보안 가이드

MFA를 제대로 고르기: '피싱 저항'이 무엇이고, SMS가 왜 약한가

SMS, 인증 앱, 패스키는 MFA 강도의 사다리를 이룬다. SMS가 피싱과 SIM 스왑에 무너지는 이유, '피싱 저항'이 진짜 뜻하는 것, 그리고 어느 계정에 어느 요소를 둘지.

게시 2026-06-12 업데이트 2026-06-12 5분 읽기

대상: MFA(2요소 / 2단계 인증)를 켜려는 사람, 혹은 이미 켰지만 "SMS면 충분한가?" 궁금한 사람. 공격 메커니즘은 없다 — 오직 어느 방식이 강하고, 무엇을 어디에 둘지다.

본 사이트의 견해: 'MFA 있음'은 체크박스가 아니다

설정에서 보는 "2요소 인증: 켜짐"은 사실 강도에 대해 거의 아무 정보도 주지 않는다. 같은 "켜짐"이라도 SMS와 패스키는 전혀 다른 공격을 막는다. 대부분의 계정 탈취는 "MFA가 없어서"가 아니라 약한 MFA였기 때문에 일어난다. 그래서 중요한 계정은 "피싱 저항인가 아닌가"로 등급을 매기길 권하며, 결코 "MFA: 켜짐/꺼짐"으로 하지 않는다.

왜 MFA가 필요한가

비밀번호는 그 자체로 "언젠가 유출된다"고 다뤄야 한다. 재사용, 침해 덤프, 추측, 피싱 — 뚫리는 길은 많다. MFA는 첫 층이 깨져도 두 번째 층에서 멈추는 보험이다.

층 1

비밀번호는 언젠가 유출된다고 가정

+1 요소

두 번째 층이 유출만으로의 진입을 막음

3 등급

방식이 막을 수 있는 것을 바꿈

왕국 열쇠

이메일 탈취 = 모든 것에 대한 재설정 권한

무엇보다 이메일 계정이 가장 중요하다. 많은 서비스가 "비밀번호 찾기"를 이메일로 복구하므로, 이메일이 탈취되는 순간 다른 계정들이 연쇄로 재설정된다. 그래서 이메일은 가장 강한 MFA로 지켜야 할 "왕국의 열쇠"다(→ 기준선 체크리스트의 Tier 0).

강도의 사다리 (이것이 핵심)

"2요소"라 불려도 방식 간 강도 차이는 엄청나다. 왼쪽이 약하고 오른쪽이 강하다. 가르는 선은 "가짜 사이트에 제시될 수 있는가?" 이다.

✗ SMS / 이메일

숫자를 손으로 입력; 릴레이 피싱 & SIM 스왑이 깨뜨림

△ 인증 앱(TOTP)

SMS보다 강하나, 코드가 가짜 사이트로 릴레이될 수 있음

○ 패스키

기기 생체 인증; 도메인 결속 = 피싱 저항

◎ 보안 키

FIDO2 하드웨어 키; 가장 튼튼함; 예비를 두라

왼쪽이 약하고 오른쪽이 강하다. 가르는 선: 가짜 사이트에 넘겨질 수 있는가? 패스키/키는 설계상 불가능하다.

SMS / 이메일 코드

코드가 그냥 숫자 — 가짜 사이트에 붙여넣을 수 있음
SIM 스왑(번호 탈취)이 수신을 가로챔
릴레이 피싱이 진짜 사이트로 전달해 무력화
없는 것보다는 낫지만 최후의 방어선은 아님

패스키 / 보안 키(FIDO2)

키가 대상 도메인에 묶임 — 가짜 사이트에선 서명 없음
설계상 피싱 저항(사람의 판단에 의존 안 함)
기기 생체 인증이나 하드웨어 키 = 훔칠 "문자열"이 없음
왕국의 열쇠에 이것을 쓰라

"피싱 저항"이 실제로 뜻하는 것

이것이 핵심 개념이다. SMS나 인증 앱 코드는 결국 올바른 사이트에 입력하는지를 사람이 눈으로 판단해야 하는데 — 사람은 완벽한 복제 도메인을 구별하지 못한다. 반면 패스키나 보안 키(FIDO2)는 자신이 어느 도메인을 위한 것인지 안다. 그래서 가짜 사이트에는 어떤 서명도 돌려주지 않는다. 다시 말해, 사람이 속아도 키는 속지 않는다. 그것이 "피싱 저항"이며, 약한 방식과 강한 방식을 가르는 결정적 차이다.

