Google Authenticator 이전: 2단계 인증을 새 휴대폰으로 마이그레이션
인증 코드가 저장된 휴대폰을 분실하면 코인베이스는 계정을 다시 사용할 수 있을 때까지 48~72시간의 신원 확인 대기열에 등록합니다. 바이낸스는 일주일이 걸릴 수 있고, 소규모 거래소는 한 달이 걸릴 수도 있습니다. 이것이 바로 인증 정보를 이전하지 못했을 때 발생하는 시간이며, 이 가이드가 존재하는 유일한 이유입니다.
이 가이드에서는 iOS 또는 Android에서 Google Authenticator를 양방향으로 전송하는 두 가지 실제 작동하는 방법을 설명합니다. 하나는 2020년 5월부터 휴대폰에 앱과 함께 제공되는 QR 코드 내보내기 방식이고, 다른 하나는 2023년 4월에 도입된 Google 계정 클라우드 동기화 방식입니다(이 방식 사용 시 알아두어야 할 보안 주의 사항이 있습니다). 또한 이전 휴대폰을 분실하거나 도난당했을 때의 대처법, 새 휴대폰으로 2단계 인증 코드를 옮길 때 발생할 수 있는 문제점, 그리고 복구가 항상 가능한 것은 아닌 고가의 온라인 계정 관리 방법도 다룹니다. 이 가이드의 목표는 계정 접근 권한을 잃지 않고 Google Authenticator를 이전하고 Google Authenticator 코드를 안전하게 보관하는 것입니다.
휴대폰을 바꾸기 전에 Google Authenticator 정보를 이전하는 것이 중요한 이유
SMS 2단계 인증은 SIM 카드와 함께 사라집니다. 번호 이동 공격, 통신사 변경, 심지어 eSIM 전송 오류까지 발생하면 인증 코드가 다른 사람의 휴대폰으로 전송됩니다. FBI의 2024년 인터넷 범죄 보고서에 따르면 SIM 카드 교체 관련 신고가 982건 접수되었고, 직접적인 피해액은 2,598만 달러에 달했습니다(2022년 7,265만 달러에서 감소했지만, 동일한 사기 수법이 여전히 개인정보 도용과 암호화폐 지갑 유출로 이어지고 있습니다). 인증 앱에서 발급되는 일회용 코드는 기기의 안전한 저장소에 저장되며, 통신사 네트워크에는 저장되지 않습니다. 마이크로소프트가 수년 동안 2단계 인증을 활성화하면 자동화된 계정 침해 시도의 99.9% 이상을 차단할 수 있다고 주장해 온 이유도 바로 이 때문입니다.
단점은 분명합니다. 모든 인증 코드가 하나의 휴대폰에 저장됩니다. 휴대폰을 강에 빠뜨리거나, 실수로 초기화하거나, 아이에게 "잠깐만" 빌려주는 경우, 각 서비스에서 복구 절차를 거치기 전까지는 계정에 접근할 수 없습니다. 따라서 인증 코드를 안전하게 보관하고, 본인이 관리하는 기기에서만 코드를 생성하며, 새 휴대폰으로 옮기는 것을 정기적인 유지 보수처럼 생각하세요.
시작하기 전에: 두 휴대폰 모두에 Google Authenticator 앱을 준비하세요.
전송 실패의 상당 부분은 소프트웨어 문제보다는 사전 준비 부족에서 비롯됩니다. 실패의 가장 흔한 원인은 세 가지입니다. 바로 오래된 앱, 생체 인증 정보 미등록, 불안정한 Wi-Fi 연결입니다. 이전 휴대폰에서 Google Authenticator 앱을 실행하고 최신 인증 코드가 표시되는지 확인하세요. Google Play(Android 7.0 이상, 2024년 11월 14일 출시) 또는 App Store에서 앱을 업데이트하세요. 새 휴대폰에도 동일한 Google Authenticator 앱을 설치하고 평소 사용하는 Google 계정으로 로그인한 후 생체 인증을 활성화하세요. 생체 인증이 활성화되면 내보내기 화면에서 지문이나 얼굴 인식을 통해 QR 코드가 표시됩니다. 두 기기를 모두 충전기에 연결하고 동일한 Wi-Fi 네트워크에 접속한 후 VPN을 모두 종료하세요.
