SSP Editorial Team

모바일 2FA: 올바른 방법과 잘못된 방법

·8분 읽기·작성자: SSP Editorial Team
모바일 이중 인증 가이드를 위한 SSP Academy 표지. 어두운 배경에 지갑, 키, 방패 아이콘.

이중 인증(2FA)은 당신이 할 수 있는 가장 효과 대비 이득이 큰 보안 강화 중 하나입니다 — 단, 올바른 종류를 쓸 때만 그렇습니다. 암호화폐 사용자에게 강한 2FA와 약한 2FA의 차이는, 집요한 공격자를 버텨내는 계정과 그러지 못하는 계정의 차이 그 자체입니다. 문제는, 가장 흔한 2FA 형태인 SMS로 전송되는 일회용 코드가 동시에 가장 약하다는 점입니다. 이 가이드는 선택지를 최악에서 최선으로 정렬하고, 그 이유를 설명하며, 지갑 주변의 계정들을 강화하기 위한 구체적인 계획을 제시합니다.

시작하기 전에 한 가지 짚어둡니다. SSP 자체의 보안 모델은 일회용 코드라는 의미의 "2FA"가 전혀 아닙니다. SSP는 multisig — 두 기기에 있는 두 개의 독립적인 서명 키 — 를 사용합니다. 이 구분이 왜 중요한지는 나중에 다시 다룹니다. 먼저, 코드 이야기입니다.

SMS 2FA가 암호화폐 사용자를 저버리는 이유

SMS 일회용 코드는 안전하게 느껴집니다. 비밀번호를 입력하면 여섯 자리 숫자가 도착하고, 그것을 입력합니다. 문제는 두 번째 요소 — 당신의 전화번호에 대한 통제권 — 가 대부분이 생각하는 것보다 훨씬 쉽게 탈취된다는 점입니다.

피해를 주는 공격은 두 부류입니다:

  • SIM 스와핑(SIM swapping). 공격자는 당신의 이동통신사를 설득(또는 매수)해 당신의 번호를 자신이 통제하는 SIM으로 이전시킵니다. 번호가 그의 것이 되면 모든 SMS 코드가 그에게 흘러갑니다. 암호화폐 보유자는 바로 그 보상이 크고 거래가 되돌릴 수 없기 때문에 선호되는 표적입니다.
  • SS7를 통한 가로채기. SS7은 통신망이 통화와 메시지를 라우팅하는 데 쓰는 수십 년 된 신호 프로토콜입니다. 알려진 취약점 덕분에 자원이 넉넉한 공격자는 당신의 SIM을 건드리지 않고도 SMS를 가로챌 수 있습니다.

이는 변두리의 우려가 아닙니다. 미국 국립표준기술연구소는 NIST SP 800-63B에서 SMS를 "제한된" 인증 수단으로 분류하고, 새 시스템에서의 사용을 명시적으로 권장하지 않습니다. 디지털 신원을 정의하는 표준 기관이 어떤 방식이 퇴장하고 있다고 알려준다면, 그것을 하나의 신호로 받아들이세요.

SMS 2FA는 그래도 2FA가 전혀 없는 것보다는 낫습니다. 그러나 당신의 돈에 닿는 어떤 계정에서든, 그것은 기본값이 아니라 최후의 선택지여야 합니다.

TOTP 인증 앱: 실용적 기준선

암호화폐 사용자를 위한 실용적 기준선은 TOTP 인증 앱입니다 — 30초마다 바뀌는 회전식 여섯 자리 코드를 보여주는 그런 종류 말입니다. TOTP는 RFC 6238로 정의되며, 한 가지 구조적인 이유에서 SMS보다 진짜로 한 발 앞섭니다. 탈취당할 전화번호가 없다는 점입니다. 코드는 공유 비밀로부터 당신의 기기에서 생성되므로, SIM 스와핑과 SS7 가로채기는 그저 적용되지 않습니다.

몇 가지 규칙이 TOTP를 눈에 띄게 더 강하게 만듭니다:

  • 어떤 서비스가 둘 다 제공한다면, 언제나 SMS가 아니라 앱을 쓰세요. 대부분의 거래소와 이메일 제공업체는 인증 앱을 지원합니다.
  • 코드만이 아니라 설정 비밀을 백업하세요. 등록할 때, 다른 모든 민감한 자격 증명을 보호하듯이 복구용 내보내기 파일을 보관하세요.
  • 가능하다면 로그인에 쓰는 바로 그 기기와 분리해 두세요. 그래야 침해된 한 대의 기기가 두 요소를 모두 쥐지 못합니다.

