니다.

    복구 방법 보안 수준 편의성 주의사항
    신뢰 기기 ★★★★★ ★★★★★ 기기 분실 시 대안 필요
    신뢰 전화번호 ★★★★ ★★★★ 번호 변경 시 즉시 업데이트
    복구 연락처 ★★★★ ★★★ 상대방도 Apple 기기 필요
    계정 복구 키 ★★★★★ ★★ 분실 시 애플도 복구 불가

    한 가지 꼭 짚어드리고 싶은 게 있습니다. 애플은 개인정보 보호 정책상 계정 소유자 인증이 안 되면 복구 자체를 안 해줍니다. 실제로 애플 고객센터에 연락했다가 “저희도 도움 드릴 수 없습니다”라는 답변을 받은 사례가 꽤 있어요.

    이중 인증 설정하기 전에 복구 방법도 꼭 같이 챙겨두세요. 보안과 복구 수단은 항상 세트입니다.


    관련 글 더 보기

    전체 가이드로 돌아가기: 개인 계정 보안 강화 2단계 인증 설정법 5가지

  • Google 계정에 2단계 인증 설정하는 방법

    Google 2단계 인증 설정을 아직 안 하셨다면, 지금 당장 해두셔야 합니다.

    올해 초 지인이 구글 계정을 해킹당하는 걸 옆에서 지켜봤습니다. 비밀번호만 믿고 있었는데, 어느 날 갑자기 “알 수 없는 기기에서 로그인이 시도됐습니다”라는 알림이 온 거예요. 이미 구글 드라이브 파일 일부가 외부에 공유된 상태였고, 복구하는 데만 꼬박 이틀이 걸렸습니다. 그 모습을 보고 저도 바로 설정을 점검했는데… 2단계 인증이 꺼져 있었어요. 아찔했습니다.

    구글 공식 자료에 따르면, 2단계 인증 하나만 켜도 자동화 봇 공격의 99%를 막을 수 있다고 합니다. 5분짜리 설정이 계정 전체를 지켜주는 겁니다.

    Google 2단계 인증 설정, 어디서 시작하나요?

    💡 myaccount.google.com → 보안 탭 → 2단계 인증 순서로 진입하면 바로 설정 화면이 나옵니다.

    생각보다 쉽습니다. 구글 계정 보안 설정 페이지에 접속하는 것만 알면 절반은 끝이에요.

    먼저 myaccount.google.com에 접속합니다. 상단 탭 또는 왼쪽 사이드바에서 보안을 클릭하세요. 스크롤을 내리면 “Google에 로그인하는 방법” 섹션이 보이고, 그 아래에 2단계 인증 항목이 있습니다.

    모바일이라면 구글 앱을 열고 오른쪽 상단 프로필 사진 → Google 계정 관리 → 보안 탭으로 들어가도 됩니다. 경로가 조금 달라 보여도 “보안” 탭만 찾으면 됩니다.

    2단계 인증 항목을 클릭하면 현재 활성화 여부와 설정 화면이 나옵니다. 시작하기 버튼을 눌러서 진행하세요.

    어떤 인증 방법을 선택해야 할까요?

    💡 Google OTP 앱이 보안 수준이 가장 높고, 구글 프롬프트는 편리함과 보안을 동시에 잡을 수 있습니다.

    인증 방법은 크게 네 가지입니다. 각각 장단점이 다르니 상황에 맞게 고르시면 됩니다.

    인증 방법 보안 수준 편의성 특이사항
    Google OTP 앱 ★★★★★ ★★★★ 인터넷 없어도 코드 생성 가능
    구글 프롬프트 ★★★★ ★★★★★ 스마트폰 알림으로 탭 한 번에 승인
    문자 메시지(SMS) ★★★ ★★★★★ 심스와핑 공격에 취약할 수 있음
    보안 키(하드웨어) ★★★★★ ★★★ 피싱 완벽 차단, USB 키 별도 필요

    처음 설정하는 분이라면 구글 프롬프트를 먼저 추천합니다. 로그인 시도가 있을 때 스마트폰에 “본인이 맞나요?”라는 알림이 오고, 탭 하나로 승인하는 방식이라 직관적입니다. 스마트폰에 구글 앱이 설치돼 있으면 별도 작업 없이 자동으로 연결됩니다.

    잠깐, 이건 꼭 알아야 해요. SMS 인증은 편리하지만 “심스와핑”이라는 공격 방식에 취약합니다. 해커가 통신사에 전화해서 내 번호를 다른 유심으로 이전시키면 문자를 가로챌 수 있어요. 가능하면 OTP 앱과 병행해서 설정해두는 게 안전합니다.

    혹시 어떤 방식이 본인 상황에 맞는지 아직 잘 모르시겠나요? 보안과 편의성, 어느 쪽을 더 중시하는지에 따라 선택이 달라집니다.

    Google Authenticator 앱 설정 단계별 가이드

    💡 QR 코드 스캔 한 번으로 OTP 앱 연동이 완료되며, 이후 30초마다 바뀌는 코드로 로그인합니다.

    OTP 앱 방식을 선택하셨다면 이렇게 하시면 됩니다.

    1. 앱스토어 또는 플레이스토어에서 Google Authenticator를 검색해 설치합니다.
    2. 구글 계정 2단계 인증 설정 페이지에서 “인증 앱” 옵션을 선택합니다.
    3. 화면에 나타난 QR 코드를 Authenticator 앱으로 스캔합니다.
    4. 앱에서 생성된 6자리 숫자 코드를 구글 설정 화면에 입력하고 확인합니다.
    5. 설정 완료! 이후 로그인 시 앱에서 코드를 확인해 입력하면 됩니다.

    코드는 30초마다 갱신됩니다. 입력하다가 코드가 바뀌면 새 코드를 쓰면 됩니다. 처음엔 “이게 진짜 되나?” 싶었는데, 해보니까 5분도 안 걸렸어요.

    💡 팁박스 — OTP 앱을 설정할 때 스마트폰 두 대에 동시에 등록해두면 한 대를 잃어버려도 나머지로 로그인할 수 있습니다. QR 코드 스캔을 두 번 하면 됩니다.

