OTP는 일회용 암호(One Time Password)의 약자로, 일회용 암호를 만들어주는 생성기와 1회용 인증을 포함한 개념을 말합니다. 주로 금융권이나 게임사 등, 보안인증이 중요한 경우에 주로 사용하게 됩니다.
OTP는 파고들어보면 매우 단순한 구조로 되어있습니다. 이 과정을 알기 쉽게 풀어서 말해보자면 다음과 같습니다.
- 믿을 수 있는 사람에게 비밀번호 뭉치를 맡깁니다.
- 로그인을 할 때마다 그 사람에게 찾아가서, 비밀번호를 받아옵니다.
- 매번 랜덤 한 비밀번호를 하나 건네주며, 일정 시간이 지나면 암호는 사라집니다.
OTP는 간단히 말해, 암호를 맡긴 사람과 나만 알 수 있는 추가적인 암호문을 만들어내는 것입니다. 그래서 내가 만들어 둔 1차 암호가 노출되더라도 계정에 접속할 수 없도록 막는 역할을 해줍니다.
과거에는 은행에서 별도로 건전지가 들어가는 OTP를 사용하거나, 보안카드라는 개념으로 플라스틱 카드 안에 수많은 숫자들을 써서 배포하기도 했습니다. 다만 무료도 아니었고, 분실 시 재발급하기가 매우 어려웠습니다. 그래서 스마트폰이 이 자리를 대체하게 되었죠.
요즘은 구글이나, 네이버 등에서 OTP를 발급해주기도 하는데, 이런 스마트폰 기반의 OTP들의 특징은 본인인증 과정이 별도로 필요하지 않습니다. 대신 스마트폰에 로그인하는 계정과, 스마트폰의 고유 기기 정보를 엄격하게 확인합니다. 특히 기기 정보를 기반으로 비밀번호를 발급하는 구글 OTP의 경우, 이런 기기 정보 확인에 철저한 제한을 둡니다.
네이버 OTP의 사례도 이와 비슷합니다. 네이버 로그인 시 스마트폰으로 인증번호를 보내줍니다. 이후 이 인증 번호를 확인해야 로그인이 진행되는 방식이죠. 결국 내가 나임을 증명하는 방식을 스마트폰을 통해 만들어 두었음을 알 수 있습니다.
이메일과 SMS 인증
우리에게 익숙한 이메일 인증이나, SMS 번호 인증도 일종의 OTP의 개념이라고 볼 수 있습니다. 1회성 인증이 일어나고, 그 번호는 아무나 확인할 수 없고 시간제한도 걸려있으니까요. 하지만 이메일과 SMS 인증은 각각 큰 문제가 있습니다. 바로 해킹 위험성과, 가격 문제입니다.
- 이메일 인증: 비용은 저렴하나, 웹 기반인 경우가 많아 해킹이 쉬움
- SMS 인증: 한 통에 10~ 20원 정도의 비용이 발생함. 해킹에는 상대적으로 강한 편
각각의 인증번호 전송에는 돈이 들어갑니다. 그래서 앱 기반의 인증으로 대체하는 서비스가 늘어난 것이고, 그중에는 구글 같은 외부 OTP 서비스를 끌어다 사용하는 곳도 생겨난 것이죠.
OTP도 완벽하진 않아요
OTP는 기술적으로 보았을 때, 매우 안전한 기술입니다. 비밀번호가 계속 고정되지 않는 데다, 시간제한까지 걸려있어 해킹이 쉽지 않죠. 게다가 사용자가 입력한 키 값은 암호화 처리되기 때문에, 더욱 안전하죠.
게임 회사들처럼 OTP 서비스를 자체적으로 만드는 회사도 있지만, 구글같이 공개된 OTP 서비스를 가져다 사용하는 경우도 있습니다. 이 경우, 서비스를 만드는 사람에겐 매우 편리한 선택이 될 겁니다. 하지만 사용자가 비밀번호를 잃어버리면, 복구하기가 어려워집니다.
구글의 OTP 앱은 스마트폰의 고유 ID(UDID)를 확인합니다. 온 세상에 이 번호는 단 하나뿐이기 때문에, 이 번호로 사용자를 구분하죠. 만약 스마트폰을 교체하는 경우, 이 정보를 인식할 수 없게 됩니다. 그러면 OTP를 재설치할 수도, 리셋할 수도 없는 상태가 되죠.