휴대폰 업데이트가 진행되는 동안 인증 앱에 연결된 모든 서비스를 목록으로 작성하세요. 대부분의 사람들은 자신도 모르게 10개 이상의 인증 계정을 사용하고 있습니다. 구글 계정, GitHub, 모든 거래소, 비밀번호 관리자, AWS 콘솔, CMS 등 다양한 서비스에 연결되어 있을 수 있습니다. 아래 표는 사용자가 가장 자주 계정이 잠기는 서비스의 백업 코드가 저장된 위치를 보여줍니다. 이 목록과 각 서비스에 대한 강력한 암호를 잘 보관하세요. 일부 복구 절차에서는 이전 기기 연결을 해제하기 전에 이 두 가지를 모두 요구합니다.
| 서비스 | 백업 코드가 저장되는 위치 | 메모 |
|---|---|---|
| 구글 계정 | myaccount.google.com → 보안 → 2단계 인증 | 일회용 코드 10개 |
| 마이크로소프트 | account.microsoft.com → 보안 → 고급 보안 | 복구 코드, 이메일 대체 기능도 포함 |
| 깃허브 | 설정 → 암호 및 인증 → 복구 코드 | 16개 코드 |
| 코인베이스 | 설정 → 보안 → 백업 코드 | 재설정 시 신분 확인과 연동됨 |
| 바이낸스 | 사용자 센터 → 보안 → 2단계 인증 | 계정 복구는 24시간에서 7일 정도 소요됩니다. |
| AWS | IAM ID 센터 → 사용자 프로필 | 최대 8개의 MFA 장치 |
| 페이스북 / 인스타그램 | 계정 센터 → 비밀번호 및 보안 | 10개의 복구 코드 |
내보내기 및 가져오기: QR 코드를 통해 Google Authenticator를 전송하세요.
QR 코드 내보내기 기능은 2020년 5월에 출시되었습니다. 이 기능은 Google의 iOS 도움말 페이지에서 권장하는 방식이며, 서버를 거치지 않고 선택한 모든 계정의 시드 데이터를 한 휴대폰에서 다른 휴대폰으로 전송합니다. 클라우드도, Google 계정도 필요하지 않습니다.
먼저 이전 휴대폰에서 시작하세요. 앱을 열고 메뉴를 찾으세요. 안드로이드에서는 왼쪽 상단에 가로선 세 개가, 아이폰에서는 일반적으로 오른쪽 상단에 점 세 개가 표시되지만 일부 모델에서는 하단에 표시되기도 합니다. 메뉴를 탭하고 '계정 전송'을 선택한 다음 '계정 내보내기'를 선택하세요. 앱에서 지문, Face ID 또는 기기 암호를 입력하라는 메시지가 나타납니다. 생체 인증이 완료되면 기기에 있는 모든 Google Authenticator 계정 목록이 표시됩니다. 이동하려는 계정을 선택하고(여러 개 선택 가능) '다음'을 탭하세요. 이제 앱에서 최대 10개 계정의 암호화된 시드 데이터가 포함된 QR 코드를 생성합니다. 계정이 10개 이상인 경우 번호가 매겨진 QR 코드 목록이 표시되며, 앱에서 현재 보고 있는 QR 코드를 알려줍니다.
이제 새 휴대폰을 준비하세요. Google Authenticator 앱을 열고 '시작하기'를 탭하거나, 앱이 이미 실행 중인 경우 오른쪽 하단의 더하기 아이콘을 탭하세요. 'QR 코드 스캔'을 선택합니다. 가져오기 단계에서 기존 계정에서 가져올지 묻는 메시지가 나타나면 '예'를 선택합니다. 새 휴대폰을 이전 휴대폰 화면 앞에 대고 카메라가 QR 코드를 인식하도록 합니다. 새 기기에 가져온 계정 목록이 표시됩니다. 추가로 스캔해야 하는 QR 코드가 있으면 '다음'을 탭하세요.
기존 인증 코드는 이전 휴대폰에 그대로 남겨두세요. 먼저 새 기기를 인증한 다음, 데이터를 삭제하세요. 연결된 서비스 하나를 열고 로그인한 후, 새 인증 코드의 6자리 인증 코드가 해당 서비스에서 요구하는 코드와 일치하는지 확인하세요. 두 서비스 모두 문제없이 로그인되면 이전 휴대폰의 앱에서 관련 항목을 삭제하거나, 더 좋은 방법은 이전 기기를 초기화하여 재판매하는 것입니다.
