How to 2 Step Authentication by Google OTP on iPhone and iPad

아이폰 및 아이패드에서 구글 OTP로 2단계 인증하는 방법

작성자:

아이폰, 아이패드에서 구글 OTP(Google Authenticator) 앱을 사용하여 온라인 계정을 2단계 인증으로 보호하는 방법을 알아봅니다. 2FA의 중요성, SMS 기반 인증의 문제점, 그리고 구글 OTP 앱 설정부터 활용까지 개인 정보 보안을 강화하는 모든 과정을 상세히 안내합니다.


아이폰 및 아이패드에서 구글 OTP로 2단계 인증하는 방법

아이폰이나 아이패드와 같은 애플 기기에서 구글 OTP(Google Authenticator)를 사용하여 2단계 인증(2FA)을 설정하면 온라인에서 개인 정보를 훨씬 더 안전하게 보호할 수 있습니다. 2단계 인증은 표준 사용자 이름과 비밀번호를 넘어서는 보안 계층을 추가하여 온라인 계정을 보호하는 탁월한 방법입니다. 만약 온라인 공격자가 비밀번호를 알아내더라도, 2단계 인증은 계정에 대한 추가적인 무단 접근을 효과적으로 차단할 수 있습니다.

아이폰 및 아이패드에서 구글 OTP로 2단계 인증하는 방법

2단계 인증은 결국 ‘사용자가 알고 있는 것'(비밀번호)과 ‘사용자가 가지고 있는 것'(확인 토큰)을 동시에 확인하는 방식입니다. 이를 보안 문에 비유하자면, 키패드에 코드를 입력하고(아는 것), 자물쇠에 물리 키를 삽입하는(가지고 있는 것) 과정과 유사합니다.

계정의 비밀번호는 ‘아는 것’에 해당하며, ‘가지고 있는 것’은 검증 가능한 토큰으로 구성됩니다. 이 토큰은 유비키(YubiKey)와 같은 물리적인 형태일 수도 있지만, 일반적으로는 모바일 인증 앱이나 인증 키 리모컨을 의미합니다. 이들 앱과 키 리모컨은 30초 등 일정 시간이 경과한 후 반복적으로 새로운 코드를 생성하도록 설정되어 있습니다.

Google OTP 2 Factor Authentication

이러한 코드는 서비스에 알려진 ‘시드(seed)’에서 생성되며, 사전에 결정되고 변경되지 않는 규칙을 따르므로 무작위적이라고 볼 수는 없습니다. 실제로 인증을 수행하는 온라인 서비스는 인증 앱이 마지막으로 생성한 올바른 코드를 인식하여, 사용자가 입력한 코드를 확인하거나 거부할 수 있습니다.

2단계 인증을 위해 앱을 사용하는 것이 코드 생성용 키 리모컨을 사용하는 것보다 보안상 약간 더 안전한데, 이는 앱에 접근하려면 아이폰과 같은 기기 자체의 인증(Face ID, Touch ID 등)을 거쳐야 하기 때문입니다. 애플의 생태계도 마찬가지로, 사용자의 다른 애플 디바이스가 확인을 요구하고 사용자가 수동으로 로그인하는 디바이스에 코드를 제공하는 방식으로 작동할 수 있습니다.

문자 기반 2단계 인증(2FA)의 문제점

2단계 인증 자체는 매우 좋은 보안 아이디어지만, 모든 형태가 동일한 수준의 보안을 제공하는 것은 아닙니다. 특히 SMS 또는 문자 기반의 2단계 인증(2FA)을 사용한다면, 시스템이 취약해질 수 있습니다. 이는 앱이나 물리적인 동글에서 생성된 코드를 사용하는 대신, 해당 코드를 문자 메시지로 스마트폰에 보내는 것을 의미합니다. 겉으로 보기에는 꽤 편리하고 대부분의 경우 문제가 없지만, 문제는 SMS 자체의 보안성에 있습니다.

Twitter is notifying Twitter Blue non subscribers that SMS 2FA support is being discontinued.

일회용 SMS 패스코드는 네트워크 셀룰러 시스템을 통해 일반 텍스트로 전송되므로, 공개적으로 읽을 수 있고 암호화되지 않습니다. 즉, 데이터 스트림에 접근할 수 있는 사람이 있다면 가로챌 가능성이 있습니다. 최근 트위터(Twitter)가 트위터 블루(Twitter Blue) 비가입자에게 SMS 2FA 지원이 유료 사용자에게만 제공될 것이라고 적극적으로 알린 것도 이러한 보안상의 이유가 큽니다.