이런 OTP를 끌어다 사용한 서비스 회사는 이 정보를 알 수 없습니다. 안전해지는 만큼, 문제를 해결할 방법도 적어지는 것이죠.
또한 OTP를 설정했음에도 해킹을 당하는 사례가 생기기도 합니다. 대부분의 OTP가 스마트폰 안에 들어가고 있는 요즘 이메일이나 문자 등으로 추가 인증을 하게 됩니다. 그러니 스마트폰 자체를 해킹해서, 암호를 가로채는 방식으로 해킹을 하기도 합니다. 그 과정은 다음과 같습니다.
1. 사용자가 OTP를 입력하려 합니다.
2. OTP가 발행이 되었을 때 해커는 네트워크를 끊어버립니다.
3. OTP는 발급되었지만 접속은 못하는 상태가 됩니다.
4. 이때 해커는 이 OTP를 통해 접속을 합니다.
5. 이후 OTP를 해제하거나, 사용자의 계정을 맘대로 사용합니다.
스마트폰 OTP는 겉으로 보기엔 안전해 보이지만 충분히 해킹이 가능합니다. 또한 기기 UDID 같은 지점을 기반으로 검증을 할 경우, 기기이동이 불가능하거나 비밀번호 찾기가 어려워지는 등 한계가 많은 기술이기도 하죠. 그래서 이 문제를 해결하기 위해 나온 것이, 메신저 기반 OTP 서비스입니다.
메신저 기반 OTP는 보안 비밀번호를 입력해야 진행이 가능합니다. 그리고 그 인증 과정을 카카오톡 같은 메신저 기업이 담당하게 되죠. 가격도 SMS 인증에 비해 저렴하고. 해킹 위험성도 상대적으로 낮습니다. 추가로 앱을 설치할 필요도 없으니 서비스를 만드는 기업들이라면, 한 번쯤 고민해 볼만한 선택지입니다. 이런 식으로 ‘메신저’를 통해 인증하는 방식은 아직 많이 대중화되지 않았지만, 미래에는 더 자주 만나보게 될 겁니다.
지금까지 OTP에 대해서 알아보았습니다. 만약 메신저 기반 인증에 대해 좀 더 알고 싶다면, 참고자료를 확인해보세요!
<참고자료>
//blog.kakaopay.com/96
//news.joins.com/article/23668128
다음 조치가 권장됩니다. 상황에 따라 다양한 방법으로 계정을 복구할 수 있습니다. 백업 옵션 사용 기본 휴대전화에
액세스할 수 없다면 다음을 사용하여 본인임을 인증하세요. 휴대전화 분실 또는 도난
신뢰할 수 있는 기기에서 로그인
이전에 기기에서 로그인하고 '이 컴퓨터에서 다시 요청하지 않음' 체크박스를 선택했다면 2단계 인증 없이 이 기기에서 로그인할 수도 있습니다. Google 계정에 로그인한 후에 인증 방법을 관리할 수 있습니다.
이동통신사에서 새 휴대전화 구입
휴대전화를 분실했다면 이동통신사에 연락하여 새 휴대전화나 SIM 카드로 전화번호를 이전해 달라고 요청할 수 있습니다.
계정 복구
보안 키 분실 또는 도난
다음과 같은 2단계를 추가로 설정했는지에 따라 계정에 다시 액세스하기 위한 적절한 단계를 선택합니다.
- 인증 코드
- Google 메시지
- 백업 코드
- 계정에 추가한 백업 보안 키
- 인증 코드를 묻지 않도록 선택한 등록된 컴퓨터
중요: 계정에 고급 보호를 추가했다면 백업 보안 키만 사용할 수 있습니다. 백업 보안 키가 없다면 계정 복구 단계를 따르세요.
다른 2단계가 있는 경우
- 비밀번호 및 다른 2단계로 Google 계정에 로그인합니다.
- 단계에 따라 계정에서 분실된 키를 삭제합니다.
- 새 보안 키를 구매합니다. 안전한 장소에 보관할 수 있는 추가 키를 구매하는 것도 좋습니다.
- 계정에 새 키를 추가합니다.
다른 2단계가 없거나 비밀번호를 잊어버린 경우
중요: 2단계 인증에는 계정 소유자임을 증명하는 추가 단계가 필요합니다. 추가된 보안으로 인해 Google에서 사용자가 본인임을 확인하는 데 영업일 기준 3~5일이 소요될 수 있습니다.
