2단계 인증(2FA), SMS는 쓰지 마세요 — 비전공자를 위한 현실 가이드

비밀번호 유출 알림 메일을 받고 식은땀 흘려본 적 있으면 — 이미 그게 2FA를 설정해야 할 충분한 이유다. 그 불안감이 사라지기 전에 지금 바로 설정하면 된다.

현실은 이렇다. 2025년 기준, 인포스틸러 악성코드가 탈취한 계정 정보만 18억 건이다. 비밀번호의 94%는 두 개 이상의 사이트에서 재사용되고 있고. 내 비밀번호가 어딘가에서 이미 돌아다니고 있을 확률이 높다.

그런데 비밀번호가 털려도 계정은 안 뚫리는 방법이 있다. 2단계 인증(2FA)이다.

비밀번호 털렸는데 계정은 살았다 — 실제로 이런 일이 일어남

시나리오 하나 그려보겠다.

네이버 비밀번호가 유출됐다. 공격자가 그 비밀번호로 로그인을 시도한다. 비밀번호는 맞다. 그런데 “인증 코드를 입력하세요”라는 화면이 뜬다. 그 코드는 내 폰에 깔린 인증 앱에서만 나온다.

공격자는 내 폰이 없으니 코드를 모른다. 로그인 실패. 끝.

이게 2FA가 하는 일이다. 비밀번호(“내가 아는 것”)에 인증 장치(“내가 가진 것”)를 하나 더 얹는 거다. 둘 다 뚫려야 계정이 털리는 구조다.

SMS 인증 — 없는 것보단 낫지만, 써야 할 이유도 없음

문자로 6자리 코드 받는 방식. 가장 흔하고, 가장 약하다.

왜 약한지 구체적으로 보겠다.

SIM 스와핑이라는 공격이 있다. 공격자가 통신사에 연락해서 “폰을 잃어버렸다, 새 유심으로 번호를 옮겨달라”고 사회공학적 수법을 쓴다. 통신사 직원이 넘어가면, 내 전화번호가 공격자의 유심으로 이전된다. 이제 내 문자 인증 코드가 공격자한테 간다.

남의 일이 아니다. 2024년 영국에서 SIM 스와핑 신고가 전년 대비 1,055% 폭증했다. 호주는 240% 증가. 미국 FBI 기준 피해자당 평균 손실액은 약 2만 6천 달러(약 3,500만 원)다.

SMS 인증의 또 다른 문제는 통신망에 의존한다는 점이다. 해외에 있거나, 비행기 모드이거나, 유심이 없으면 코드를 못 받는다.

결론: SMS 인증 밖에 선택지가 없으면 켜둬라. 그 외의 모든 상황에서는 다음 단계로 올라가는 게 맞다.

TOTP 앱 — 일반인이 쓸 수 있는 가장 현실적인 방법

TOTP(Time-based One-Time Password)는 인증 앱이 30초마다 새 코드를 자동 생성하는 방식이다. 문자가 아니라 앱 안에서 코드가 만들어지기 때문에, SIM 스와핑과는 아무 관련이 없다. 인터넷 연결도 필요 없다.

앱 비교 — 뭘 깔아야 하나

	오픈소스	암호화 클라우드 백업	멀티 디바이스	데스크톱	비용
Google Authenticator	X	O (구글 계정)	O	X	무료
Ente Auth	O	O (종단간 암호화)	O	O	무료
Bitwarden TOTP	O	O (볼트 내장)	O	O	연 $20 (프리미엄)
Authy	X	O	모바일만	X (2024년 종료)	무료

Google Authenticator — 가장 쉽다. 구글 계정으로 백업되니 폰을 바꿔도 복원된다. 앱 자체에 잠금(Privacy Screen)이 있지만 기본 설정에서는 꺼져 있어 따로 활성화해야 한다. 켜지 않으면 폰 잠금 화면이 뚫렸을 때 코드가 노출된다.

Ente Auth — 오픈소스이고, Cure53 등 외부 보안 감사를 받았다. 종단간 암호화(E2EE) 백업이라 Ente 서버가 털려도 내 코드는 안전하다. 데스크톱 앱도 있다. 무료다.

Bitwarden TOTP — 이미 Bitwarden을 비밀번호 매니저로 쓰고 있다면 편하다. 비밀번호와 2FA 코드가 한 곳에 있으니 편리한 반면, “한 바구니에 계란 다 담기”라는 리스크도 있다. 프리미엄(연 $20) 필요.

