암호키 vs 2FA: 어떤 방식이 암호화폐를 더 안전하게 보호할까요?
당신이 알지 못하는 해킹 사고로 비밀번호가 유출되었습니다. 몇 주 후 누군가 당신의 암호화폐 거래소에 그 비밀번호를 사용해 접근하려 합니다. 당신의 잔고를 지키는 유일한 방어벽은 휴대전화로 전송된 6자리 인증 코드뿐입니다. 이 코드가 바로 당신의 돈을 안전하게 지켜줄 장벽이 되어야 했습니다. 수년 동안 이 코드는 충분히 효과적이었습니다. 패스키와 2단계 인증(2FA)은 과연 이 장벽을 여전히 신뢰할 수 있는지에 대한 논쟁이며, 특히 자금이 한 방향으로만 이동하는 것을 중요하게 생각하는 사람들에게는 이 질문에 대한 솔직한 답이 매우 중요합니다. 이 가이드에서는 두 가지 인증 방식을 쉽고 명확하게 설명하고, 각각의 장단점을 비교하며, 기존의 2단계 인증 방식이 실제로 계좌를 털어버리는 공격을 거의 막지 못하는 이유를 보여줍니다.
2단계 인증(2FA)이란 무엇인가요?
2단계 인증(Two-factor authentication, 줄여서 2 factor)은 비밀번호에 추가되는 두 번째 인증 절차입니다. 그 원리는 매우 간단해서 대부분의 사람들이 이미 무의식적으로 사용하고 있습니다. 첫 번째 인증 요소를 누군가 탈취하더라도, 접근하려면 두 번째 인증 요소가 필요합니다. 보안 전문가들은 인증 요소를 크게 세 가지 범주로 나눕니다. 비밀번호나 PIN처럼 '알고 있는 것', 휴대전화나 하드웨어 토큰처럼 '소유하고 있는 것', 그리고 지문이나 얼굴 인식처럼 '본인임을 증명하는 것'입니다. 2단계 인증은 이 세 가지 요소 중 두 가지를 결합한 것입니다.
문제는 모든 이중 인증 요소가 동일한 수준의 보안을 제공하는 것은 아니라는 점이며, "이중 인증 활성화" 토글 버튼은 이러한 사실을 교묘하게 숨깁니다. SMS 인증 코드는 가장 취약한 일반적인 옵션이며, 구글 인증 앱과 같은 인증 앱에서 발급하는 코드(일반적으로 30초마다 갱신되는 TOTP)는 훨씬 더 강력하고, 물리적 보안 키는 더욱 강력합니다. 마이크로소프트는 다중 인증(MFA)을 활성화하면 자동화된 계정 공격의 약 99.9%를 차단할 수 있다고 밝혔는데, 이는 대량의 간단한 공격 시도에는 기본적으로 효과적이라는 것을 의미합니다. 하지만 이 글 전체에서 다루는 핵심 질문은 공격자가 전혀 간단한 노력을 기울이지 않을 경우 어떤 일이 발생하는가입니다.
일반적인 2차 인수들의 순위는 다음과 같습니다.
| 2FA 방법 | 작동 방식 | 피싱 방지 기능이 있나요? | 주요 약점 |
|---|---|---|---|
| SMS 코드 | 일회용 코드가 귀하의 번호로 문자 메시지로 전송되었습니다. | 아니요 | SIM 스왑, SS7 가로채기 |
| 인증 앱(TOTP) | 앱에서 코드 회전하기 | 아니요 | 실시간 릴레이 피싱 |
| 푸시 승인 | 휴대폰에서 "승인"을 탭하세요. | 아니요 | 외교부 피로감, 즉각적인 폭격 |
| 하드웨어 보안 키 | 꽂거나 탭하는 물리적 키 | 예 | 비용 손실이 발생할 수 있습니다. |
핵심적인 차이점은 맨 아래 줄에 있습니다. SMS 인증 코드, 앱 인증 코드, 푸시 알림은 모두 한 가지 약점을 공유하는데, 바로 사람이 잘못된 사이트에서 코드를 입력하도록 유도될 수 있다는 점입니다. 반면 하드웨어 보안 키는 어떤 방식으로든 유도될 수 없습니다. 패스키는 바로 이러한 특성을 기반으로 설계되었으므로, 진정한 차이는 비밀번호와 두 번째 인증 요소 사이가 아니라 피싱에 취약한 요소와 피싱에 강한 요소 사이에서 발생합니다.