    그런데 말이에요, 여기서 많은 분들이 놓치는 단계가 하나 있습니다.

    비상 인증 코드, 꼭 따로 저장해두세요

    💡 스마트폰을 분실하거나 초기화하면 OTP 코드를 받을 수 없습니다. 비상 코드(백업 코드)는 반드시 오프라인으로 보관하세요.

    2단계 인증의 치명적인 함정이 있습니다. 인증 수단인 스마트폰이 없어지면 계정에 아예 들어갈 수 없게 됩니다.

    구글 2단계 인증 설정 화면에서 “백업 코드” 항목을 찾아보세요. 8자리 코드가 10개 생성됩니다. 각 코드는 1회용이고, 스마트폰이 없을 때 대신 사용할 수 있습니다.

    • 코드를 다운로드하거나 출력해서 보관하세요.
    • 클라우드 메모보다 종이 출력물이 훨씬 안전합니다.
    • 지갑이나 서랍 안 같은 물리적 공간에 두는 게 좋습니다.
    • 코드를 사용했다면 설정 화면에서 새 코드로 재발급받으세요.

    솔직히 이 부분은 저도 처음엔 귀찮아서 그냥 넘겼습니다. 그러다 지인이 폰을 잃어버리고 계정 복구에 사흘을 쓰는 걸 보고, 그날 바로 출력해서 지갑에 넣었어요. 아직 안 하셨다면 지금 바로 확인해보세요.

    flowchart TD
        A[myaccount.google.com 접속] --> B[보안 탭 클릭]
        B --> C[2단계 인증 항목 선택]
        C --> D[시작하기 버튼 클릭]
        D --> E{인증 방법 선택}
        E --> F[구글 프롬프트]
        E --> G[OTP 앱]
        E --> H[SMS 인증]
        F --> I[스마트폰 알림 탭으로 승인]
        G --> J[QR 코드 스캔 후 코드 입력]
        H --> K[문자로 수신된 코드 입력]
        I --> L[설정 완료]
        J --> L
        K --> L
        L --> M[백업 코드 다운로드 및 오프라인 보관]
    

    5분이면 충분합니다. 지금 이 글을 읽고 계신 이 순간, 다른 탭을 하나 열어서 바로 설정해보시는 건 어떨까요?


    관련 글 더 보기

    전체 가이드로 돌아가기: 개인 계정 보안 강화 2단계 인증 설정법 5가지

  • 구글 계정 2단계 인증 설정법: Google Authenticator 완전 정복

    💡 구글 2단계 인증 설정은 10분이면 충분합니다. Google Authenticator 앱 하나로 계정 해킹 위험을 90% 이상 줄일 수 있어요.

    지인 계정이 해킹당하는 걸 보고 나서야 알았습니다

    얼마 전 주변 직장 동료한테서 연락이 왔어요. “내 구글 계정이 이상해. 내가 보내지 않은 메일이 발송돼 있고, 드라이브 파일이 사라졌어.” 그 순간 등골이 서늘했습니다.

    그 동료는 업무용 구글 드라이브에 3년치 프로젝트 파일을 몽땅 저장해두고 있었거든요. 결국 계정 복구에 이틀, 파일 일부는 끝내 찾지 못했습니다.

    사실 저도 그때까지 2단계 인증을 켜두지 않은 상태였어요. “설마 내 계정이?” 하는 안일한 생각. 근데 그 이후로 당장 구글 2단계 인증 설정을 완료했고, 지금은 그게 얼마나 간단한 작업인지 직접 경험하고 나서 이 글을 씁니다.

    혹시 아직 구글 2단계 인증을 설정하지 않으셨나요? 지금 바로 같이 해봅시다.

    구글 2단계 인증이란 무엇인가요?

    💡 비밀번호 하나로만 로그인하는 방식은 이미 시대에 뒤처진 보안입니다. 2단계 인증은 ‘아는 것(비밀번호)’과 ‘가진 것(인증 앱)’을 동시에 요구합니다.

    2단계 인증(2FA, Two-Factor Authentication)은 로그인할 때 비밀번호 외에 추가 인증 수단을 하나 더 요구하는 보안 방식입니다.

    쉽게 말하면, 해커가 비밀번호를 알아내더라도 스마트폰에 있는 인증 코드까지는 못 가져간다는 거예요. 구글에 따르면 2단계 인증만 활성화해도 자동화된 계정 탈취 공격의 99% 이상을 차단할 수 있다고 합니다.

    구글 계정에서 2단계 인증을 활성화하는 방법은 여러 가지인데, 그 중에서도 Google Authenticator 앱 방식이 가장 보안성이 높습니다. SMS 문자 인증보다 안전하고, 인터넷 없이도 작동하거든요.

    pie title 구글 계정 해킹 차단율 비교
        "2단계 인증 없음(비밀번호만)" : 5
        "SMS 인증" : 76
        "인증 앱(Authenticator)" : 99
    

    Google Authenticator 설치부터 연동까지: 단계별 완전 정복

    💡 앱 설치 → 구글 계정 보안 설정 → QR 코드 스캔 순서로 진행하면 5분 안에 완료됩니다.

    자, 그럼 지금 바로 시작해 봅시다. 스마트폰이랑 컴퓨터를 함께 준비해 주세요.

    1단계: Google Authenticator 앱 설치

    • 앱스토어(iOS) 또는 구글플레이(Android)에서 “Google Authenticator” 검색
    • 구글 LLC가 개발한 공식 앱만 설치 (유사 앱 주의)
    • 설치 완료 후 앱은 잠깐 내려두세요

    2단계: 구글 계정 보안 메뉴 접근

    • PC 브라우저에서 myaccount.google.com 접속
    • 왼쪽 메뉴에서 “보안” 클릭
    • “Google에 로그인하는 방법” 섹션에서 “2단계 인증” 클릭
    • “시작하기” 버튼 누르기

    잠깐, 이건 꼭 알아야 해요. 이 화면에서 기본적으로 Google이 추천하는 방식이 스마트폰 알림 방식(Google 메시지)인데, 인증 앱이 더 안전합니다. 아래로 스크롤해서 “인증 앱 사용”을 선택하세요.