TOTP가 완벽하지는 않습니다. 공유 비밀은 휴대폰에 존재하므로, 침해된 기기 — 또는 그것의 안전하지 않은 클라우드 백업 — 가 그 비밀을 누출할 수 있습니다. 그리고 결정적으로, TOTP 코드는 여전히 실시간으로 피싱될 수 있습니다. 그럴듯한 가짜 로그인 페이지가, 코드가 만료되기 전에, 당신의 비밀번호와 갓 생성된 여섯 자리 코드를 곧장 공격자의 세션으로 중계합니다. 바로 그 틈을 다음 단계가 막습니다. 그런 가짜 페이지를 알아보고 싶다면, 암호화폐 사용자를 노리는 피싱 공격에 대한 우리의 해설을 읽어 보세요.

passkey와 하드웨어 키: 피싱에 강함

FIDO2/WebAuthn passkey와 하드웨어 보안 키는 진정으로 피싱에 강한 첫 단계이며, 그 이유는 우아합니다. 자격 증명이 웹사이트의 출처(origin)에 암호학적으로 묶여 있다는 것입니다. 당신의 인증기는 등록된 진짜 도메인에 대해서만 로그인합니다. 비슷하게 생긴 피싱 사이트는 출처가 다르므로, passkey는 그저 응답을 거부합니다 — 중계할 여섯 자리 코드가 없습니다. 애초에 코드가 전혀 없기 때문입니다.

이 속성은 목록의 다른 무엇보다 중요합니다. SMS와 TOTP는 둘 다 사람이 숫자를 읽어 어딘가에 입력하는 데 의존합니다. passkey는 사람이 복사할 수 있는 비밀 자체를 완전히 제거합니다. 당신의 거래소 로그인을 픽셀 단위로 복제한 공격자도 아무것도 얻지 못합니다. 암호학적 챌린지에 답하는 것은, 당신을 대신해 출처를 확인하는 하드웨어이기 때문입니다.

하드웨어 보안 키 — 당신이 갖다 대거나 꽂는 그 물리적인 것 — 와 당신의 휴대폰이나 컴퓨터의 보안 요소에 저장된 플랫폼 passkey는 둘 다 이를 구현합니다. 고가치 계정에는, 하드웨어 키가 당신이 살 수 있는 가장 강하고 널리 구할 수 있는 두 번째 요소입니다.

SSP Key는 코드가 아니라 공동 서명자

여기 사람들이 걸려 넘어지는 구분이 있습니다. SSP의 보안은 일회용 코드라는 의미의 "2FA"가 전혀 아닙니다. 그것은 multisig입니다.

표준적인 2FA 설정은 계정 로그인을 보호합니다. SSP는 거래 그 자체를 보호합니다. SSP는 2-of-2 방식을 씁니다. 한 키는 브라우저 확장에, 다른 키는 당신의 휴대폰에 있는 SSP Key입니다. 자금이 움직이기 전에 둘 다 각각 독립적으로 서명해야 합니다. SSP Key는 암호학적 공동 서명자입니다 — 당신이 입력하는 여섯 자리 숫자가 아니라, 별도의 키를 보유하고 진짜 서명을 수행하는 별도의 기기입니다.

그 결과는 구조적입니다. 공격자가 당신의 브라우저 확장을 완전히 침해했다고 가정해 봅시다 — 그것을 피싱하거나, 그것이 도는 기기를 장악해서요. 앱 수준의 여섯 자리 코드라면, 그 한 번의 침해만으로 충분할 수 있습니다. SSP에서는 그렇지 않습니다. 자금을 옮기려면 여전히 당신의 휴대폰에서의 독립적인 승인이 필요하며, 거기서 당신은 거래 세부 정보를 보고 두 번째 키로 서명합니다. 브라우저 쪽만으로는 아무것도 보낼 수 없습니다. 그 두 번째의, 독립적인 서명 표면이야말로 여섯 자리 코드가 결코 될 수 없는 것입니다 — 공격자가 다른 기기에서, 같은 시각에, 함께 침해해야 하는 키입니다.

이것이 무엇을 하고 무엇을 하지 않는지 정확히 말하자면, SSP는 지출이라는 행위를 보호합니다. 그것이 지갑 주변 계정들에 대한 좋은 보안 위생을 대신하지는 않습니다. 이 모델이 처음이라면, 첫 SSP 지갑을 설정하고 두 기기 승인 흐름을 직접 확인해 보세요.

지갑 주변의 계정들을 지키기

당신의 지갑은 외딴섬이 아닙니다. 그것을 둘러싼 계정들 — 이메일, 거래소 로그인, 클라우드 백업, 비밀번호 관리자 — 은 흔히 당신의 자금으로 향하는 가장 무른 길입니다. 당신의 이메일을 차지한 공격자는 거기서 나머지 로그인의 절반을 재설정할 수 있습니다.

