인증 앱이란 무엇인가요

인증 앱은 암호화 알고리즘(예: TOTP 또는 HOTP)을 사용하여 시간 기반 인증 코드를 생성함으로써 계정에 추가적인 보호 계층을 제공하는 보안 도구입니다.

비밀번호 유출은 항상 발생하며, 비밀번호만으로는 더 이상 안전하지 않습니다. 그래서 주요 웹사이트와 앱들은 이제 이중 인증(2FA) 또는 다중 인증(MFA)을 제공합니다. 인증 앱은 비밀번호와 함께 계정을 보호하기 위해 동적 인증 코드를 생성하는 인기 있는 2FA 도구입니다.

인증 앱은 어떻게 작동하나요?#

인증 앱은 계정이 호스팅된 서버와 고유한 비밀 키를 공유함으로써 작동합니다. 처음 2FA를 설정할 때 서비스에서는 이 비밀 키를 생성하고 QR 코드로 표시합니다. 이 코드를 인증 앱으로 스캔하면, 앱과 서비스는 동일한 비밀을 공유하게 되며, 이것은 둘만 알게 됩니다.

이 공유된 비밀과 현재 시간을 사용하여, 양측은 표준화된 알고리즘(일반적으로 TOTP - 시간 기반 일회용 비밀번호)을 통해 독립적으로 동일한 6자리 인증 코드를 생성할 수 있습니다. 로그인 시도 시, 서비스는 인증 앱에서 입력한 코드와 자신이 생성한 코드를 비교하고, 코드가 일치하면 액세스가 허용됩니다.

설정 과정은 간단합니다:

1. 서비스는 고유 비밀 키를 생성합니다
2. 이 비밀 키를 포함하는 QR 코드를 인증 앱으로 스캔합니다
3. 앱은 이 비밀을 기기에 안전하게 저장합니다
4. 그 이후로 양측은 필요시 일치하는 인증 코드를 생성할 수 있습니다

인증 앱은 왜 안전한가요?#

인증 앱은 뛰어난 보안을 제공합니다. Google의 연구에 따르면, 이들은 자동 공격의 99.9%를 차단하며, SMS 인증보다 50% 더 효과적입니다. 이들이 이렇게 안전한 이유를 살펴보겠습니다:

수학적 보안#

침입의 어려움을 상상해 보세요:

• SMS 코드: 6자리 숫자를 추측하는 것과 같음 (백만 가지 가능성)
• 인증 키: 80비트 숫자를 추측하는 것과 같음 (우주에 있는 원자보다 더 많은 조합)

시간 기반 보호#

코드 유효성 비교:

• SMS 코드는 일반적으로 5-10분 동안 유효하여, 상당한 보안 위험을 초래함
• 인증 앱 코드는 30초마다 갱신되므로, 실질적으로 악용이 불가능

오프라인 생성의 이점#

• 네트워크 전송 필요 없음
• SMS 가로채기 위험 없음
• SIM 카드 복제 공격에 면역

해커가 인증 앱을 해독할 수 없는 이유#

계속해서 변화하는 조합을 가진 금고와 같습니다:

• 매 30초마다 변경
• "비밀 키"와 "정확한 시간" 모두 필요
• 코드 하나가 도난당해도 다음 코드는 안전하게 유지

당신이 아는 것(비밀번호) + 당신이 가진 것(인증 앱) + 시간 기반 수학 = 거의 깨지지 않는 보호

인증 앱 사용법: 단계별 가이드#

실제 예시를 통해 인증 앱을 사용하는 방법을 배워봅시다.

우리는 Logto의 인증 서비스를 사용하여 이 과정을 시연할 것입니다.

단계 1: 신뢰할 수 있는 소스에서 인증 앱 다운로드 및 설정#

1. 신뢰할 수 있는 인증 앱 다운로드:
   • Google Authenticator
   • Microsoft Authenticator
2. 전화기에 앱 설치
3. 앱의 지침에 따라 초기 설정 완료(필요시 계정 생성).

단계 2: Logto 데모 앱에 대한 인증 앱 지원 활성화#

1. Logto Cloud에 로그인하거나 가입하고 온보딩 가이드에 따라 첫 번째 테넌트를 만드세요.

2. Console > Multi-factor Authentication으로 이동하여 Authenticator app OTP 와 Backup code 인증 요인을 켜고 "사용자는 로그인 시 항상 MFA를 사용해야 함"을 2단계 인증 정책으로 선택한 후 변경사항 저장을 클릭합니다.