    3단계: QR 코드 스캔 및 연동

    1. 화면에 QR 코드가 표시됩니다
    2. 스마트폰에서 Google Authenticator 앱 열기
    3. 오른쪽 하단 “+” 버튼 → “QR 코드 스캔” 선택
    4. 카메라로 PC 화면의 QR 코드 스캔
    5. 앱에 6자리 숫자 코드 생성됨을 확인
    6. 해당 코드를 PC 화면에 입력하고 “확인” 클릭

    이렇게 하면 연동 완료입니다. 생각보다 훨씬 쉽죠?

    백업 코드 저장법: 이것만큼은 절대 건너뛰지 마세요

    💡 스마트폰을 잃어버리거나 앱이 초기화되면 백업 코드만이 계정을 되살릴 수 있습니다. 반드시 오프라인으로 보관하세요.

    2단계 인증 설정이 완료되면 구글이 10개의 백업 코드를 제공합니다. 각각 8자리 숫자로 구성되어 있고, 1회만 사용 가능해요.

    여기서 반전인데, 많은 분들이 이 코드를 그냥 “나중에 저장해야지” 하고 넘기다가 정작 필요할 때 낭패를 봅니다. 제가 아는 30대 초반 직장인 한 분은 휴대폰을 분실하고 나서야 백업 코드를 저장하지 않았다는 걸 깨달았어요. 계정 복구에 2주가 걸렸다고 했습니다.

    백업 코드 안전하게 보관하는 방법:

    • 인쇄해서 서랍 안에 보관 (가장 확실한 방법)
    • 암호화된 메모장 앱(예: 1Password, Bitwarden)에 저장
    • 절대 하면 안 되는 것: 같은 구글 드라이브에 저장, 카카오톡 나에게 보내기

    백업 코드는 언제든지 구글 계정 보안 → 2단계 인증 → 백업 코드 섹션에서 새로 발급받을 수 있습니다.

    2단계 인증 해제·변경할 때 꼭 알아야 할 주의사항

    💡 스마트폰 교체 전에는 반드시 새 기기에 인증 앱을 먼저 설정하고 구 기기를 해제하세요. 순서가 바뀌면 잠길 수 있습니다.

    2단계 인증을 해제하거나 인증 방식을 변경할 때 가장 많이 실수하는 상황이 스마트폰 교체입니다.

    올바른 순서는 이렇습니다.

    1. 새 스마트폰에 Google Authenticator 설치
    2. 구 기기에서 Authenticator 앱 열기 → 계정 선택 → “키 이전” 기능 활용
    3. QR 코드 방식으로 새 기기에 계정 이전 완료 확인
    4. 구 기기의 인증 앱에서 해당 계정 삭제

    솔직히 이 부분은 저도 처음에 좀 헷갈렸어요. 예전 버전 Authenticator에는 이전 기능이 없어서 백업 코드로 수동 재설정해야 했거든요. 최신 버전에는 계정 내보내기/가져오기 기능이 생겨서 훨씬 편해졌습니다.

    그런데 말이에요, 혹시 구글 계정에서 2단계 인증을 완전히 해제하고 싶다면 어떻게 해야 할까요? 구글 계정 보안 → 2단계 인증 → 하단의 “2단계 인증 사용 중지”를 클릭하면 됩니다. 단, 이후 계정 보안은 오롯이 비밀번호에만 의존하게 된다는 점, 꼭 기억하세요.

    상황 해결 방법 소요 시간
    스마트폰 교체 인증 앱 계정 내보내기/가져오기 약 5분
    스마트폰 분실 백업 코드로 로그인 후 재설정 약 10분
    백업 코드도 없음 구글 계정 복구 페이지에서 본인 인증 수일 소요 가능
    앱 초기화·삭제 백업 코드 사용 또는 다른 신뢰 기기 약 5분

    2단계 인증, 사실 설정하는 것보다 백업 코드를 어디에 보관하느냐가 더 중요합니다. 지금 당장 구글 계정 보안 설정 페이지를 열어보시는 건 어떨까요? 딱 10분이면 충분합니다.

  • 계정 해킹 방지 실전 팁: 2단계 인증 설정 후 놓치기 쉬운 5가지

    💡 2단계 인증을 설정했다고 끝이 아닙니다. SMS 방식은 여전히 SIM 스와핑에 뚫리고, 피싱 사이트는 OTP도 빼갑니다. 설정 후 놓치기 쉬운 5가지를 반드시 확인하세요.

    2단계 인증 설정하고 안심했다가 그대로 털린 이야기

    대학교 선배 중에 게임 계정을 10개 넘게 운영하던 분이 있었어요. 스팀, 배틀넷, 넥슨, 에픽게임즈까지. 2단계 인증을 다 켜뒀다고 자신했는데, 어느 날 새벽에 스팀 계정이 통째로 넘어갔습니다. 인벤토리에 있던 아이템들도 전부 이전됐고요.

    원인은 SMS 인증이었습니다. 계정 해킹 방지를 위해 2단계를 켰지만, 방식이 잘못됐던 거예요. 이게 얼마나 흔한 함정인지, 직접 파고들어 봤습니다.

    함정 1: SMS 인증은 이미 뚫렸습니다

    💡 SIM 스와핑 공격은 해커가 통신사를 속여 피해자 번호를 자기 유심으로 이전하는 수법입니다. 이 순간부터 모든 문자 인증을 해커가 받습니다.

    SIM 스와핑이라는 말, 들어보셨나요? 사실 국내에서도 꽤 발생하는데 잘 알려지지 않았어요.

    해커가 여러분의 이름, 생년월일, 전화번호를 알고 있다면 — 이 정보들은 대부분 유출된 데이터에서 구할 수 있습니다 — 통신사 고객센터에 전화해서 유심 재발급을 신청합니다. 본인 확인 방식이 허술한 경우, 해커의 유심으로 여러분 번호가 이전됩니다. 그 다음부터는 “비밀번호 찾기 문자”가 전부 해커한테 가는 거예요.

    이게 실제로 가능한 일이냐고요? 미국에서는 수십억 달러 규모의 암호화폐 도난 사건 다수가 이 방법으로 발생했습니다. 국내도 안전하지 않아요.

