YubiKey: 암호화 및 다단계 인증을 위한 하드웨어 보안 키
손가락 끝으로 누르는 작은 금속 탭 하나가 그 어떤 비밀번호도 해내지 못했던 일을 해냈습니다. 바로 세계에서 가장 많은 사이버 공격을 받는 기업 중 하나인 구글의 계정 탈취를 막아낸 것입니다. 구글이 8만 5천 명이 넘는 직원들 에게 YubiKey를 지급한 후, 피싱 공격으로 피해를 입은 직원 계정 수는 0으로 떨어졌고, 2017년 초부터 지금까지 그 상태를 유지하고 있습니다. 이것이 바로 하드웨어 보안 키의 핵심입니다. YubiKey는 바이러스 백신도 아니고, 개인 정보를 저장하는 것도 아닙니다. 단지 사용자를 본인으로 인증하는 물리적인 장치일 뿐이며, 속이기가 거의 불가능합니다.
이 가이드에서는 YubiKey가 무엇인지, 실제로 어떻게 작동하는지, SMS 및 인증 앱보다 나은 이유, 그리고 도둑들이 가장 먼저 노리는 암호화폐 계정을 YubiKey를 사용하여 안전하게 보호하는 방법을 설명합니다.
YubiKey란 무엇이며 왜 중요한가
YubiKey는 마치 계좌를 위한 집 열쇠와 같지만, 복제할 수 없다는 점이 다릅니다. YubiKey는 스웨덴-미국 합작 회사인 Yubico에서 2007년부터 제조해 온 소형 하드웨어 보안 키입니다. 배터리도 없고 화면도 없습니다. USB 포트에 꽂거나 NFC를 통해 스마트폰에 연결하면 되는 플래시 드라이브 크기의 얇은 플라스틱과 금속 조각으로, 손가락 끝으로 누르는 금색 디스크가 있습니다.
핵심은 바로 손가락 끝입니다. 비밀번호는 본인이 알고 있는 것이고, 아는 것은 무엇이든 도난당하거나 유출되거나 추측될 수 있으며, 종종 이 세 가지가 동시에 발생하기도 합니다. 하지만 YubiKey는 본인이 소유하고 있는 물건이기 때문에 누군가의 주머니에서 물리적인 물건을 빼낼 수는 없습니다. 따라서 YubiKey는 2단계 인증의 두 번째 요소가 되며, 매우 강력한 보안 수단이 됩니다. YubiKey에는 사용자의 개인 정보나 파일이 저장되지 않습니다. 로그인 시 YubiKey는 단 하나의 질문, 즉 "지금 여기에 실제 소유자가 있습니까?"라는 질문에 답한 후 아무런 반응이 없습니다. 손가락을 대면 로그인이 완료됩니다. 손가락을 대지 않으면 아무리 완벽한 비밀번호를 사용했더라도 로그인 화면이 멈춰버립니다.
YubiKey는 어떻게 피싱을 차단하는가?
핵심은 하드웨어가 아니라, 가짜 웹사이트가 기기에서 절대 빼낼 수 없는 도메인 전용 서명입니다.
절대 사라지지 않는 비밀
YubiKey를 서비스에 등록하면 서비스는 공개 키 암호화를 사용하여 공개 키와 개인 키로 구성된 새로운 키 쌍을 조용히 생성합니다. 개인 키는 보안 칩에 저장되어 절대 외부로 유출되지 않습니다. USB를 통해서도, 기기를 손에 들고 있을 때도, 그 어떤 경우에도 마찬가지입니다. 공개 키만 서버로 전송됩니다. 이후 모든 로그인은 빠른 응답 방식으로 이루어집니다. 웹사이트에서 임의의 인증 요청을 보내면, YubiKey는 아무도 읽을 수 없는 개인 키로 요청에 서명합니다. 그러면 서버는 저장된 공개 키와 서명을 대조하여 확인합니다. 이것이 바로 기존의 U2F를 기반으로 하는 FIDO2 및 WebAuthn 표준이며, 기기에서 사용자 인증 정보를 빼낼 수 없는 이유입니다.