3. Console > Sign-in Experience > Sign-up and sign-in 페이지로 이동하여 Username 을 가입 식별자로 선택하고 Email address 를 로그인 식별자에서 제거한 후 변경사항 저장을 클릭합니다.

단계 3: 인증 앱을 계정에 연결하기 위해 QR 코드 스캔#

1. 여전히 Logto Console의 Sign-in Experience 페이지에서, Sign-in Preview"** 섹션 오른쪽 상단의 "Live preview" 버튼을 클릭하세요. 그러면 데모 앱의 로그온 페이지로 리디렉션됩니다.

2. 로그인 페이지에서 계정 생성 버튼을 클릭 후, 사용자 이름과 비밀번호를 입력하여 계정을 생성하고, QR 코드가 표시된 화면을 봅니다.

3. 인증 앱을 열고 QR 코드를 스캔합니다. 그러면 6자리 코드가 표시된 화면을 보게 됩니다.

4. 바인딩을 확인하기 위해 6자리 코드를 입력한 후 저장소 코드 페이지로 리디렉션됩니다. 백업 코드를 안전한 장소에 저장하세요.

5. 계속 버튼을 클릭하고, 데모 앱에 성공적으로 로그인되었습니다.

단계 4: 인증 앱을 사용하여 데모 앱에 로그인 시도#

1. 데모 앱에 성공적으로 로그인했을 때 라이브 미리보기 로그아웃 버튼을 클릭하여 데모 앱에서 로그아웃하고 데모 앱의 로그인 페이지로 돌아갑니다.

2. 사용자 이름과 비밀번호로 데모 앱에 로그인 시도하며, 6자리 코드를 입력해야 할 것입니다.

3. 인증 앱을 열고 logto.app 관련 보이는 6자리 코드를 입력하면 데모 앱에 성공적으로 로그인됩니다!

인증 앱을 안전하게 사용하는 방법?#

인증 앱은 안전하지만 최상의 보호를 위해 올바르게 사용해야 합니다:

신뢰할 수 있는 소스에서 다운로드#

• 공식 앱 스토어(Google Play Store, Apple App Store)에서 인증 앱을 받으세요
• Google, Microsoft 같은 신뢰할 수 있는 회사의 인기 앱을 사용하세요.
• 가짜 앱을 조심하세요 - 이들은 당신의 계정을 훔칠 수 있습니다

백업 코드 안전하게 저장#

• 백업 코드를 안전한 오프라인 또는 비밀번호 관리자에 저장하세요
• 인증 앱과 같은 기기에 백업 코드를 두지 마세요
• 여러 안전한 장소에 백업 코드를 저장하는 것이 좋습니다
• 여전히 백업 코드에 접근할 수 있는지 가끔 확인하세요

설정 시 주의#

계정을 인증 앱에 추가할 때:

• QR 코드를 스캔할 때 주변에 아무도 없을 때 하세요
• QR 코드나 비밀 키의 스크린샷을 절대 찍지 마세요
• 비밀 키를 메시지나 이메일로 공유하지 마세요
• 비밀 키를 복사했다면, 클립보드를 클리어하세요

기타 안전 팁#

• 지문 또는 얼굴 잠금을 인증 앱에서 사용할 수 있다면 사용하세요
• 인증 앱을 정기적으로 백업하세요
• 전화기와 인증 앱을 최신 상태로 유지하세요
• 중요한 계정에 대해서는 별도의 인증 앱을 사용하는 것이 좋습니다

인증 앱을 잃어버리면 어떻게 하나요?#

인증 앱을 잃어버려도 걱정하지 마세요. 2FA 설정 시, 서비스들은 백업 코드를 제공합니다 - 이들은 오프라인 또는 비밀번호 관리자에 안전하게 저장해야 하는 일회용 비상 코드입니다.

인기 있는 인증 앱은 백업 기능을 제공합니다:

• Google Authenticator: Google 계정에 클라우드 백업
• Microsoft Authenticator: 클라우드 백업 및 복구

모든 방법이 실패할 경우, 고객 지원에 도움을 요청하세요.