실제 사용 시 몇 가지 문제가 발생할 수 있습니다. 안드로이드 기기 간 전송은 거의 항상 문제없이 진행됩니다. 안드로이드 기기에서 아이폰으로 전송할 때는, 특히 QR 코드 스캔 단계에서 5개 이상의 계정을 인코딩하는 경우 가져오기 후 일부 계정이 표시되지 않는 경우가 있습니다. 이 경우 일괄 처리 크기를 줄이고 다시 시도해 보세요. 아이폰에서 안드로이드로 전송할 때는 Google의 iOS 구현이 안드로이드 구현보다 지연되어 내보내기 화면에서 멈추는 경우가 있습니다. 이런 경우 앱을 강제로 종료한 후 다시 실행하여 내보내기를 다시 시작하세요. 일부 VPN 클라이언트에서는 카메라 속도 제한으로 인해 두 기기 중 하나에 VPN이 설치되어 있으면 스캔 결과가 손상될 수 있습니다. 전송 중에는 VPN을 비활성화하세요. QR 코드에 포함된 전송 코드는 시간 제한이 있으므로 새 휴대폰의 시계가 맞지 않으면 가져오기 후 유효하지 않은 코드가 표시될 수 있습니다. 이 경우 앱 메뉴에서 '코드 시간 수정'을 탭하여 기기 시계를 다시 동기화하세요.
Google Authenticator 코드를 Google 계정과 동기화하세요
2023년 4월 24일 안드로이드 6.0 및 iOS 4.0 버전에 추가된 클라우드 동기화는 편리한 로그인 방식입니다. 이 기능을 활성화하면 QR 코드 없이도 동일한 Google 계정에 로그인된 모든 휴대폰에서 코드를 추가하거나 삭제할 수 있습니다. 대부분의 일반적인 로그인에는 이 기능이 매우 적합합니다.
보안상의 주의 사항은 잠시 짚어볼 필요가 있습니다. 2023년 4월 출시 후 48시간 이내에 Mysk Inc.의 보안 연구원들은 TOTP 시드를 구글 서버로 전송하는 트래픽이 종단간 암호화(E2EE)되지 않았다는 사실을 밝혀냈습니다. 구글은 향후 E2EE를 추가하겠다고 공개적으로 약속했지만, 현재로서는 동기화가 구글 서버 측 암호화로만 보호되고 있어 구글 자체도 기술적으로 시드를 읽을 수 있습니다. Spotify나 Twitter 계정의 경우 접근 권한을 잃는 대신 감수할 만한 수준일 수 있습니다. 하지만 마스터 비밀번호 관리자나 암호화폐 거래소와 같은 경우에는 QR 코드 방식을 선호하며, 불편함을 감수하는 것이 낫다고 생각합니다.
동기화를 켜려면 이전 휴대폰에서 Google Authenticator 앱을 열고 오른쪽 상단의 아바타 또는 프로필 아이콘을 탭한 다음 백업으로 사용할 Google 계정으로 로그인하세요. 동기화된 항목 옆에 녹색 구름 모양 표시기가 나타납니다. 새 휴대폰에서 같은 앱을 열고 동일한 Google 계정으로 로그인하면 몇 초 안에 인증 코드가 표시됩니다. QR 코드를 스캔하거나 생체 인증을 요청할 필요가 없습니다.
Google Authenticator 계정 전송을 거의 마찰 없이 간편하게 하려면 동기화가 답입니다. 하지만 종단 간 암호화(E2EE) 방식이 아니므로 신뢰도가 낮다면 중요도가 낮은 계정에만 사용하세요. 은행, 암호화폐, 중요한 GitHub 계정 등 중요도가 높은 계정은 QR 코드 내보내기를 통해 하나의 기기에 연결해 두거나, 아예 패스키나 하드웨어 키로 옮기는 것이 좋습니다. 캐나다 정보보안기구(CISA)의 2022년 피싱 방지 다단계 인증(MFA) 관련 자료(2024년 재확인)에서는 FIDO2 하드웨어 키를 모든 TOTP 방식보다 우위에 두고 있습니다.
이전 휴대폰 없이 새 기기에 Google Authenticator를 설정하는 방법
만약 기존 휴대폰을 분실, 도난당했거나 고장난 경우라면 위의 방법들은 모두 원본 기기가 필요하기 때문에 사용할 수 없습니다. 분실 전에 동기화를 켜두지 않았다면 "클라우드에서 복원"하는 방법도 없습니다. 따라서 아래 제시된 방법만이 유일한 선택지이며, 시간이 오래 걸립니다.