    대응법은 간단합니다. SMS 인증을 OTP 앱 인증으로 교체하는 것. 구글 OTP, Microsoft Authenticator 같은 앱은 유심 이전과 무관하게 내 기기에서만 작동합니다.

    sequenceDiagram
        participant 해커
        participant 통신사
        participant 피해자폰
        participant 서비스
        해커->>통신사: 유심 재발급 요청 (피해자 정보 도용)
        통신사->>해커: 번호 이전 완료
        서비스->>해커: SMS 인증번호 발송
        해커->>서비스: 인증 완료 → 계정 탈취
        Note over 피해자폰: 신호 없음 (번호 이전됨)
    

    함정 2: OTP도 피싱 사이트에서 빼갑니다

    💡 리얼타임 피싱은 가짜 사이트가 여러분의 OTP를 받아 30초 안에 진짜 사이트에 입력합니다. OTP만으로는 이 속도전을 막을 수 없습니다.

    OTP 앱으로 바꿨으니 이제 안전하다고요? 잠깐, 이건 꼭 알아야 해요.

    “리얼타임 피싱”이라는 수법이 있습니다. 구글 로그인 페이지와 똑같이 생긴 가짜 사이트를 만들어 두고, 피해자가 비밀번호와 OTP를 입력하면 그걸 그대로 진짜 구글에 중계하는 방식입니다. OTP 유효 시간 30초 안에 처리하기 때문에, 숫자가 맞아 떨어집니다.

    이 수법은 OTP로는 막을 수가 없어요. 막는 방법은 두 가지입니다.

    • 하드웨어 보안 키(FIDO2) — 키가 도메인을 직접 검증하므로 가짜 사이트에서는 아예 응답 안 함
    • URL 확인 습관 — 로그인 전에 주소창을 반드시 확인. accounts.google.com이 맞는지 직접 봐야 합니다

    솔직히 이 부분은 저도 좀 무서웠어요. OTP 쓴다고 방심하고 있었거든요. (이건 진짜 꿀팁 — 구글 계정은 패스키로 업그레이드해 두면 이런 피싱이 원천 차단됩니다.)

    함정 3·4: 백업 코드와 복구 이메일을 방치하면 구멍이 생깁니다

    💡 백업 코드는 캡처해서 클라우드에 저장하면 안 됩니다. 그 클라우드가 털리면 백업 코드도 같이 털립니다. 반드시 오프라인 보관이 원칙입니다.

    2단계 인증을 설정하면 구글이 백업 코드 10개를 줍니다. 기기 분실 시 계정 복구용이에요. 근데요, 이걸 스마트폰 사진첩에 캡처해 두는 분이 정말 많습니다.

    사진첩이 구글 포토에 자동 백업 된다면요? 구글 계정이 털리는 순간 백업 코드까지 한꺼번에 노출됩니다. 의미가 없어요.

    백업 코드 보관 방법 비교를 보시면 이해가 빠릅니다:

    보관 방법 편의성 보안성 추천 여부
    스마트폰 사진 캡처 매우 편함 매우 낮음 절대 비추
    클라우드 메모(노션 등) 편함 낮음 비추
    종이 프린트 + 서랍 보관 불편함 높음 추천
    암호화된 USB에 저장 보통 매우 높음 강력 추천
    비밀번호 관리자 보안 노트 편함 높음 (마스터 PW가 강한 경우) 추천

    복구 이메일도 마찬가지입니다. 복구 이메일로 설정해 둔 계정 자체의 보안이 허술하면, 그쪽을 먼저 뚫고 들어와 주 계정을 리셋할 수 있습니다. 복구 이메일도 2단계 인증이 적용된 별도 계정이어야 합니다.

    이거 저만 모르고 있었던 건지, 주변에 물어봐도 백업 코드 어디 뒀는지 기억 못 하는 분들이 절반이에요. 지금 바로 확인해 보시겠어요?

    함정 5: 비밀번호 관리자 없이 2단계 인증만으로는 반쪽짜리입니다

    💡 2단계 인증은 비밀번호가 유출됐을 때 2차 방어선입니다. 비밀번호 자체를 강하게 만드는 관리자와 함께 써야 완전한 보호가 됩니다.

    여기서 반전인데, 2단계 인증만 믿고 비밀번호를 “password123” 같은 걸로 써두는 분들이 있습니다. 2단계 인증이 있으니 괜찮다는 생각으로요.

    사실은 2단계 인증도 공격자가 첫 번째 단계(비밀번호 입력)를 성공해야 의미가 있습니다. 비밀번호가 약하면 여전히 브루트 포스나 크리덴셜 스터핑 공격에 노출됩니다.

    최적의 조합은 이렇습니다:

    • 비밀번호 관리자(Bitwarden, 1Password 등)로 계정마다 다른 20자 이상 무작위 비밀번호 생성
    • OTP 앱(Google Authenticator, Aegis 등)으로 2단계 인증
    • 중요 계정은 하드웨어 보안 키로 최상위 보호

    웃긴 건, 비밀번호 관리자를 쓰면 오히려 편해집니다. 기억할 비밀번호가 마스터 패스워드 딱 하나니까요. 처음 설정하는 데 30분 정도 걸리는데, 그 이후로는 훨씬 편하게 쓸 수 있어요.

    게임 계정 해킹을 경험했던 그 선배는 지금 Bitwarden + Google OTP 조합으로 관리하고 있습니다. “설정하고 나니 오히려 비밀번호 신경 안 써도 되니까 편하다”고 하더군요. 완전히 반대로 됐습니다.

    pie title 2단계 인증 방식별 보안 강도
        "하드웨어 보안 키(FIDO2)" : 40
        "OTP 앱 인증" : 30
        "SMS 문자 인증" : 15
        "이메일 인증" : 10
        "기타" : 5
    

    2단계 인증, 설정했다고 다 된 게 아닙니다. 방식이 뭔지, 백업은 어떻게 돼 있는지, 비밀번호 관리는 어떻게 하는지 — 이 세 가지가 맞물려야 진짜 계정 해킹 방지가 됩니다.

