IT생산성

2단계 인증 설정할 때 놓치는 것들, 단계별로 다시 확인하기

제민아빠 2026. 5. 13. 12:33

책상 모니터에 이메일 알림이 떴다. 화요일 오후였고, 햇빛이 창틀 절반을 가르고 있었다. 알림 내용은 "낯선 기기에서 로그인 시도"였다. 비밀번호를 바꾼 지 이틀도 안 됐는데, 그 순간 뭔가 잘못됐다는 걸 직감했다. 2단계 인증이 꺼져 있었다.

비밀번호 하나로 계정을 지키는 건, 문 하나만으로 집 전체를 막는 것과 크게 다르지 않다. 2단계 인증은 그 두 번째 문이다.


Pexels @ Zulfugar Karimov

어떻게 작동하는가

2단계 인증은 크게 두 방식으로 나뉜다.

  • SMS/이메일 코드: 로그인 시 문자나 메일로 6자리 코드가 온다. 가장 단순한 방식. 단, 휴대폰 번호가 탈취되거나 심 스와핑(SIM Swapping) 공격에는 취약하다.
  • 인증 앱: Google Authenticator, Microsoft Authenticator, Authy 같은 앱을 서비스와 연동한다. 앱이 30초마다 코드를 직접 생성하는 구조라, 서버에 요청을 보내지 않는다. SMS보다 구조적으로 더 강하다.

SMS도 없는 것보단 낫다. 근데 인증 앱을 쓸 수 있는 상황이라면 SMS 방식에 머물 이유가 없다.

백업 코드(비상 접근 코드)는 두 방식 모두에서 발급된다. 설정 완료 직후 화면에 10개가 뜨는데, 이 창을 그냥 닫는 경우가 생각보다 많다. 그게 가장 큰 실수다.

구글 계정 기준 설정 단계—번거로운 부분 포함

설정 흐름 자체는 단순하다. 구글 계정 → 보안 → 2단계 인증 → 시작. 휴대폰 번호 입력 후 SMS로 코드를 받으면 1차 확인이 끝난다. 그 다음에 인증 앱으로 바꿀지 물어본다.

인증 앱을 선택하면 QR 코드가 화면에 뜬다. 스마트폰에 앱을 열고 스캔하면 6자리 코드가 생성된다. 30초 안에 입력 창에 넣어야 하고, 시간이 넘어가면 코드가 바뀌니 새로 생성된 걸 넣으면 된다.

마이크로소프트 계정을 전환할 때 QR 코드가 3번 연속 스캔 실패한 적이 있다. 카메라 초점 문제였는데, 그걸 모르고 앱을 재설치까지 했다. 5분을 날리고 나서 '수동 입력 코드'를 복사해 앱에 직접 붙여넣으니 바로 됐다. QR이 안 되면 수동 코드를 먼저 써보는 게 맞다.


Pexels @ Ali Kazal

인증이 완료되면 백업 코드 10개가 나온다. 여기서 멈추고 저장부터 해야 한다.

백업 코드, 어디에 둘 것인가

저장 방법은 크게 네 가지다.

  • 클라우드 저장소(Google Drive, iCloud): 접근성이 좋다. 하지만 해당 클라우드 계정 자체가 뚫리면 같이 뚫린다.
  • 암호화된 메모 앱(Apple Notes 잠금, Notion 암호화 블록): 기기에만 보관되는 방식이라 상대적으로 안전하다.
  • 종이에 손으로 적기: 인터넷과 무관하다. 금고나 서랍 안쪽에 보관하면 해킹 경로 자체가 없다.
  • 비밀번호 관리자(Bitwarden, 1Password): 2단계 인증 코드까지 통합 관리하는 기능이 있어서, 한 곳에서 암호화된 형태로 처리된다.

종이와 암호화 메모 앱 두 가지를 같이 쓰는 방식이 실용적이다. 기기를 잃었을 때는 종이, 급할 때는 앱으로 대응할 수 있다. 10개 코드 중 한두 개를 쓴 상태라면 남은 코드가 몇 개인지 주기적으로 확인하고, 코드 세트를 갱신하는 게 좋다.

로그인할 때 "이 기기를 신뢰합니까?"라는 체크박스가 뜬다. 체크하면 30일간 해당 기기에서는 2단계 인증을 건너뛴다. 본인 개인 기기라면 편하다. 근데 공용 컴퓨터나 남의 휴대폰에서는 절대 체크하면 안 된다. 분기마다 한 번 쓸까 말까 한 기기라도, 공용이면 무조건 체크 해제다.

서드파티 앱 연동이 필요한 경우도 있다. 외부 메일 클라이언트나 API 방식으로 계정에 접근하는 앱이 있으면 2단계 인증이 충돌할 수 있다. 이때는 '앱 비밀번호'를 별도로 생성해 그 앱에만 부여하면 된다. 각 앱별로 따로 만들어 관리하면 나중에 특정 앱 접근만 차단하기도 쉽다.

휴대폰을 교체하거나 앱을 재설치할 때는 반드시 기존 인증을 새 기기로 이전해야 한다. 그냥 앱만 지우면 기존 코드 생성기가 사라진다. 계정 접근이 막히는 주된 원인 중 하나가 이거다.

설정 자체가 목적이 아니다. 다음으로 살펴볼 만한 주제는 패스키(Passkey)다. 비밀번호 없이 생체 인증만으로 로그인하는 방식인데, 2단계 인증과 개념이 겹치면서도 다르다.