피싱 공격이 통하지 않는 이유
이제 피싱 공격을 실제로 차단하는 부분을 설명하겠습니다. 동일한 과정에서 브라우저는 YubiKey에 현재 접속한 도메인을 알려줍니다. YubiKey는 이를 처음 등록했던 사이트와 비교합니다. 유사 웹사이트의 경우 도메인이 다르기 때문에 YubiKey는 서명을 거부합니다. 사용자는 가짜 사이트에 완전히 속을 수 있지만, 하드웨어는 속지 않으며, 이것이 핵심입니다. 여기에 사람이 직접 접속했음을 증명하는 물리적 탭 기능까지 더해지면 보안 기관에서 '피싱 방지 인증'이라고 부르는 수준의 보안이 완성됩니다. 가짜 입력란에 비밀번호를 입력할 수는 있지만, 도메인에 연결된 서명은 그럴 수 없습니다.
OTP, 스마트 카드 및 패스키
YubiKey의 플래그십 모델은 한 가지 언어만 지원하는 것이 아니라 여러 언어를 지원합니다. 앱에서 표시하는 6자리 코드 외에도 44자리의 Yubico 일회용 비밀번호(OTP)를 생성할 수 있습니다. 또한 인증 앱에서 사용하는 TOTP 표준인 시간 기반 일회용 비밀번호(TOTP)도 지원합니다. 기업 및 정부 기관 로그인을 위한 스마트 카드 기능도 제공하며, 비밀번호 없이 완전히 인증할 수 있도록 패스키를 저장할 수도 있습니다. 여기서 패스키는 로그인 자체이며, 백업용이 아닙니다. 특히 패스키 저장 기능은 빠르게 확산되고 있는데, FIDO Alliance에 따르면 상위 100개 웹사이트 중 거의 절반이 이미 패스키 인증을 허용하고 있습니다.
| 규약 | 이 제품의 기능은 무엇인가요? | 교체합니다 |
|---|---|---|
| FIDO2 / 웹 인증 | 피싱 방지 로그인 및 암호 키 | 비밀번호와 취약한 2단계 인증 |
| U2F | 원점 결합 두 번째 인자 | SMS 및 앱 코드 |
| 유비코 OTP | 44자리 일회용 비밀번호 | 간략 인증 코드 |
| TOTP / 선서 | 키에 저장된 시간 기반 코드 | 별도의 인증 앱 |
| 스마트 카드(PIV) | 인증서 기반 로그인 | 회사 배지 로그인 |
YubiKey가 SMS 및 인증 앱보다 나은 이유는 무엇일까요?
다른 일반적인 인증 수단은 모두 가짜 사이트에 실시간으로 전송될 수 있습니다. 하지만 YubiKey는 그럴 수 없으며, 바로 이 허점 때문에 암호화폐가 도난당하는 것입니다.
SMS는 가장 취약한 연결 고리입니다.
문자 메시지 인증 코드는 편리해 보이지만 가장 위험한 방식입니다. 코드가 사용자의 휴대전화 번호로 전송되는데, 사용자의 전화번호가 탈취될 위험이 있기 때문입니다. SIM 스왑 공격은 통신사를 속여 사용자의 번호를 자신의 SIM 카드로 옮긴 후 인증 코드를 직접 가로채는 방식입니다. 이러한 공격은 드물지 않게 발생합니다. 영국에서는 2024년에 SIM 스왑 사기가 1,055% 이상 급증했습니다. 바로 이러한 이유로 CISA 와 FBI는 SMS를 피싱 방지용 다단계 인증(MFA)으로 인정하지 않습니다. 현금이 예치된 계좌의 경우 SMS를 신뢰하는 것은 큰 실수이며, 바로 이러한 취약점 때문에 암호화폐 보유자에게는 하드웨어 키가 다른 누구보다 더 중요한 의미를 갖습니다.
인증 앱조차도 피싱 공격에 대한 허점이 있습니다.