    혹시 지금 어떤 방식으로 2단계 인증을 쓰고 계신지 궁금하네요. 아직 SMS 방식이라면, 오늘 안에 OTP 앱으로 바꾸는 걸 진지하게 고려해 보시길 권합니다.

  • 보안 인증 키(YubiKey) 사용법: 가장 강력한 2단계 인증 완벽 설명

    보안 인증 키가 왜 최강인지, 그리고 2단계 인증 설정 후 놓치기 쉬운 함정까지. 두 편 모두 작성합니다.

    보안 인증 키(YubiKey) 사용법: 가장 강력한 2단계 인증 완벽 설명

    💡 YubiKey 같은 하드웨어 보안 키는 스마트폰 앱 인증보다 물리적으로 강력하며, 구글 계정 등록은 5분이면 끝납니다. 단, 예비 키 없이 쓰다간 잠길 수 있으니 반드시 2개 세트로 준비하세요.

    해킹당한 지인을 보고 나서 달라진 것들

    지인 중에 50대 중소기업 대표분이 계십니다. 회사 G메일 계정이 통째로 털렸어요. 거래처 이메일 수천 건, 클라우드에 올려둔 계약서, 심지어 직원 급여 파일까지. 복구하는 데 꼬박 3주가 걸렸고, 그 사이에 거래처 한 곳과 관계가 끊겼다고 하더군요.

    그분이 쓰던 보안 방식은 SMS 인증이었습니다. “문자로 인증번호 오니까 괜찮지 않냐”고 하셨는데, 사실 그게 제일 위험한 방식 중 하나예요. 그 얘기는 뒤에서 다시 하겠습니다.

    그 사건 이후 제가 직접 찾아서 쓰기 시작한 게 보안 인증 키, 즉 하드웨어 보안 키입니다. 처음엔 ‘이게 USB인데 뭔 보안이야?’ 싶었어요. 써보고 나서 생각이 완전히 바뀌었습니다.

    보안 인증 키가 앱 인증을 압도하는 이유

    💡 FIDO2/WebAuthn 방식은 서버에 비밀번호를 저장하지 않고, 물리적 키를 꽂아야만 인증이 완료됩니다. 피싱 사이트는 이 방식을 원천적으로 뚫을 수 없습니다.

    구글 OTP 앱이나 네이버 OTP를 쓰고 계신 분들, 나쁜 선택은 아닙니다. 근데요, 거기에도 구멍이 있어요.

    OTP 앱은 결국 30초마다 바뀌는 숫자를 입력하는 방식이잖아요. 피싱 사이트가 진짜 구글 로그인 화면처럼 꾸며서 여러분의 비밀번호와 OTP 번호를 동시에 빼가면 — 30초 안에 진짜 사이트에 그대로 입력합니다. 실제로 이 수법이 꽤 많이 쓰이고 있어요.

    FIDO2/WebAuthn 방식의 하드웨어 보안 키는 이걸 원천 차단합니다. 원리가 다릅니다.

    • 서버는 여러분의 공개키만 저장합니다 (비밀번호 자체를 저장하지 않음)
    • 인증 시 키가 “지금 접속한 사이트의 도메인”을 직접 확인합니다
    • 피싱 사이트의 도메인은 google.com이 아니므로, 키가 아예 응답하지 않습니다
    • 물리적 키를 손에 쥐고 있지 않으면 인증 자체가 불가능합니다

    쉽게 말하면, 해커가 내 비밀번호를 알아내도 키가 없으면 로그인이 안 됩니다. 진짜예요.

    flowchart TD
        A[로그인 시도] --> B{인증 방식 선택}
        B --> C[SMS 문자 인증]
        B --> D[OTP 앱 인증]
        B --> E[하드웨어 보안 키]
        C --> F[SIM 스와핑에 취약]
        D --> G[피싱 사이트에 취약]
        E --> H[도메인 직접 검증]
        H --> I[피싱·스와핑 원천 차단]
        F --> J[계정 탈취 위험]
        G --> J
        I --> K[가장 강력한 보안]
    

    YubiKey 모델 선택 — 뭘 사야 할까요?

    💡 스마트폰 중심이면 NFC 모델, 노트북 중심이면 USB-C 모델, 회사 데스크탑까지 커버해야 한다면 USB-A+NFC 겸용이 가장 편합니다.

    YubiKey를 처음 사려고 검색하면 모델이 너무 많아서 멍해집니다. 저도 그랬어요. 지난 초에 직접 세 가지를 나란히 놓고 비교해봤는데, 정리하면 이렇습니다.

    모델 연결 방식 가격대 추천 대상
    YubiKey 5 NFC USB-A + NFC 약 6~7만 원 안드로이드폰 + 구형 노트북 사용자
    YubiKey 5C NFC USB-C + NFC 약 7~8만 원 아이폰 + 맥북/최신 노트북 사용자
    YubiKey 5Ci USB-C + Lightning 약 8~9만 원 아이폰 구형(Lightning 포트) 사용자
    Security Key NFC USB-A + NFC 약 3~4만 원 FIDO2만 쓸 예산 절약형

    참고로, 아이폰은 USB로 직접 꽂는 방식이 잘 안 됩니다. NFC 탭으로 쓰는 게 현실적이에요. 안드로이드는 USB-C든 NFC든 둘 다 됩니다.

    잠깐, 이건 꼭 알아야 해요. YubiKey는 반드시 2개를 사야 합니다. 하나를 잃어버리거나 망가졌을 때 계정에서 영원히 잠기는 상황을 막기 위해서예요. 아래에서 자세히 설명하겠습니다.

    구글 계정에 YubiKey 등록하는 방법

    💡 구글 계정 보안 설정에서 패스키/보안 키 항목을 찾아 키를 꽂거나 탭하면 5분 안에 등록 완료됩니다.

    생각보다 쉽습니다. 제가 처음 등록할 때 예상보다 훨씬 간단해서 오히려 당황했을 정도예요.