설정하는 법 (순서가 중요하다)

왕국의 열쇠부터 시작

이메일, 도메인 등록 기관, 서버 패널, 결제 계정에 피싱 저항 MFA(패스키/보안 키)를 먼저 두라 — 이것들을 잃으면 나머지가 모두 무효가 된다(→ 기준선 체크리스트).

비밀번호 관리자 자체에 MFA

일상 로그인을 담은 비밀번호 관리자 자체가 왕국의 열쇠다. 마스터 비밀번호에 MFA를 겹쳐라(→ 비밀번호를 안전하게 저장하기).

지원 안 되면 인증 앱(TOTP)을 써라

패스키를 지원하지 않는 서비스에서는 SMS가 아니라 인증 앱을 고르라. SMS는 다른 선택지가 없을 때의 최후 수단으로 남겨두라.

복구 코드를 안전하게 저장

MFA는 양날이다 — 기기를 잃으면 당신도 잠긴다. 서비스가 발급하는 복구 코드를 비밀번호 관리자의 보안 메모나 암호화된 저장소에 두라. 절대 평문 스프레드시트에 두지 마라.

백업 요소를 하나 두라

두 번째 보안 키를 두거나, 기기 간 패스키를 동기화해 백업 경로를 만들라. 키 하나만 쥐면 분실 시 잠긴다.

MFA가 있어도 비밀번호 재사용은 멈춰라

MFA는 보험이지 약한 비밀번호의 핑계가 아니다. 피싱 저항이 아닌 MFA(SMS 등)만 가능한 서비스에서는 비밀번호의 강도와 고유성이 여전히 마지막 보루다. 비밀번호 강도 점검기로 가늠하라.

본 사이트는 어떻게 하는가

본 사이트는 중요한 계정 — 특히 이메일, 도메인, 서버 관리, 결제 — 을 가능한 한 피싱 저항 MFA로 잠근다. 이유는 단순하다: 이것들은 "하나를 잃으면 전부를 잃는" 왕국의 열쇠다. 일상 로그인은 비밀번호 관리자에 두고, 관리자 자체에도 MFA를 건다. 그리고 "MFA를 켰다"에 멈추지 않고 — 어느 방식이 걸려 있는지 주기적으로 검토한다. 중요한 계정이 SMS만 있는 것을 발견하면, 그것을 구멍으로 보고 패스키/보안 키로 올리는 것을 우선한다. 존재가 아니라 강도로 관리하라 — 그것이 본 사이트의 방침이다.

다음으로 읽기

토대: 보안 기준선 체크리스트(왕국의 열쇠부터)
저장: 비밀번호를 안전하게 저장하는 법
용어집: SPF/DKIM/DMARC(위조 방지 이메일 인증)
용어집: 피싱이란 무엇인가(피싱 저항 MFA가 막으려는 위협)
비밀번호 없는 로그인: 패스키란 무엇인가(훔칠 것이 없는 비밀번호 없는 로그인)
도구: 비밀번호 강도 점검기

FAQ

QMFA를 켜면 안전한가요?

없는 것보다 훨씬 안전하지만, '켰다'가 '안전하다'와 같지는 않습니다. 방식에 따라 강도가 세 등급으로 갈립니다: SMS와 이메일 코드는 피싱(코드를 가짜 사이트로 유인하는 릴레이 공격)과 SIM 스왑에 무너집니다. 중요한 계정에는 가짜 사이트에 제시될 수 없는 패스키나 보안 키(피싱 저항 MFA)를 쓰세요.

QSMS가 왜 약하다고 하나요?

코드가 그저 숫자 문자열이고, 입력하는 곳이 진짜인지 가짜인지 사람이 판단해야 하기 때문입니다. 릴레이 피싱(완벽한 복제 사이트에 코드를 입력)과 SIM 스왑(전화번호 탈취)이 이를 무력화합니다. 없는 것보다는 낫지만 최후의 방어선은 아닙니다.

Q실제로 어느 방식을 골라야 하나요?

가장 강한 것은 패스키(기기 생체 인증)와 물리 보안 키(FIDO2)입니다. 키가 대상 도메인에 묶여 있어, 가짜 사이트에서는 서명이 만들어지지 않습니다 — 그것이 피싱 저항입니다. 지원되지 않는 곳에서는 인증 앱(TOTP)을 쓰고, SMS는 다른 선택지가 없을 때의 최후 수단으로 남겨두세요.