각 서비스마다 다른 방식으로 로그인하고 새 휴대폰에 2단계 인증을 개별적으로 다시 연결해야 합니다. 백업 코드는 계정을 복구하는 가장 빠른 방법입니다. Google은 2단계 인증 설정 시 Google 계정에서 10개의 일회용 백업 코드를 발급하고, GitHub는 16개, 대부분의 거래소는 8~12개를 발급합니다. 백업 코드를 암호 관리자에 저장했거나 인쇄해 둔 경우, 해당 코드를 사용하여 로그인한 다음 보안 설정으로 이동하여 다른 기기에서 기존 인증 앱 연결을 해제하고 새 휴대폰에서 새 QR 코드를 스캔하여 Google 계정으로 코드를 다시 전송하세요.
백업 코드가 없으면 계정 재설정이 매우 느려집니다. 코인베이스 고객센터에 따르면 2단계 인증(2FA) 재설정에는 48~72시간이 소요되며, 신원 확인이 필요한 경우에는 더 오래 걸릴 수 있습니다. 일부 은행은 지점 방문을 요구하기도 합니다. 따라서 구글 인증 앱을 처음 활성화하는 날 백업 코드를 비밀번호 관리자에 연결하고, 백업 코드를 인쇄하여 휴대전화가 없는 곳에 보관하는 것이 좋습니다. 또한, 인증 앱으로 보호되는 모든 온라인 계정에 대한 사용자 이름과 복구 이메일 주소를 정리해 두세요.
안드로이드와 아이폰 간 2FA 코드 이동 시 접근 권한 유지
크로스 플랫폼 마이그레이션 관련 도움말 게시글이 가장 많이 집중되는 부분입니다. Google Authenticator 전송은 iOS와 Android 양방향으로 작동하지만, 두 가지 유형의 오류가 반복적으로 발생합니다. 첫 번째는 QR 코드 스캔은 성공적으로 완료되었지만 새 기기에 일부 계정만 표시되는 경우입니다. 이는 거의 대부분 QR 코드당 최대 10개 계정 제한 때문에 발생하며, 특히 iOS 앱에서 QR 코드를 생성할 때 문제가 됩니다. 한 번에 최대 5개 계정으로 내보내기를 시도해 보세요. 두 번째는 코드가 정상적으로 작동하는데도 iOS 기기에서 내보내기 메뉴에 "내보낼 계정이 없습니다"라고 표시되는 경우입니다. 2026 빌드에서는 최신 TestFlight 또는 App Store 버전으로 업데이트하고, 앱을 강제 종료한 후, 기기의 생체 인식 설정을 한 번 껐다 켜는 방법으로 문제를 해결할 수 있습니다.
스캔하기 전에 각 내보내기 QR 코드의 스크린샷을 다른 기기에서 찍거나 인쇄하세요. 어떤 기기에서든 QR 코드를 스캔하여 가져올 수 있지만, Google은 동일한 내보내기 파일을 다시 생성할 수 없도록 되어 있습니다. 따라서 깔끔한 스크린샷은 5분 작업과 위에서 언급한 것처럼 당황스러운 상황을 가르는 중요한 요소입니다. iOS든 Android든 마이그레이션하는 경우, QR 코드 스크린샷을 안전하게 (암호화된 비밀번호 관리자 메모에) 저장하는 것이 가장 저렴하면서도 효과적인 예방책입니다.
암호화폐 거래소 및 Web3에서 Google Authenticator 계정을 사용하세요.
암호화폐 거래소나 지갑에서 계정 탈취는 사실상 되돌릴 수 없습니다. 자금이 이동되면 복구할 수 없기 때문입니다. 인증 코드는 최소한의 보안 수단이며, 마이크로소프트가 2024년까지 중간자 공격(AiTM) 피싱이 전년 대비 146% 증가했다고 보고한 것은 TOTP(시간차 인증)만으로는 충분하지 않다는 것을 의미합니다. 2026년 5월에 발생한 "행동 강령" AiTM 캠페인은 26개국 13,000개 조직의 35,000명 이상의 사용자를 공격했습니다. 공격자들은 정상적인 로그인 페이지를 우회하여 TOTP 코드를 실시간으로 캡처하고 사용자가 알아차리기 전에 세션 쿠키를 탈취했습니다. 먼저 하드웨어 키(YubiKey 또는 유사 제품)를 마스터 Google 계정에 연결한 다음, 거래소 측에서 Authenticator를 추가하고, Authenticator가 제대로 작동하는 것이 확인되면 SMS 2단계 인증을 비활성화하십시오. FBI의 2024년 IC3 통계에 따르면 사이버 범죄로 인한 총 손실액은 166억 달러에 달하며, 암호화폐 관련 신고 건수는 매년 증가하고 있습니다.