계정 복구 단계를 따릅니다. 계정 소유자임을 확인하는 질문이 표시됩니다.
다음 팁을 참고로 가능한 한 정확히 답변하세요.
다음과 같은 요청을 받을 수 있습니다.
- 연락할 수 있는 이메일 주소나 전화번호 입력
- 이메일 주소나 전화번호로 전송된 코드 입력 이 코드는 해당 이메일 주소나 전화번호에 액세스할 수 있도록 도와줍니다.
2단계로 사용할 보안 키 필요
2단계 인증을 사용 설정하고 지원되는 휴대전화에서 로그인하면 Google 메시지를 받을 수 있습니다. 보안 키를 필수 2단계로 설정하려면 고급 보호 프로그램에 등록하세요.
분실한 백업 코드 취소
백업 코드를 분실했다면 취소하고 새 코드를 받으세요.
- Google 계정의 2단계 인증 섹션으로 이동합니다.
- 코드 표시를 선택합니다.
- 새 코드 받기를 선택합니다.
인증 코드를 받지 못함
- 대신 Google 메시지가 전송되었을 수 있습니다. Google에서 SMS 인증 코드 대신 Google 메시지를 권장하는 이유를 알아보세요.
- 위치를 포함하여 로그인 방식이 평소와 다르면 SMS로 인증 코드를 받지 못할 수 있습니다.
- 인증 코드가 포함된 SMS가 휴대전화로 전송되었다면 SMS 전송을 지원하는 휴대기기와 서비스 요금제를 이용 중인지 확인하세요.
- 전송 속도와 사용 가능 여부는 위치와 서비스 제공업체에 따라 다를 수 있습니다.
- 코드를 받으려고 시도할 때 인터넷에 연결되어 있는지 확인합니다.
- 휴대전화로 전송되는 인증 코드를 음성 통화로 받는 경우 다음과 같은 상황에서는 음성메시지를 받게 됩니다.
- 전화를 받을 수 없음
- 인터넷에 연결되어 있지 않음
도움말: 인증 코드를 여러 번 요청했다면 가장 최근에 받은 인증 코드만 유효합니다.
Google OTP 코드가 작동하지 않음
Google OTP 앱의 시간이 제대로 동기화되지 않았기 때문일 수 있습니다.
올바른 시간을 설정하려면 다음 단계를 따르세요.
Android 기기에서 Google OTP 앱의 기본 메뉴로 이동합니다.
더보기
설정코드에 맞게 시간 수정지금 동기화를 탭합니다.
다음 화면으로 넘어가면 앱에서 시간이 동기화되었는지를 확인하고 사용자가 로그인할 수 있게 됩니다. 동기화는 Google OTP 앱 내부의 시간에만 영향을 미치며 기기의 날짜 및 시간 설정은 바꾸지 않습니다.
2단계 인증을 사용 설정한 후 앱이 작동하지 않음
2단계 인증을 사용 설정하면 일부 앱에 다시 로그인해야 할 수 있습니다.
도움말: 2단계 인증을 추가한 후 앱에 로그인되지 않는다면 앱 비밀번호를 사용해야 할 수 있습니다.
Google Voice를 사용하여 인증 코드를 받아서는 안 되는 이유
Google Voice를 사용하여 인증 코드를 받으면 계정에 액세스하지 못하는 상황이 발생할 수 있습니다.
예를 들어 Google Voice 앱에서 로그아웃한 후 다시 로그인하려면 인증 코드가 필요할 수 있으나 코드가 Google Voice로 전송되므로 코드를 받지 못합니다.
직장, 학교 또는 기타 조직 계정
직장, 학교 또는 기타 그룹에서 2단계 인증으로 보호되는 계정을 사용하고 있으며 로그인할 수 없다면 다음 옵션을 선택하세요.
- 백업 옵션 사용
- 관리자에게 문의
2단계를 사용하여 로그인할 수 없음
신뢰할 수 있다고 표시한 기기를 사용하여 계정 복구로 이동하세요.
SMS로 백업 휴대전화에 로그인할 수 없음
위치를 포함하여 로그인 방식이 평소와 다른 경우 이 문제가 발생하기도 합니다. 백업 휴대전화에 로그인하려면 기본 휴대전화 또는 신뢰할 수 있는 다른 기기에서 시도해야 할 수 있습니다.
도움이 되었나요?
어떻게 하면 개선할 수 있을까요?