요즘 세상에 TOTP든 하드웨어 키든 2단계 인증(2FA)을 안쓰는건 집에 대문 열어놓고 외출하는거 이상으로 무모한 짓인데요.
TOTP? 2FA?
TOTP(시간 기반 일회용 비밀번호) 인증자는 계정에 대한 추가적인 보안 통과 단계를 더하는 것입니다. 피싱이나 해킹, 사전공격, 무작위 공격 등 비밀번호만으로는 쉽게 돌파 당할 가능성이 있어 충분하지 않지만, TOTP를 사용한 2단계 인증(2FA)를 사용하면 해커가 비밀번호를 알고 있어도 계정에 접근하기 상당히 어렵습니다. TOTP는 1분 정도 주기로 정기적으로 변경되는 일회용 비밀번호를 생성하므로, 설령 해커가 비밀번호를 가로채도 시간이 지나면 금방 무효화됩니다.
물론, 많은 업체가 2FA 미설정 고객에게 최소한의 안전장치로 휴대폰 SMS나 이메일로 받는 코드를 제공하며, 이 역시 보안에 돝움이 되지만, TOTP와 비교했을 때 몇 가지 한계가 있습니다. 특히 SMS는 SIM 스와핑 공격의 대상이 될 수 있으며, 이메일은 피싱 공격이나 계정 해킹으로 인해 코드가 유출될 위험이 있습니다. 또한, SMS나 이메일로 받은 코드는 일반적으로 일정 시간 동안 유효하지만, TOTP는 더 짧은 주기로 변경되므로 더 안전한 편입니다.
TOTP 앱은 오프라인에서도 작동할 수 있지만, SMS나 이메일은 인터넷이나 휴대전화 연결이 반드시 필요합니다. 따라서 네트워크 연결이 불안정한 환경에서는 TOTP가 더 신뢰할 수 있습니다. 물론, SMS나 이메일 인증도 TOTP보다 나은 경우들이 있습니다. 예를 들어, 사용자가 스마트폰을 소지하지 못하거나 TOTP 앱을 설치하지 못한 경우, SMS나 이메일 인증이 대체 수단으로 유용할 수 있습니다. 그러나 가능한 경우 TOTP를 사용하는 것이 바람직합니다.
Proton의 TOTP 앱 출시
이 TOTP 앱, 혹은 인증자 앱을 난다긴다 하는 회사가 다 내놨는데, 프라이버시를 생각하면 편의성이 나가리고, 편의성을 챙기니 보안 사고를 치고. 난리도 아닙니다.
그 와중에 ‘프라이버시’ 하면 빼놓을 수 없는 Proton에서 인증자 앱을 내놨습니다. Proton Authenticator라는 이름으로 Proton의 앱이라고 해서 Proton 계정이 필수인것도 아닙니다. 스탠드얼론으로 동작하며, 디바이스에서 암호화 되어 지정한 로컬 혹은 클라우드에 백업해 여러 장치에서 사용하거나 단말기 교체시 사용할 수 있습니다.
물론 Proton 계정이 있으면 Proton에서 그 유명한 Zero-knowledge 혹은 End to End encryption으로 데이터를 암호화 된 상태로 동기화 및 보관해줍니다. 즉 어떤 방법을 써도 안전하지만 그 선택은 여러분 몫이라는것이죠. 여러분의 데이터니까요. 쓰다가 필요하면 내보내기도 가능합니다.
그 외에도 주요 인증자 앱이 휴대폰 전용인 반면 윈도우/맥/리눅스 데스크톱을 지원하는 것도 강점입니다.
그리고 무엇보다 어떤 식으로 쓰든 공짜라는 점입니다. 그리고 Proton은 메일부터 시작해 다양한 보안에 중점을 둔 서비스를 제공하고 있지만 어디처럼 사고를 낸 이력이 없다는 것 역시 기억해둘 만합니다.
지금 TOTP 인증자를 쓰시더라도, 2FA 자체를 아예 안쓰시더라도 모든 분이 한 번 반드시 살펴 보실 필요가 있다고 생각합니다. 게다가 보기좋은 떡이라고 디자인도 나쁘지 않더군요.