패스키란 무엇이며, 패스키는 어떻게 작동하나요?
패스키는 더 나은 코드가 아닙니다. 패스키는 암호화 키 쌍이며, 이 쌍을 이해하는 것이 핵심입니다. 웹사이트나 앱용 패스키를 생성하면 기기는 Apple, Google, Microsoft가 모두 자사 시스템에 암호 없는 인증의 핵심으로 구축한 FIDO2 및 WebAuthn 표준을 사용하여 공개 키와 개인 키라는 두 개의 연결된 값을 조용히 생성합니다.
패스키는 빠르게 확산되고 있습니다. FIDO 얼라이언스에 따르면 2026년 5월 기준 약 50억 개의 패스키가 활발하게 사용 중이며, 소비자의 75%가 최소 한 개 이상의 계정에 패스키를 설정했습니다. 이제 패스키는 더 이상 특정 사용자만을 위한 기능이 아닙니다.
공개 키와 개인 키의 핸드셰이크
두 개의 키가 분리되어 있는 것이 패스키를 안전하게 보호하는 핵심입니다. 공개 키는 웹사이트가 보관하는 자물쇠와 같고, 개인 키는 그 자물쇠를 열 수 있는 유일한 열쇠로, 사용자의 휴대폰 안에 안전하게 보관되어 있다고 생각하면 됩니다. 로그인할 때 웹사이트는 사용자의 기기에 서명해야 하는 일회용 퍼즐을 제공합니다. 기기는 개인 키로 퍼즐에 서명하고 답을 서버로 전송합니다. 서버는 이미 보유하고 있는 공개 키와 비교하여 확인하고, 그러면 로그인이 완료됩니다. 네트워크를 통해 비밀 정보가 전송되는 일은 절대 없으므로, 누군가 몰래 정보를 빼내어 나중에 사용할 수 없습니다.
생체 인식 또는 기기 PIN을 통해 로컬에서 개인 키를 잠금 해제하여 서명할 수 있습니다. 지문은 서버에 전송되지 않습니다. 매번 로그인할 때마다 비밀번호를 전부 입력하고 상대방이 안전하게 저장해 줄 것이라고 믿어야 하는 것과 비교해 보세요.
암호 키 저장 위치: 동기화 방식 vs 기기 저장 방식
암호키에는 두 가지 유형이 있습니다. 동기화된 암호키는 암호 관리자 또는 플랫폼 키체인(Apple, Google, 1Password 또는 Bitwarden과 같은 도구)에 저장되어 여러 기기에서 사용할 수 있습니다. 하드웨어 보안 키에 저장된 암호키를 포함한 기기 연결 암호키는 해당 암호를 생성한 단일 기기에서만 사용할 수 있습니다. 동기화된 암호키는 더 편리하고 휴대전화를 분실하더라도 사용할 수 있지만, 기기 연결 암호키는 암호화 키가 서랍에 보관할 수 있는 하나의 기기에 고정되어 있어 가장 강력한 물리적 보안을 제공합니다.
패스키와 2FA의 주요 차이점
2FA와 패스키의 차이점을 가장 쉽게 이해하는 방법은 다음과 같습니다. 2FA는 비밀번호에 인증 단계를 하나 추가하는 반면, 패스키는 비밀번호를 완전히 대체합니다. 이렇게 이해하면 나머지는 쉽게 따라올 것입니다. 2FA는 여전히 유출될 수 있는, 누구나 알 수 있는 비밀 키에 의존합니다. 반면 패스키는 애초에 유출될 수 있는 공유 비밀 키가 없습니다.