인증 앱은 SMS보다 훨씬 발전된 방식이며 문자 메시지 인증 코드와 함께 강력한 이중 인증 수단으로 인정받지만, 한 가지 약점이 있습니다. 모든 다단계 인증(MFA)은 활성화할 가치가 있습니다. 마이크로소프트는 MFA가 자동화된 공격의 99.9%를 차단한다는 사실을 발견했습니다. 하지만 실제 피싱 공격자가 침투할 수 있는지 여부는 인증 앱의 유형에 따라 결정됩니다. 앱에 표시되는 6자리 코드는 단순한 숫자일 뿐이며, 사용자는 가짜 입력란에 숫자를 입력할 수 있습니다. 최신 피싱 페이지는 사용자의 코드를 요구하고 30초 이내에 실제 서비스로 전송합니다. YubiKey는 이러한 취약점을 차단합니다. YubiKey의 서명은 실제 도메인에 연결되어 있어 다른 도메인에 복제할 수 없기 때문입니다. 이는 이론이 아닙니다. 구글의 8만 5천 명 직원들이 하드웨어 키를 도입한 날부터 더 이상 피싱 공격을 받지 않게 된 것도 바로 이 때문입니다.
| 방법 | 피싱 방지 | SIM 카드 교체 방지 | 오프라인에서도 작동합니다 |
|---|---|---|---|
| SMS 코드 | 아니요 | 아니요 | 아니요 |
| 인증 앱 | 아니요 | 예 | 예 |
| 유비키 | 예 | 예 | 예 |
YubiKey를 사용하여 암호화폐를 안전하게 보호하기
암호화폐 투자자에게 있어 가장 큰 이점은 바로 YubiKey를 사용하면 SIM 스왑이나 지갑 탈취 공격자들이 가장 먼저 노리는 계정을 안전하게 보호할 수 있다는 점입니다. 현재 대부분의 주요 거래소에서 계정 보안을 위해 하드웨어 보안 키를 지원하고 있으며, Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com, KuCoin 등 여러 거래소에서 FIDO2 또는 패스키 로그인을 허용하고 있습니다. Kraken과 Bitfinex는 하드웨어 키를 2단계 인증으로 사용하고 있습니다. 따라서 YubiKey를 활성화하면 비밀번호와 전화번호를 알고 있는 도둑이라도 물리적 키 없이는 계정에 접근할 수 없습니다.
거래소에만 머무르지 마세요. 가장 중요한 계정은 이메일입니다. 모든 계정의 복구 경로이기 때문에 이메일에 먼저 키를 설정하세요. 다음으로 비밀번호 관리자에 키를 추가하고, 거래소와 YubiKey를 지원하는 모든 지갑 서비스에도 추가하세요. 목표는 간단합니다. 사기꾼이 피싱하거나 가로챌 수 있는 코드에만 의존하는 모든 로그인을 제거하는 것입니다. 이렇게 하면 하나의 키로 다른 온라인 서비스도 안전하게 보호할 수 있으며, YubiKey 기술은 피싱 공격을 막기 위해 특별히 개발되었기 때문에 지갑 탈취범이나 가짜 에어드롭 페이지가 사용하는 바로 그 단계를 무력화합니다. 모든 온라인 계정에서 YubiKey는 누구도 원격으로 복제할 수 없는 유일한 자격 증명이 되어 SIM 스왑이나 탈취범의 침입 경로를 차단합니다.
YubiKey 모델 및 선택 방법
유비코의 제품 목록은 실제 선택보다 훨씬 복잡해 보입니다. 세 가지 질문만 던지면 답을 찾을 수 있습니다. 사용하는 기기에 어떤 포트가 있는지, 휴대폰에 NFC 기능이 필요한지, 그리고 지문 인식기가 필요한지입니다.
대부분의 사람들에게 정답은 약 58달러짜리 YubiKey 5 NFC 입니다. 이 제품은 위에 언급된 모든 프로토콜을 지원하며 USB-A 포트와 NFC 기능을 제공합니다. 모든 장비가 USB-C라면, YubiKey 5C NFC는 동일한 기능을 다른 형태로 제공하는 제품입니다. 비용을 절약하고 싶다면, 약 29달러짜리 Security Key를 고려해 보세요. 이 제품은 불필요한 기능을 제거하고 FIDO2와 U2F 프로토콜만 지원하여 암호화 및 일상적인 로그인에 충분합니다. 지문 인식을 선호한다면, 약 98달러짜리 YubiKey Bio 시리즈를 추천합니다. 이 제품은 PIN 없이 사용할 수 있는 생체 인식 센서를 탑재했으며, 규제가 엄격한 업무 환경을 위한 FIPS 인증 제품도 있습니다. 어떤 제품을 선택하든 두 개를 구매하는 것이 좋습니다. 두 번째 제품은 백업용으로, 첫 번째 제품이 세탁기에 들어가 고장 나는 날을 대비해 두는 것이 매우 유용할 것입니다.