    1. myaccount.google.com에 접속합니다
    2. 왼쪽 메뉴 보안 클릭
    3. Google에 로그인하는 방법 섹션에서 2단계 인증 선택
    4. 스크롤 내려서 보안 키 추가 클릭
    5. 화면 안내에 따라 YubiKey를 USB 포트에 꽂고 버튼 터치 (또는 NFC 탭)
    6. 키 이름 지정 후 저장

    그런 다음 바로 두 번째 키도 같은 방법으로 등록해 두세요. 이걸 빠뜨리는 분이 많습니다.

    스마트폰 NFC 연동은요? 안드로이드는 구글 앱에서 로그인할 때 키를 뒤에 댄 후 잠깐 기다리면 됩니다. 아이폰은 Safari에서 웹으로 접속한 뒤 NFC 탭 방식으로 사용합니다.

    분실했을 때 — 당황하지 않으려면

    💡 예비 키 1개를 금고나 서랍에 보관하고, 구글 백업 코드 10개를 프린트해 오프라인에 보관하면 어떤 상황에서도 복구할 수 있습니다.

    아 그리고, 이게 진짜 중요한데요. 보안 키를 쓰다가 잃어버리면 어떻게 될까요?

    예비 키가 없으면 계정 복구 절차를 밟아야 합니다. 구글 기준으로 복구는 수일이 걸릴 수 있고, 예전 기기·이메일·전화번호로 본인 확인이 안 되면 영구적으로 잠기는 경우도 있습니다. 이건 진짜 공포예요.

    그래서 권장하는 보관 방법입니다:

    • 메인 키 — 열쇠고리에 붙여서 항상 소지
    • 예비 키 — 회사 서랍 또는 집 금고에 보관
    • 구글 백업 코드 10개 — 종이에 프린트, 밀봉해서 오프라인 보관

    50대 중소기업 대표분 이야기로 돌아가면 — 그분은 지금 YubiKey 5C NFC 두 개를 쓰고 계십니다. 하나는 노트북 케이스에, 하나는 금고에. “이걸 진작 알았더라면”이라고 하셨어요.

    혹시 회사 계정을 여러 개 관리하시는 분, 클라우드 서비스 의존도가 높으신 분이라면 — 지금 바로 YubiKey 두 개 세트 구입을 진지하게 고려해 보시길 권합니다. 한 번 당하고 나서 찾는 건 너무 늦으니까요.

    혹시 특정 서비스(네이버, 카카오, 은행 앱 등)에서 YubiKey 호환 여부가 궁금하신 분 계신가요? 아직 국내 서비스 지원은 제한적인 부분이 있어서, 댓글로 물어봐 주시면 확인해 드리겠습니다.

  • Apple ID 2단계 인증 설정법: iPhone·Mac에서 10분 만에 완료하기

    💡 Apple ID 이중 인증은 iPhone 설정 앱에서 5단계로 완료됩니다. iCloud 결제 정보와 앱스토어를 동시에 보호하는 가장 강력한 방법입니다.

    앱스토어 결제가 새벽에 혼자 되고 있었습니다

    지난 겨울, 아는 자영업자 분한테서 당혹스러운 이야기를 들었어요. 아침에 일어나보니 앱스토어에서 밤새 구독 결제가 4건 이뤄져 있었다는 겁니다. 본인이 가입한 적도 없는 앱들이었고, 총 금액도 꽤 됐어요.

    알고 보니 Apple ID 비밀번호가 어딘가에서 유출된 거였습니다. 이중 인증이 꺼져 있는 상태였고, 비밀번호만으로 로그인이 가능했던 거예요.

    그 분이 저한테 처음 물어본 게 뭐였냐면, “애플 2단계 인증 설정을 어떻게 하냐”는 거였어요. 같이 iPhone을 들고 설정해 드리면서, 이걸 글로 정리해야겠다 싶었습니다.

    Apple ID 이중 인증이란? 2단계 인증과 다른 점은요?

    💡 Apple은 공식적으로 “이중 인증”이라는 표현을 사용하며, 이는 애플 서버 기반으로 동작해 별도 앱 설치가 필요 없습니다.

    애플 2단계 인증 설정을 검색하다 보면 “2단계 확인”과 “이중 인증”이 혼용되어 나오는데, 이건 실제로 다른 보안 방식입니다.

    “2단계 확인”은 구형 방식으로, 애플이 2019년 이후 지원을 종료했습니다. 현재 Apple ID에 적용되는 방식은 이중 인증(Two-Factor Authentication)이에요. 차이는 이렇습니다.

    • 구형(2단계 확인): SMS나 복구 키 기반, 신뢰 기기 개념 없음
    • 현재(이중 인증): 신뢰할 수 있는 기기나 전화번호로 6자리 코드 수신, 훨씬 안전

    그리고 반전인데, 이중 인증은 한 번 켜면 기본적으로 끌 수 없습니다. 설정 후 2주 이내에는 해제 가능하지만, 그 이후에는 영구 적용됩니다. 그래서 설정 전에 내용을 제대로 알고 시작해야 해요.

    flowchart TD
        A[Apple ID 로그인 시도] --> B{이중 인증 설정됨?}
        B -- 아니오 --> C[비밀번호만으로 로그인 완료]
        B -- 예 --> D[6자리 코드 요청]
        D --> E{신뢰 기기에 코드 도착}
        E --> F[코드 입력]
        F --> G[로그인 완료]
        C --> H[해킹 위험 높음]
        G --> I[안전한 접근]
    

    iPhone에서 Apple ID 이중 인증 설정: 단계별 완전 정복

    💡 설정 앱 → Apple ID → 로그인 및 보안 → 이중 인증 켜기 순서로 진행합니다. 10분이면 충분합니다.

    자, 이제 직접 해봅시다. iPhone 기준으로 설명드립니다.

    1단계: 설정 앱 접근

    1. iPhone에서 설정 앱 실행
    2. 상단의 본인 이름(Apple ID 프로필)
    3. “로그인 및 보안” 선택

    2단계: 이중 인증 활성화

    1. “이중 인증” 항목 확인 (이미 켜져 있다면 완료)
    2. 꺼져 있다면 “이중 인증 켜기”
    3. 전화번호 입력 화면에서 인증 코드를 받을 번호 등록
    4. SMS 또는 자동 음성 전화 선택 후 “계속”
    5. 수신된 6자리 코드 입력

    이게 전부예요. 정말 간단하죠? 처음엔 “이게 다야?” 싶었습니다. Mac을 함께 쓰신다면 추가 설정이 있으니 아래를 계속 읽어 주세요.