단 하나의 변화가 피싱 방지부터 로그인 속도까지 모든 것에 연쇄적인 영향을 미칩니다. 패스키를 도입한 서비스 제공업체들은 비밀번호와 SMS 인증 코드를 함께 사용하는 방식보다 로그인 속도가 훨씬 빠르고 성공률이 높다고 보고합니다. 입력할 것도 없고 기다릴 것도 없기 때문입니다. 아래 표는 주요 차이점을 보여줍니다.
| 중요한 것 | 2단계 인증(비밀번호 + SMS/TOTP) | 곁쇠 |
|---|---|---|
| 비밀번호를 바꿉니다 | 아니요, 오히려 악화시킵니다. | 예 |
| 피싱 방지 | 아니요 (코드를 전달할 수 있습니다) | 예 (실제 도메인에 바인딩됨) |
| SIM 스와핑에 노출됨 | 네, SMS로요. | 아니요 |
| 훔치기 위한 공유된 비밀 | 예 | 아니요 |
| 로그인 속도 | 더 느리게 (코드를 입력하세요) | 더 빠르게 (탭하거나 스캔하세요) |
| 기기 분실 시 복구 | 백업 코드 / SMS | 동기화 또는 백업 키 |
패스키 자체가 2단계 인증(2FA) 또는 다단계 인증(MFA)의 한 형태인가요?
사람들이 헷갈리는 미묘한 부분이 바로 여기입니다. 패스키를 잠금 해제할 때 두 가지 확인 절차가 동시에 진행됩니다. 개인 키가 저장된 기기를 소지하고 있음을 증명하는 동시에 지문이나 얼굴 스캔을 통해 기기가 실제로 사용자의 손에 있음을 확인합니다. 즉, 한 번의 터치로 두 가지 요소를 확인하는 것이므로 패스키 자체만으로도 다중 인증 방식이 됩니다. 여기에 기존의 2단계 인증(2FA)을 추가하더라도 사실상 두 번째 확인 절차가 추가되는 것일 뿐, 보안 장벽이 두 개 더 생기는 것은 아닙니다.
이것이 바로 미국 사이버보안 및 인프라 보안국(CISA)이 FIDO2/WebAuthn과 PKI 스마트카드만을 진정한 피싱 방지 다단계 인증(MFA)으로 인정하는 이유입니다. 패스키는 두 번째 인증 요소의 약한 버전이 아니라, 설계 자체가 다단계 인증의 한 형태로, 단일 단계에 통합되어 있습니다.
피싱 공격이 2단계 인증은 뚫지만 암호는 뚫지 못하는 이유는 무엇일까요?
피싱은 이 논쟁의 핵심을 이루는 공격 유형입니다. 버라이즌의 2025년 데이터 침해 조사 보고서에 따르면, 전체 침해 사례의 22%는 도난당한 계정 정보 때문이었고, 16%는 피싱 때문이었습니다. 따라서 이러한 공격 방식은 드문 경우가 아니라 대부분의 침입자가 실제로 이용하는 관문입니다.
흔히 발생하는 함정을 떠올려 보세요. 계정이 잠겼다는 경고 이메일을 받고, 실제 거래소와 똑같이 생긴 페이지를 클릭하면, 당신은 아무 생각 없이 비밀번호와 인증 앱에서 받은 6자리 코드를 입력합니다. 실제 사이트에서는 그 코드가 문제없겠지만, 공격자는 복제된 페이지에서 그 코드를 가로채서 순식간에 진짜 로그인 정보에 대입합니다. 그러면 당신이 신뢰했던 2단계 인증은 공격자를 무방비 상태로 통과시켜 버리는 것입니다. 사람들이 과소평가하는 부분이 바로 이 2단계 인증입니다. 2단계 인증은 여전히 사람이 직접 정보를 제공해야 하는 방식이고, 사람은 거의 모든 것에 속아 넘어갈 수 있습니다. 하지만 패스키는 아무것도 제공하지 않습니다. 개인 키는 입력하거나 소리 내어 읽거나 가짜 양식에 붙여넣을 수 없으며, 생성한 도메인에서만 작동하기 때문에, 복제된 페이지는 수집할 정보도, 대입할 정보도 없습니다.
