MFA가 중요한 이유
비밀번호 재사용과 자격 증명 유출은 언젠가 발생합니다. 실시간 확인(일회용 코드, 푸시 승인, 하드웨어 키, 생체 인증)을 추가하면 특히 관리자·금융·이메일 계정에서 위험이 크게 줄어듭니다.
주요 2FA 방식
SMS (가장 취약)
지원 범위가 넓지만 SIM 스와핑, SS7 도청, 피싱에 취약합니다. 더 강한 옵션이 없을 때만 사용하세요.
메시징 앱(WhatsApp, Telegram 등)
메시지가 암호화되므로 SMS보다 약간 안전하지만 여전히 전화번호에 의존하며 해당 계정이 탈취되면 위험합니다.
인증 앱(TOTP)
공유된 비밀을 기반으로 30초마다 오프라인 코드를 생성합니다. 대부분의 서비스에서 적극 추천합니다. 인기 앱:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden 내장 TOTP
- Duo Mobile, Aegis, 2FAS
푸시 기반 인증기
Okta, Duo, Microsoft, Google 등은 로그인 승인 푸시 알림을 보냅니다. 편리하지만 피로 공격에 주의하세요. 예상치 못한 요청은 반드시 거절하세요.
하드웨어 보안 키
YubiKey, Feitian, SoloKeys 같은 FIDO2/WebAuthn 장치는 피싱에 강한 2FA를 제공합니다. 로그인 도메인을 확인한 뒤 승인을 진행하며 패스키와 PGP도 지원할 수 있습니다.
플랫폼 인증기 및 패스키
기기에 내장된 Windows Hello, Touch ID, Face ID, Android 패스키 등은 WebAuthn을 활용하며 피싱에 강하면서도 편리합니다.
보안과 편의성 비교
| 방식 | 보안 수준 | 사용 편의성 | 주요 위험 |
|---|---|---|---|
| SMS | 낮음 | 매우 높음 | SIM 스와핑, 도청, 가짜 초기화 메일 |
| 메시징 앱 | 중간 | 높음 | 계정 탈취, 기기 의존성 |
| 인증 앱 | 높음 | 중간 | 기기 분실 시 백업 미비 |
| 푸시 승인 | 높음 | 매우 높음 | 푸시 피로, 무심코 승인 |
| 하드웨어 키 | 매우 높음 | 중간 | 분실·예비 키 미준비 |
| 패스키/플랫폼 인증 | 매우 높음 | 높음 | 에코시스템 잠금, 기기 분실 |
도입을 위한 팁
- 최소 2개의 2FA 방법을 준비하세요(예: 하드웨어 키 + 인증 앱).
- 복구 코드를 안전한 오프라인 위치에 보관하고 정기적으로 갱신하세요.
- 하드웨어 키는 예비 키를 설정하고 팀 계정에는 공유 금고를 사용하세요.
- 푸시 알림이 예상치 못하게 오면 즉시 비밀번호를 변경하고 보안 로그를 확인하세요.
- 가능한 경우 패스키 같은 피싱 저항 방식을 우선 적용하세요.
자주 묻는 질문
어떤 계정부터 2FA를 켜야 하나요?
은행, 메인 이메일, 소셜 네트워크, 업무 계정 등 탈취 시 피해가 큰 계정부터 우선 적용하세요.
하드웨어 키 없이도 충분한가요?
인증 앱만으로도 대부분의 공격을 막을 수 있지만, 피싱 저항이 필요한 관리자·민감 계정에는 하드웨어 키나 패스키를 권장합니다.
휴대폰을 잃어버리면 어떻게 하나요?
복구 코드, 백업 기기, 예비 하드웨어 키를 준비해 두세요. 새로운 기기로 이전하기 전까지 기존 코드를 재설정하지 마세요.