YubiKey 설정 및 사용 방법
계정 설정은 계정당 약 10분 정도 소요됩니다. 하지만 아무도 알려주지 않는 부분이 바로 백업입니다.
키 등록하기
공식 설정 페이지에서 시작하여 서비스를 선택하고 2단계 인증 또는 패스키 설정을 엽니다. 그런 다음 키를 구성하는 세 가지 방법 중 하나를 선택합니다. 보안 키로 등록하거나, 패스키를 저장하거나, 인증 앱 슬롯에 추가하는 것입니다. 메시지가 표시되면 탭하면 완료됩니다. 대부분의 사용자는 두 개의 YubiKey와 각 계정에 여러 인증 옵션을 사용하므로 기기 하나를 분실하더라도 계정이 잠기지 않습니다. 동일한 키는 Windows, macOS, Linux, Android 및 iOS에서 모두 작동하므로 노트북과 휴대폰을 모두 보호할 수 있습니다. 이메일, 암호 관리자, Exchange 순으로 인증하는 것이 좋습니다. 이 세 가지로 대부분의 실제 위험을 예방할 수 있습니다.
핵심은 백업과 정직한 한계 설정입니다.
YubiKey는 마법이 아니며, 장단점을 알아두는 것이 중요합니다. 키 하나만 등록하고 분실하면 계정에 접근할 수 없게 되므로 항상 여분의 키를 등록하거나 복구 코드를 안전한 곳에 보관해야 합니다. 모든 서비스가 하드웨어 키를 지원하는 것은 아니지만, 지원하는 서비스 목록은 매년 늘어나고 있습니다. 초기 구매 비용은 약 58달러입니다. 또한 하드웨어 자체에 버그가 있었던 적도 있습니다. 2017년에는 ROCA라는 결함이 있었고, 2024년에는 Infineon 관련 문제가 발생했는데, 둘 다 물리적인 접근이 필요했으며 최신 펌웨어에서 수정되었습니다. 이러한 문제점들은 사소한 것이라기보다는 중요한 요소입니다. 가장 중요한 것은 원격 계정 탈취를 완벽하게 차단하는 것입니다.
암호화폐 사용자에게 YubiKey는 가치가 있을까요?
암호화폐를 보유하고 있다면 답은 간단합니다. 바로 '예'입니다. YubiKey는 약 58달러에 한 번만 구매하면 되고, 백업 키도 별도로 구매해야 하며 구독료도 없습니다. SIM 카드 교체나 피싱 페이지로 인해 거래소 계좌가 털리는 경우와 비교해 보면, YubiKey의 보안 수준은 비교할 수 없을 정도로 높습니다. 비밀번호와 인증 앱만으로도 보안 수준이 높아지지만, YubiKey MFA는 원격 공격자가 접근할 수 있는 범위를 훨씬 넘어섭니다. 온라인 계정에 돈이 있다면 YubiKey는 그 어떤 것보다 저렴한 안전장치가 될 것입니다.
YubiKey는 손가락을 비밀번호로 바꿔줍니다.
프로토콜과 모델 번호를 제외하면 YubiKey는 단 한 가지를 매우 잘 해냅니다. 바로 로그인 보안의 가장 강력한 부분을 손에 쥐고 만지는 물리적인 장치로 만들어준다는 것입니다. 피싱 공격자는 비밀번호를 복사하고 인증 코드를 전송할 수는 있지만, 주머니에 있는 YubiKey는 복제할 수 없고, 손가락으로 터치하는 것도 위조할 수 없습니다. 다른 모든 보안 취약점이 존재하는 상황에서 YubiKey가 효과적인 이유가 바로 여기에 있습니다. 이번 주에 이메일 계정과 주요 거래소 계정에 YubiKey를 등록하고 백업용도 하나 더 추가하세요. 이제 남은 실질적인 질문은 이것입니다. 당신의 소중한 돈이 들어 있는 어떤 계정을 여전히 낯선 사람이 피싱 공격할 수 있는 인증 코드로 보호하고 있습니까?