    Mac에서 설정하는 방법은 다음과 같습니다.

    • 시스템 설정(Ventura 이상) 또는 시스템 환경설정 열기
    • 상단의 Apple ID 클릭
    • “암호 및 보안” → “이중 인증 켜기”
    • 이후 과정은 iPhone과 동일

    신뢰할 수 있는 기기와 전화번호 관리하기

    💡 신뢰 기기는 인증 코드를 받는 창구입니다. 더 이상 쓰지 않는 구기기는 반드시 목록에서 제거하세요.

    이중 인증을 켜면 내 Apple ID에 로그인된 기기들이 자동으로 “신뢰할 수 있는 기기”로 등록됩니다. 이 기기들로 인증 코드가 팝업으로 표시돼요.

    신뢰 기기 목록은 설정 앱 → Apple ID 프로필 → 아래로 스크롤하면 확인할 수 있습니다. 오래된 기기나 분실한 기기가 남아있다면 해당 기기 이름을 탭하고 “내 Apple ID 계정에서 제거”를 선택하세요.

    (이건 진짜 꿀팁) 신뢰 전화번호는 최소 2개 이상 등록해 두는 게 좋습니다. 주 번호가 문제 생겼을 때 대비용으로 가족 번호 하나 추가해 두면 안심이 됩니다. 설정 앱 → Apple ID → 로그인 및 보안 → “신뢰할 수 있는 전화번호” → “전화번호 추가”로 등록 가능해요.

    iCloud 결제 정보 보호를 위한 추가 보안 설정

    💡 이중 인증만으로는 부족합니다. 앱스토어 구매 시 항상 암호 요구 설정과 Face ID 인증을 함께 쓰면 이중으로 보호됩니다.

    이중 인증을 설정했다고 해서 결제 보안이 100% 완료된 건 아닙니다. 몇 가지 추가 설정이 있어요.

    앱스토어 구매 시 항상 암호 요구하기:

    • 설정 → 본인 이름 → 미디어 및 구입 항목
    • “항상 요구”로 설정 (무료 앱도 포함)

    스크린 타임으로 구매 잠금하기:

    • 설정 → 스크린 타임 → 콘텐츠 및 개인 정보 보호 제한
    • iTunes Store 및 App Store 구입 → 인앱 구입: “허용 안 함” 설정 가능

    자녀가 있는 가정이나 스마트폰을 공유하는 경우에 특히 유용합니다.

    보안 설정 위치 효과
    이중 인증 설정 → Apple ID → 로그인 및 보안 계정 탈취 방지
    구매 시 암호 요구 설정 → Apple ID → 미디어 및 구입 무단 결제 방지
    신뢰 기기 정리 설정 → Apple ID → 기기 목록 구기기 통한 접근 차단
    복구 키 설정 설정 → Apple ID → 로그인 및 보안 → 복구 키 계정 복구 안전망

    이중 인증 분실 시 계정 복구: 복구 키가 생명줄입니다

    💡 복구 키는 28자리 코드입니다. 이걸 잃어버리고 신뢰 기기도 없으면 Apple조차 계정을 복구해 줄 수 없습니다. 반드시 오프라인에 보관하세요.

    가장 중요한 부분을 마지막에 남겨뒀습니다.

    신뢰 기기가 모두 없어지고 전화번호도 바뀌었다면, 이중 인증 코드를 받을 방법이 사라집니다. 이 경우를 대비한 것이 복구 키입니다.

    복구 키 설정 방법:

    1. 설정 → Apple ID → 로그인 및 보안
    2. “복구 키” 탭 → 켜기
    3. Face ID 또는 암호 인증
    4. 28자리 복구 키 화면에 표시됨
    5. 이를 직접 메모하거나 인쇄해서 안전한 곳에 보관

    참고로, 복구 키를 활성화하면 애플의 계정 복구 지원이 제한됩니다. 즉, “나 혼자 복구 키로 관리하겠다”고 선언하는 셈이에요. 그만큼 복구 키 보관이 더욱 중요해집니다.

    솔직히 이 복구 키 기능은 저도 설정하고 나서 약간 긴장됐어요. 28자리 코드 하나에 계정 전체가 달려있는 느낌이랄까요. 그래서 저는 인쇄해서 서랍에 넣어두고, 암호화된 노트 앱에도 따로 저장해 두었습니다.

    iPhone과 MacBook 모두 사용하고, 앱스토어와 iCloud에 결제 정보가 연결되어 있다면 애플 2단계 인증 설정은 선택이 아닌 필수입니다. 오늘 이 글을 읽으셨다면, 지금 바로 iPhone 설정 앱을 열어보시는 건 어떨까요?

  • 인증 앱 추천 비교: Google Authenticator vs Authy vs Microsoft Authenticator

    💡 인증 앱마다 클라우드 백업 지원 여부가 다릅니다. 스마트폰을 자주 바꾼다면 Authy, 보안이 최우선이라면 Google Authenticator가 정답입니다.

    인증 앱 고르다가 시간 다 보낼 뻔 했습니다

    프리랜서로 일하다 보면 계정이 정말 많아집니다. 클라이언트 협업 플랫폼, 클라우드 스토리지, 결제 도구, 디자인 툴까지. 저도 한때 5개 이상의 플랫폼 계정에 일일이 2단계 인증을 설정하다가, 스마트폰을 바꾸면서 인증 코드를 죄다 날려먹은 경험이 있어요.

    그날 이후로 인증 앱 추천 글을 수십 개 읽고, 직접 세 앱을 모두 설치해서 2주 넘게 써봤습니다. 그 결과를 지금 정리해 드릴게요.

    웃긴 건, 세 앱 중 어느 게 무조건 최고라고 말하기가 어렵다는 거예요. 상황에 따라 최적의 선택이 다르거든요.