SIM 카드 교체 및 SMS 코드 문제
SMS는 2단계 인증(2FA)의 취약점입니다. SIM 스왑 공격은 공격자가 통신사를 속여 사용자의 번호를 자신의 휴대폰으로 옮기도록 하는 방식으로 이루어지며, 사용자에게 전송되어야 할 모든 인증 코드가 공격자의 휴대폰으로 전송됩니다. FBI의 인터넷 범죄 신고 센터(ICCC)는 2024년 보고서에서 SIM 스왑 관련 신고를 982건 접수했으며, 피해액은 약 2,600만 달러에 달한다고 밝혔습니다. 이는 실제로 신고가 접수된 사례만을 집계한 수치입니다. 또한, 오래된 SS7 통신 프로토콜의 결함으로 인해 SMS 메시지가 직접적으로 가로채일 수도 있습니다. 즉, 통신망을 통해 전송되는 모든 인증 코드는 누군가가 몰래 빼돌릴 수 있다는 불편한 현실에 직면하게 됩니다.
OTP 피싱 및 MFA 피로
인증 앱조차도 안전하지 않습니다. 공격자는 사용자와 실제 로그인 사이에 실시간 중계 사이트를 운영하여 TOTP를 가로채고 30초 이내에 다시 전송합니다. 푸시 기반 2FA는 'MFA 피로'라는 취약점을 가지고 있는데, 공격자가 지친 사용자가 결국 승인 버튼을 눌러 알림을 멈출 때까지 승인 메시지를 계속해서 보내는 방식입니다. 하지만 패스키에는 이러한 수법이 통하지 않습니다. 애초에 가로챌 코드가 없고, 실수로 승인할 수 있는 메시지도 없기 때문입니다.
암호화폐 거래소와 지갑에서 패스키를 사용하세요.
패스키와 2FA 비교는 더 이상 이론적인 논의를 넘어 실질적인 문제로 남을 수 있으며, 대부분의 일반적인 가이드에서도 이 부분을 다루지 않습니다. 은행은 부정 거래를 취소할 수 있지만, 블록체인은 그렇지 못합니다. 공격자가 SIM 스왑을 통해 사용자의 거래소 로그인 정보에 접근하여 잔액을 인출하면, 해당 거래는 되돌릴 수 없습니다. 2025년 FBI 인터넷 범죄 보고서에 따르면 총 손실액은 209억 달러에 달하며, 그중 약 114억 달러가 암호화폐 사기와 관련되어 있고, 계정 탈취는 이러한 손실의 상당 부분을 차지합니다.
코인베이스, 바이낸스, 크라켄을 포함한 주요 거래소에서 이제 패스키를 사용하여 로그인 정보를 보호할 수 있습니다. 이 기능을 활성화하면 유심 스왑 공격자들이 노리는 SMS 인증 코드가 사라지고, 공격자가 타국에서 피싱으로 탈취할 수 없는 고유 키로 대체됩니다.
이 두 가지 중요한 차이점을 혼동하기 쉽습니다. 패스키는 거래소의 수탁 계정에 로그인하는 방식을 보호하는 역할을 합니다. 이는 개인 보관 지갑 의 개인 키나 시드 구문 과는 다르며, 이들을 대체하는 것도 아닙니다. 만약 본인이 보유한 코인이 있다면, 시드 구문이 여전히 자금에 접근할 수 있는 마스터 키입니다. 패스키는 거래소에 접근하는 문을 보호하는 것이지, 본인이 가지고 다니는 금고를 보호하는 것이 아닙니다. 이 점을 명확히 이해하는 것이 계정의 진정한 보안과 잘못된 보안 인식의 차이를 만드는 핵심입니다.
패스키는 거래소에서 이미 제공하는 보안 기능과도 잘 어울립니다. 로그인 시 패스키를 활성화하고, 출금 주소 허용 목록을 추가하면 계정이 해킹되더라도 일정 시간 대기 없이는 알 수 없는 지갑으로 자금을 보낼 수 없습니다. 패스키는 침입을 차단하고, 허용 목록은 다른 문제가 발생하더라도 피해를 최소화합니다. 패스키와 2단계 인증(2FA)을 함께 사용하면 각각 단독으로 사용할 때보다 보안이 훨씬 강화되며, 계정이 낯선 사람의 휴대폰으로 무선 전송될 수 있는 코드에 의존하는 것을 방지할 수 있습니다.