또 다른 문제는 SMS 기반 2FA가 스마트폰의 SIM 카드로 전송되는 메시지에 의존한다는 점입니다. 통신 사업자가 공격자에게 속아 계정 시스템상에서 SIM을 교환하는 ‘SIM 스와핑(SIM Swapping)’ 공격에 취약할 수 있습니다. 이 경우, 통신사의 네트워크를 통해 합법적인 SMS 기반 2FA 코드가 전송될 수 있지만, 공격자는 이를 가로채 수신하고 계정에 로그인하여 관리할 수 있게 됩니다. 주요 서비스의 데이터 침해 등으로 인해 계정 자격 정보(아이디/비밀번호)가 이미 노출된 경우에도 이러한 위험은 더욱 커집니다. 따라서 SMS 시스템 자체는 안전하다고 볼 수 없으므로, 스마트폰의 인증 앱으로 2단계 인증을 전환하는 것이 SMS와 같은 문자 메시지를 통한 방법보다 훨씬 안전하고 현명한 선택입니다.

구글 OTP(Google Authenticator) 시작하기

구글 OTP(Google Authenticator)는 가장 유명하고 널리 사용되는 OTP(일회용 비밀번호) 앱 중 하나입니다. 특히 사용 방법이 매우 간단하고 쉬우며, ‘구글’이라는 브랜드가 주는 안정감과 높은 인지도는 일반 사용자들에게 큰 장점으로 다가옵니다.

구글 OTP는 그 지원이 매우 광범위하여 다양한 온라인 서비스에서 사용할 수 있으며, 하나의 구글 OTP 앱을 여러 기기(아이폰, 아이패드, 안드로이드 기기)에서 동기화하여 동일한 방식으로 코드를 생성하고 활용할 수 있다는 점도 큰 장점입니다. 즉, iOS, iPadOS, Android 등 크로스 플랫폼 지원이 가능합니다.

실제로 구글 OTP를 사용하기 위해 별도의 구글 계정이 반드시 필요한 것은 아닙니다. 구글의 서비스와 함께 사용하는 것은 분명 편리하지만, 다른 서드파티 서비스와도 함께 사용할 수 있습니다. 또한, 구글 계정 자체를 구글 OTP 앱에 직접 연결할 필요도 없습니다.

보안을 강화하기 위해, 구글 OTP를 설정하려는 장치(예: 아이폰)가 아닌 다른 장치(예: PC)에서 2단계 인증 설정을 진행하는 것을 권장합니다. 이는 설정 키를 입력하거나 QR 코드를 스캔해야 하는 과정 때문입니다. 일반적으로 서비스에서 2단계 인증을 활성화하는 방법은 대부분 비슷하지만, 실제 과정은 각 앱이나 서비스에 따라 조금씩 다를 수 있습니다.

아이폰 및 아이패드용 구글 OTP 설정 방법

App Store에서 Google Authenticator 앱을 무료로 다운로드합니다. 이후 2단계 인증을 활성화하려는 온라인 서비스에 로그인하여 설정을 진행해야 합니다. (예: 계정 설정 옵션 중 ‘보안’ 섹션 아래의 ‘2단계 인증 설정’ 옵션 등. 서비스마다 다를 수 있습니다.)

Google OTP settings. account and authentication key. time based
  1. 인증 앱 사용 선택: 서비스에서 2단계 인증을 설정하는 과정에서 메시지가 표시되면, 인증 앱을 사용하도록 선택해야 합니다. 이때 특정 인증 앱을 사용하도록 권장될 수 있으므로, 구글 OTP(Google Authenticator)가 해당 목록에 있는지 확인해야 합니다.
  2. QR 코드 또는 인증 키 확인: 서비스의 웹페이지에 QR 코드 또는 인증 키 중 하나가 표시됩니다.
  3. 구글 OTP 앱 열기: 아이폰 또는 아이패드에서 Google Authenticator 앱을 엽니다. 앱에 처음 추가하는 경우 코드를 직접 추가하는 방법을 묻는 메시지가 나타날 수 있습니다. 혹은 화면 오른쪽 하단에서 플러스(+) 기호를 선택합니다.
  4. QR 코드 스캔 또는 키 입력:
    • 2단계 인증을 설정하려는 사이트 또는 앱에 QR 코드가 표시되는 경우, ‘QR 코드 스캔’을 선택한 다음 장치의 카메라를 사용하여 코드를 스캔합니다.
    • 인증 키가 제공된 경우, ‘설정 키 입력’을 선택하고 계정 이름(일반적으로 관련 이메일 주소)과 화면에 제공된 키를 입력합니다. 계정 시스템에서 권장하는 경우 ‘시간 기반’ 또는 ‘카운터 기반’ 중 하나를 선택하며, 별다른 언급이 없다면 ‘시간 기반’으로 두면 됩니다.
  5. 6자리 코드 확인 및 입력: 인증 시스템이 제대로 작동하는지 확인하는 메시지가 표시됩니다. 구글 OTP 앱 화면에 나타나는 6자리 코드를, 2단계 인증을 설정하려는 앱이나 서비스의 웹페이지에 입력하여 확인합니다.

