🔐 2단계 인증 2FA

🏧 쉽게 풀면 — ATM기와 똑같아요

사실 우리는 ATM에서 이미 2FA를 쓰고 있어요. 돈을 꺼내려면 카드(내가 가진 것) 와 PIN 번호(내가 아는 것) 둘 다 필요하죠. 카드만 있어도, 번호만 알아도 소용없어요. 온라인 계정에서의 2FA도 마찬가지예요. 비밀번호 하나만으론 더 이상 충분하지 않고, 누군가 비밀번호를 훔쳐도 두 번째 증명이 없으면 계정에 들어올 수 없어요.

🧩 세 가지 증명 종류

신원 증명은 크게 세 가지 종류로 나뉘어요. 2FA는 이 세 가지 중 서로 다른 두 가지를 조합하는 것이에요. 같은 종류 두 개(예: 비밀번호 두 개)는 2FA로 보지 않아요.

🛡️ 종류별 강도 — 약한 것부터 강한 것까지

• ✉️ SMS·이메일 코드 — 문자나 메일로 일회용 코드를 받는 방식. 설정이 간편하지만 가장 취약해요. 코드를 중간에 가로챌 수 있거든요.
• 📲 인증 앱(TOTP) — 앱이 약 30초마다 새 코드를 기기 안에서 만들어요. 코드가 전화망을 타지 않아서 SMS처럼 가로채기가 어려워요.
• 👆 생체 인식 — 지문이나 얼굴 인식. 주로 앱을 여는 잠금 해제에 쓰여요.
• 🔑 하드웨어 보안 키·패스키 — 작은 물리적 기기나 기기에 내장된 자격 증명. 일상적으로 쓸 수 있는 방식 중 가장 강력해요.

💸 크립토에서 특히 중요한 이유

크립토 거래는 되돌릴 수 없어요 — 한 번 코인이 계정을 떠나면 어떤 은행도 되찾아줄 수 없어요. 그만큼 계정 탈취의 피해가 크기 때문에 비밀번호 하나로만 막아선 안 돼요. 처음 2FA를 접하는 건 대개 바이낸스나 코인베이스 같은 거래소 가입 때예요. 가입할 때, 그리고 출금 전에 설정하도록 유도하죠. 참고로 2FA는 거래소 로그인을 지켜주는 것이고, 직접 코인을 보관한다면 진짜 열쇠는 프라이빗 키와 시드 구문을 오프라인으로 안전하게 보관하는 거예요.

🚨 초보자가 꼭 알아둘 것

• 📵 SMS는 가능하면 피하세요 — SIM 스왑 공격은 통신사를 속여 내 전화번호를 공격자 SIM으로 옮긴 뒤 문자 코드를 대신 받아요. 미국 CISA는 SMS를 두 번째 인증 수단으로 쓰지 말 것을 권고해요.
• 💾 백업 코드를 꼭 저장해두세요 — 2FA를 켤 때 일회용 복구 코드를 줘요. 오프라인에 보관해두면 휴대폰을 잃어버려도 계정에 다시 들어갈 수 있어요.
• 🎣 2FA가 만능은 아니에요 — 정교한 가짜 로그인 페이지는 실시간으로 코드까지 가로챌 수 있어요. 뭔가 입력하기 전에 항상 주소창부터 확인하세요.
• 💀 피해는 현실이에요 — 투자자 마이클 터핀은 2018년 SIM 스왑 공격으로 SMS 코드가 가로채져 약 2,400만 달러를 잃었다고 알려져 있어요.

❓ 자주 묻는 질문

비밀번호를 두 개 쓰면 2FA인가요?

아니요. 비밀번호 두 개는 모두 '내가 아는 것'이라서 같은 종류의 증명으로 간주됩니다. 진짜 2FA는 서로 다른 종류의 증명을 조합해야 해요. 예를 들어 비밀번호(아는 것)와 스마트폰 인증 코드(가진 것)처럼요.

SMS 2FA는 크립토 계정에 충분히 안전한가요?

가장 취약한 방식입니다. SIM 스왑 공격으로 내 전화번호를 공격자의 SIM으로 옮긴 뒤 문자로 온 코드를 가로챌 수 있어요. 미국 CISA는 SMS를 두 번째 인증 수단으로 쓰지 말 것을 권고하며, 인증 앱이나 하드웨어 보안 키를 대신 사용하길 권합니다.

인증 앱이 설치된 휴대폰을 잃어버리면 어떻게 되나요?

인증 코드가 그 기기에만 생성되기 때문에 계정에서 잠길 수 있어요. 그래서 서비스들이 2FA 설정 시 백업 코드를 제공하는 거예요. 이 코드를 오프라인 안전한 곳에 저장해두면 나중에 다시 접근할 수 있습니다.

🔗 관련 용어·코인