여전히 기존의 2단계 인증이 필요한 경우
패스키는 아직 모든 곳에서 사용 가능한 것은 아니며, 패스키와 2FA 중 어떤 것을 선택할지는 주로 각 서비스에서 지원하는 기능에 따라 달라집니다. 따라서 처음부터 2FA를 완전히 없애버리지 마세요. FIDO Alliance에 따르면 2025년까지 패스키를 지원하는 계정이 150억 개 이상이라고 하지만, 소규모 사이트에서는 지원 범위가 여전히 미흡하고, 여러분이 사용하는 많은 서비스는 여전히 비밀번호와 코드만으로 인증합니다. 이런 경우에는 2FA를 유지하되, SMS 대신 인증 앱을 사용하는 등 더 나은 버전을 선택하는 것이 좋습니다. 2FA의 또 다른 장점은 복구 기능입니다. 기기에 저장된 패스키를 분실했을 경우, 백업 요소나 저장된 복구 코드를 통해 계정에 다시 로그인할 수 있습니다. 스마트한 설정은 패스키를 사용할 수 있는 곳에서는 패스키를, 사용할 수 없는 곳에서는 앱 기반 2FA를 사용하고, 그 아래에 복구 계획을 조용히 준비해 두는 것입니다.
또한 언급할 만한 전환 비용이 있습니다. 사이트에서 패스키를 지원하기 전까지는 현재 이용 가능한 가장 강력한 옵션만 사용할 수 있으며, 많은 서비스의 경우 이는 여전히 일반 인증 앱을 의미합니다. 이는 최종 목표가 아니라 일시적인 과도기적 단계로 생각하고, 몇 달에 한 번씩 중요한 계정을 다시 확인하세요. 패스키 지원은 계속해서 확대되고 있으므로 작년 봄에 보호할 수 없었던 계정도 지금은 패스키를 지원할 수 있을 수 있습니다.
2단계 인증에서 패스키 방식으로 전환하는 방법
이전은 한 번에 뛰어넘는 것이 아니라 사다리를 오르는 것과 같습니다. 그리고 가장 중요한 규칙은 전환 도중에 복구 경로를 절대 삭제하지 않는 것입니다. 다음은 합리적인 순서입니다.
1. 코드를 사용하는 모든 계정에서 SMS 대신 인증 앱을 사용하세요. 이것만으로도 SIM 스왑 공격 위험을 완전히 차단할 수 있습니다.
2. 계정 보안 또는 로그인 설정 등 암호 입력란에 암호를 입력하세요.
3. 원하는 물리적 보안 수준에 따라 암호를 동기화된 암호 관리자 또는 하드웨어 보안 키에 저장하십시오.
4. 백업 인증 방법을 하나 유지하고 복구 코드를 오프라인 어딘가에 저장하십시오.
5. 암호를 사용하여 정상적으로 로그인할 수 있게 된 후에만 SMS 인증 요소를 제거하십시오.
돈이나 개인 정보가 저장된 계정부터 시작하세요. 이메일(비밀번호 재설정의 핵심), Exchange 계정, 비밀번호 관리자 계정 등이 여기에 해당합니다. 그 다음 단계로 차근차근 진행하세요. 전체 마이그레이션 작업은 오후 시간 정도 걸릴 수 있으며, 대부분의 시간은 웹페이지 로딩을 기다리는 데 소요됩니다.
결론: 패스키, 2단계 인증, 아니면 둘 다?
패스키와 2FA 논쟁에서, 실제로 계좌를 텅 비게 만드는 공격에는 패스키가 우세합니다. 피싱과 SIM 스왑 공격은 SMS 인증 코드는 물론 앱 인증 코드까지도 쉽게 뚫고 지나가지만, 패스키에는 막힙니다. 패스키를 제공하는 모든 곳에서 패스키를 사용하고, 모든 암호화폐 거래소에서 기본 인증 방식으로 설정하며, 아직 패스키를 지원하지 않는 곳에서는 앱 기반 2FA를 최후의 수단으로 활용하세요. 진정한 질문은 어떤 것을 더 신뢰하느냐가 아니라, 가장 중요한 계좌를 얼마나 빨리 옮길 수 있느냐입니다. 어떤 방식으로 먼저 바꾸시겠습니까?