설정이 완료되면, 앞으로 해당 서비스에 로그인할 때마다 구글 OTP 앱을 사용하여 로그인 코드를 생성하라는 메시지가 표시됩니다. 구글 OTP 앱을 열고 관련 서비스와 계정 이름을 검색한 후, 표시되는 6자리 코드를 읽어 입력하면 됩니다.

코드는 정기적으로 변경되므로, 타이머가 만료되고 새로운 코드가 표시될 때까지 기다려 코드 입력 시간을 최대한 확보하는 것이 좋습니다. 같은 단말기의 앱(예: 웹 브라우저 앱)에 코드를 입력하는 경우, 코드를 길게 눌러 클립보드에 복사한 후 앱의 텍스트 상자에 붙여넣어 편리하게 입력할 수 있습니다.

아이폰 또는 아이패드용 구글 OTP에서 계정 목록 삭제하는 방법

구글 OTP 앱에서 더 이상 사용하지 않는 계정의 코드를 삭제하려면 다음 과정을 따릅니다.

  1. 앱을 열고 오른쪽 상단에 있는 점 3개 메뉴 아이콘을 탭합니다.
  2. ‘[편집]’을 누릅니다.
  3. 삭제하려는 관련 계정 옆에 있는 연필 아이콘을 누릅니다.
  4. 하단에 나타나는 휴지통 아이콘을 탭합니다.
  5. 확인 상자에서 ‘계정 제거’를 누릅니다.

주의사항: 구글 OTP 앱에서 계정을 삭제하더라도 해당 온라인 서비스의 2단계 인증 상태는 영향을 받지 않습니다. 계정에서 2단계 인증을 완전히 제거하려면, 구글 OTP 목록에서 삭제하기 전에 반드시 해당 온라인 서비스의 보안 설정으로 이동하여 2단계 인증을 비활성화해야 합니다.

제 경험상, 이 부분을 간과하고 구글 OTP에서만 삭제했다가 나중에 로그인 시도할 때 문제가 발생했던 적이 있어, 반드시 서비스 웹사이트에서 2단계 인증을 해제하는 것이 중요합니다.

자주 묻는 질문 (FAQ)

Q1: 구글 OTP 앱을 사용하면 스마트폰을 잃어버렸을 때 계정 접근이 불가능해지나요?

A1: 네, 구글 OTP 앱은 스마트폰에 의존하므로, 스마트폰을 잃어버리면 코드를 생성할 수 없어 계정 접근이 어려워질 수 있습니다. 이를 방지하기 위해 미리 백업 코드(복구 코드)를 발급받아 안전한 곳에 보관하거나, 여러 기기에 구글 OTP를 설정하여 동기화해두는 것이 중요합니다.

Q2: 구글 OTP 앱을 사용하면 인터넷 연결이 없어도 코드를 생성할 수 있나요?

A2: 네, 구글 OTP 앱은 인터넷 연결 없이도 오프라인 상태에서 일회용 비밀번호 코드를 생성할 수 있습니다. 코드는 시간 동기화를 기반으로 생성되기 때문에, 기기의 시간 설정이 정확하게 유지되는 것이 중요합니다.

Q3: 구글 OTP 외에 다른 2단계 인증 앱도 있나요?

A3: 네, 구글 OTP 외에도 마이크로소프트 인증자(Microsoft Authenticator), 오시(Authy), 라스트패스 인증자(LastPass Authenticator) 등 다양한 2단계 인증 앱들이 있습니다. 이 앱들도 구글 OTP와 유사한 방식으로 작동하며, 일부는 클라우드 백업이나 여러 기기 간 동기화 등 추가 기능을 제공하기도 합니다.

함께 볼만한 글

윈도우11. 정품 인증 하지않고 사용해도 괜찮을까? 

구글 2단계 인증(2SV). 계정 보안을 설정하고 관리하는 방법

애플 계정 아이클라우드 이중 인증 설정 방법 

계정 보안 강화: 지메일 2단계 인증 설정과 안전한 해제 방법

댓글 남기기