암호화폐 결제 처리 업체도 거래소와 동일한 수준의 보안을 유지해야 합니다. 예를 들어, Plisio는 가맹점 계정에 TOTP(Time To Pass)를 지원하며, Google Authenticator(또는 TOTP 호환 앱)를 통해 연동하면 출금 거래를 관리하는 대시보드를 안전하게 보호할 수 있습니다. 새 휴대폰으로 옮길 때는 결제 게이트웨이 대시보드를 핫월렛처럼 관리해야 합니다. QR 코드로만 내보내고 클라우드 동기화는 하지 않으며, 이동 후에는 새로운 백업 코드를 생성하여 저장해야 합니다.
구글 인증 앱의 대안으로 고려해 볼 만한 앱들
Authy 사태는 시장을 뒤흔들었다. 2024년 3월 19일, Twilio는 당초 발표했던 8월보다 몇 달 앞당겨 Authy 데스크톱 앱 서비스를 종료했다. 그리고 2024년 7월, 공격자들은 인증되지 않은 API를 통해 33,420,546개의 Authy 전화번호를 탈취했고, Twilio는 이를 인정했다. 불과 4개월 만에 두 차례의 공격이 발생한 것이다. Authy 사용자들은 뿔뿔이 흩어졌다.
| 앱 | 클라우드 동기화 | E2EE 동기화 | 플랫폼 | 오픈 소스 |
|---|---|---|---|---|
| 구글 인증 앱 | 예 (2023년부터) | 아니요 (서버 측에서만 사용 가능) | iOS, 안드로이드 | 아니요 |
| 2FAS | 예 (선택 사항) | 예 | iOS, 안드로이드, 브라우저 | 예 |
| 보호 | 아니요 (로컬 백업만 가능) | 해당 없음 | 기계적 인조 인간 | 예 |
| 엔테 오스트 | 예 | 예 | iOS, 안드로이드, 데스크톱 | 예 |
| 마이크로소프트 인증 앱 | 예 | 예 | iOS, 안드로이드 | 아니요 |
| iOS 18 암호 앱 | iCloud 키체인 | 예 | iOS, macOS | 아니요 |
애플은 2024년 9월에 조용히 주목할 만한 업데이트를 진행했습니다. iOS 18에서는 iCloud Keychain 기능을 별도의 암호 앱으로 분리하여, TOTP 코드를 기본적으로 생성하고, Safari에서 자동 완성 기능을 제공하며, 종단 간 암호화를 통해 동기화합니다. 애플 제품만 사용하는 사용자에게는 별도의 인증 앱이 완전히 필요 없어졌습니다. 다른 사용자라면 위 표에서 추천하는 앱들을 확인해 보세요.
송금 후 Google Authenticator 코드를 안전하게 보관하세요.
가져오기가 완료되는 즉시 이 목록을 확인하세요. 새 휴대폰에서 가장 중요한 연결된 서비스 세 개 이상에 로그인하여 코드가 제대로 작동하는지, 그리고 인증 앱의 메인 화면에 예상했던 모든 계정이 표시되는지 확인하세요. 방금 옮긴 모든 서비스의 백업 코드를 다시 생성하고, 암호 관리자와 종이에 적어 여러 곳에 보관하세요. 휴대폰을 다른 사람에게 주기 전에 '나의 iPhone 찾기' 또는 '나의 기기 찾기'를 통해 이전 휴대폰의 데이터를 완전히 삭제하세요. 마스터 Google 계정의 경우, 패스키 또는 하드웨어 보안 키를 추가로 설정하여 인증 앱이 설치된 다른 휴대폰만으로는 충분하지 않도록 하세요. 이러한 다중 보안 설정이 Microsoft가 2026년까지 추적 중인 AiTM 공격을 방지하는 핵심입니다. 더 중요한 것은, 이 설정을 통해 다음 Google 인증 앱 이전 작업이 당황스러운 상황이 아닌 15분 만에 완료되는 작업으로 바뀔 수 있다는 점입니다.