각각에 같은 단계 구분을 적용하세요:

  • 이메일: 제공된다면 passkey나 하드웨어 키, 그렇지 않으면 TOTP. 절대 SMS만은 안 됩니다. 당신의 이메일은 다른 모든 것의 주(主) 재설정 스위치입니다.
  • 거래소: 로그인에는 하드웨어 키나 passkey. 절대 SMS에 의존하지 말고, 거래소가 허용하면 SMS 복구를 비활성화하세요.
  • 클라우드와 비밀번호 관리자: 최소한 TOTP, 가능한 곳에서는 passkey.
  • 이동통신사: SIM 스와핑 시도를 둔화시키기 위해 번호 이동 PIN이나 계정 잠금을 추가하세요.

당신의 휴대폰이 점점 인증기와 SSP Key를 모두 품게 되므로, 그것을 그 자체로 하나의 보안 경계로 다루세요 — 강력한 화면 잠금, 최신 운영체제, 스토어 밖에서 설치한 앱은 금물. 휴대폰 중심 지갑이 무엇에 능하고 무엇에 그렇지 않은지에 대해서는 모바일 암호화폐 지갑: 그들이 잘하는 것을 보세요. 그리고 모든 것을 한 번에 단단히 할 준비가 되면, 당신의 첫 1,000달러를 위한 자기수탁 체크리스트를 끝까지 해 보세요.

2FA 업그레이드 계획

이 모든 것을 한꺼번에 할 필요는 없습니다. 가치가 높은 순서로 위에서 아래로 진행하세요:

  1. 목록화. 당신의 돈에 닿을 수 있거나 다른 계정을 재설정할 수 있는 모든 계정을 나열하세요. 먼저 이메일, 그다음 거래소, 이어서 클라우드와 비밀번호 관리자.
  2. SMS 전용을 없애기. SMS가 당신의 유일한 두 번째 요소인 곳마다, 더 강한 방식을 추가하고 서비스가 허용하는 곳에서는 SMS를 복구 경로에서 제거하세요.
  3. 제공되는 모든 곳에 TOTP를 추가하기. 이것이 당신의 기준선입니다. SIM 스와핑과 SS7 구멍을 즉시 막아줍니다.
  4. 가장 중요한 계정들을 passkey나 하드웨어 키로 올리기. 이메일과 거래소가 먼저 — 피싱 페이지가 가장 탐내는 계정들입니다.
  5. 통신사를 잠그기. 낯선 이가 당신의 번호를 옮기지 못하도록 번호 이동 PIN을 설정하세요.
  6. 분기마다 다시 점검하기. 인증 옵션은 바뀝니다. 작년에 SMS만 있던 서비스가 이제 passkey를 지원할 수도 있습니다.

CISA의 "Secure Our World" 프로그램은 덜 기술적인 가족과 공유할 만한, 쉬운 말로 된 지침을 발행합니다 — CISA 참조.

계속 나아가기

강한 2FA는 한 겹입니다. 그것은 당신의 지갑 주변의 문들을 지키고, SSP의 multisig는 지출 그 자체를 지킵니다. 둘이 합쳐지면, 대부분의 사람을 붙잡는 단일 장애 지점들이 제거됩니다.

여기서부터 계속 쌓아 가세요:

이 글 공유하기

관련 글

폰과 브라우저에서 SSP 지갑을 설정하는 과정을 단계별로 보여주는 일러스트

첫 SSP 지갑 설정하기

SSP Wallet 단계별 가이드: 앱과 확장 프로그램 설치, 두 기기 페어링, 2-of-2 지갑 생성, 첫 거래 전송까지 안내합니다.

6 min read
모바일 암호화폐 지갑과 SSP Key 입문 가이드를 위한 SSP Academy 표지

모바일 암호화폐 지갑: 강점, 위험 그리고 SSP Key

모바일 암호화폐 지갑이 잘하는 점 — 항상 휴대, 생체 인증 잠금 해제, QR 스캔 —과 한계, 그리고 SSP Key의 역할을 설명합니다.

7 min read
암호화폐 피싱 공격 가이드를 설명하는 지갑, 키, 방패, 칩 아이콘이 있는 SSP 보안 커버.

암호화폐 사용자를 노리는 피싱 공격 (그리고 탐지 방법)

암호화폐 피싱은 암호화가 아닌 당신을 표적으로 삼습니다. 지갑 드레이너, 승인 피싱, 주소 오염 등의 패턴과 SSP의 도움을 알아보세요.

7 min read