    세 앱의 핵심 기능, 한눈에 비교하기

    💡 Google Authenticator는 단순·안전, Authy는 클라우드 백업으로 편리, Microsoft Authenticator는 MS 생태계 최적화가 각각의 강점입니다.

    먼저 핵심 스펙부터 정리하겠습니다.

    항목 Google Authenticator Authy Microsoft Authenticator
    클라우드 백업 구글 계정 백업 지원(최신) 전용 클라우드 백업 MS 계정 클라우드 백업
    기기 이전 편의성 보통 (QR 내보내기) 매우 쉬움 쉬움
    다중 기기 지원 미지원(1기기 권장) 지원(최대 다중) 제한적 지원
    다중 계정 관리 기본 리스트 아이콘·색상 구분 타일형 UI
    보안 잠금 기본(핀/생체) 고급(앱 암호) 기본(생체)
    오프라인 작동 완전 지원 완전 지원 완전 지원
    가격 무료 무료 무료

    수치로 보면 Authy가 압도적으로 편리해 보이는데, 사실은 각 앱마다 숨겨진 맥락이 있습니다.

    xychart
        title "인증 앱 항목별 점수 (10점 만점)"
        x-axis ["보안성", "편의성", "기기이전", "UI/UX", "다중계정"]
        y-axis 0 --> 10
        bar [8, 6, 6, 6, 7]
        bar [7, 9, 10, 9, 9]
        bar [8, 8, 8, 8, 7]
    

    Google Authenticator: 단순함이 곧 강점입니다

    💡 외부 서버에 인증 데이터를 보내지 않는 구조 자체가 Google Authenticator의 가장 큰 보안 강점입니다.

    Google Authenticator는 처음 나왔을 때부터 지금까지 철학이 하나입니다. 심플하게, 로컬에서.

    코드 생성 알고리즘(TOTP)이 기기 안에서만 돌아가기 때문에 클라우드 서버가 해킹당해도 내 인증 코드는 안전합니다. 반면 클라우드 백업을 지원하지 않다 보니(최신 버전은 구글 계정 연동 백업이 추가됐지만), 예전에는 스마트폰을 잃어버리면 등록된 모든 계정을 수동으로 재설정해야 했어요.

    아, 그리고 최신 버전에서는 구글 계정을 통한 백업 기능이 추가됐습니다. 다만 이 기능을 사용하면 구글 서버에 암호화된 데이터가 올라가는 구조라, 순수 로컬 방식을 원하는 분들은 구글 계정 연동 백업을 끄고 쓰는 경우도 있어요.

    이런 분께 추천합니다: 보안이 최우선이고, 스마트폰 교체가 잦지 않은 분. 계정 수가 많지 않은 분.

    Authy: 기기 교체가 잦다면 이게 정답입니다

    💡 Authy는 암호화된 클라우드 백업으로 스마트폰 교체 시에도 인증 데이터를 그대로 복원할 수 있습니다.

    솔직히 말하면, 저는 지금 Authy를 메인으로 씁니다.

    이유는 단순해요. 작년에 갤럭시에서 아이폰으로 기기를 바꿨는데, Google Authenticator에 등록해 뒀던 계정 12개를 하나하나 재설정해야 했거든요. 어떤 서비스는 고객센터까지 연락해야 했습니다. 정말 그 경험이 너무 힘들었어요.

    Authy는 전용 클라우드에 암호화된 백업을 저장하고, 새 기기에서 전화번호 인증 한 번이면 모든 계정이 복원됩니다. 게다가 아이콘·색상으로 계정을 구분할 수 있어서 5개 이상 계정을 관리할 때 헷갈리지 않아요.

    그런데 말이에요, 단점도 있습니다. 클라우드 백업 자체가 잠재적 공격 표면이 될 수 있다는 점. 그리고 Authy는 Twilio라는 회사가 운영하는데, 2022년에 직원 계정 침해 사건이 있었어요. 실제로 인증 데이터가 유출되지는 않았지만, 이 사건 이후 일부 보안 전문가들은 Authy 대신 로컬 방식을 권장하기도 합니다.

    이런 분께 추천합니다: 스마트폰을 자주 바꾸는 분. 관리할 계정이 5개 이상인 프리랜서나 직장인.

    Microsoft Authenticator: MS 생태계 사용자라면 고민할 것도 없습니다

    💡 Microsoft 365, Azure, Outlook을 업무에 쓴다면 Microsoft Authenticator가 가장 자연스럽게 통합됩니다.

    Microsoft Authenticator는 MS 계정에 대해서는 독보적입니다. 비밀번호 없이 MS 계정에 로그인하는 패스워드리스 인증을 지원하고, Azure AD 계정의 승인 요청을 푸시 알림으로 받을 수 있거든요.

    참고로, 구글이나 다른 서비스의 TOTP 인증도 물론 추가할 수 있습니다. 타일형 UI가 깔끔해서 처음 쓰는 분들도 쉽게 적응해요.

    다만 MS 생태계를 전혀 안 쓰는 분에게는 굳이 선택할 이유가 없어요. 기능적으로 Authy와 비슷한 편의성을 제공하지만, 비MS 계정 관리에서는 Authy가 더 유연합니다.

    이런 분께 추천합니다: 회사에서 Microsoft 365를 쓰는 직장인. Azure나 Office 계정이 핵심인 분.

    상황별 최종 추천: 이것만 보세요

    혹시 아직도 고민 중이신가요? 이 세 가지 질문으로 앱을 고르세요.

    • 스마트폰 교체가 잦고, 계정이 5개 이상이다 → Authy
    • 보안이 최우선이고, 기기 교체는 드물다 → Google Authenticator
    • MS 365나 Azure를 업무에 쓴다 → Microsoft Authenticator

    사실 세 앱 모두 무료이고 기본적인 TOTP 기능은 동일합니다. 고민보다는 지금 당장 하나 설치해서 주요 계정 하나에 먼저 연동해 보는 게 낫습니다. 직접 써봐야 자기한테 맞는 앱이 뭔지 느낌이 오거든요.

    이거 저만 그런 건가요? 인증 앱 고르는 것보다 막상 써보면 바꾸기 싫어지는 그 관성이요. 여러분은 어떤 앱이 맞을 것 같으세요?