Authy — 한때 가장 인기 있었지만, 2024년 3월 데스크톱 앱이 완전 종료됐다. 모바일 앱은 유지 중이나, 소스 비공개이고 Twilio(모회사) 방향성이 불확실하다. 지금 새로 시작한다면 굳이 선택할 이유가 없다.

비전공자 추천

처음 시작한다면 Google Authenticator. 프라이버시가 신경 쓰인다면 Ente Auth.

하드웨어 보안 키 — 피싱까지 막는 최종 방어선

YubiKey 같은 물리적 장치를 USB나 NFC로 연결해서 인증하는 방식이다.

TOTP 앱과의 결정적 차이는 피싱 차단이다. TOTP 코드는 가짜 사이트에 입력하면 공격자한테 넘어간다. 하드웨어 키는 다르다 — 키가 접속 중인 사이트의 도메인을 자동으로 확인한다. g00gle.com 같은 가짜 도메인이면 인증 자체가 진행되지 않는다.

가격은 YubiKey 5C NFC 기준 약 58달러(약 8만 원). 기본형 FIDO2 키는 29달러(약 4만 원)부터 있다.

단점은 분실 리스크다. 키를 잃어버리면 등록된 계정에 접근할 수 없으니, 반드시 백업 키를 하나 더 등록해두거나 백업 코드를 저장해야 한다.

누구에게 뭐가 필요한가 — 위험도별 분류

🟢 일반 사용자 — TOTP 앱이면 충분

카페 와이파이 가끔 쓰고, SNS·메일·쇼핑 정도 하는 수준이다. TOTP 앱 하나 깔아서 주요 계정에 설정하면 된다. 하드웨어 키까지는 과하다.

🟡 민감한 상황 — TOTP + 백업 코드 관리

금융 계정, 업무용 이메일, 클라우드 스토리지를 다루는 경우. TOTP 앱을 쓰되, 백업 코드를 비밀번호 매니저나 물리적 종이에 따로 보관해라. 기기 분실 시 복구 경로를 미리 확보해두는 거다.

🔴 OPSEC 필요 — 하드웨어 키

기자, 내부고발자, 활동가, 기업 인프라 관리자. 피싱 자체를 원천 차단해야 하는 상황이라면 YubiKey 같은 FIDO2 하드웨어 키가 맞다. 메인 키 + 백업 키, 최소 2개.

지금 당장 — 가장 중요한 계정 3개에 2FA 거는 법

지금 5분이면 된다.

1단계: 계정 3개 고르기

가장 먼저 지킬 계정은 이 순서다.

• 이메일 (네이버, 구글, 아웃룩) — 다른 모든 계정의 비밀번호 재설정이 여기로 온다. 이메일이 털리면 나머지 전부 위험하다.
• 금융 (은행, 증권, 간편결제) — 돈이 걸려 있다.
• 클라우드 (구글 드라이브, iCloud, 드롭박스) — 사진, 문서, 백업 데이터가 들어 있다.

2단계: 인증 앱 설치

Google Authenticator 또는 Ente Auth를 설치한다. 둘 다 무료이고, 앱스토어·플레이스토어에서 바로 받을 수 있다.

3단계: 각 계정 보안 설정에서 2FA 켜기

계정 설정 → 보안 → 2단계 인증 → “인증 앱” 선택 → QR 코드가 뜨면 인증 앱으로 스캔. 끝이다.

설정할 때 백업 코드가 같이 나온다. 이걸 스크린샷으로 찍어서 클라우드에 넣지 마라. 비밀번호 매니저에 저장하거나, 종이에 적어서 서랍에 넣어둬라.

결론

비밀번호는 이미 어딘가에서 돌아다니고 있을 거다. 그건 막을 수 없다. 막을 수 있는 건, 그 비밀번호만으로 로그인이 되는 상태를 없애는 거다.

SMS 인증은 SIM 스와핑에 뚫린다. TOTP 앱은 SIM 스와핑과 무관하고, 일반 사용자에게 충분하다. 하드웨어 키는 피싱까지 막지만, 대부분의 사람에겐 과하다.

지금 이 글을 닫기 전에, 이메일 계정 하나만 2FA를 걸어둬라. 5분이면 된다. 그 5분이 계정 전체를 지킨다.