디지털 금융 거래를 승인하기 위해 하드웨어 토큰을 사용하거나 로그인 코드를 생성하기 위해 YubiKey를 누른 적이 있다면, 이미 HMAC 기반 일회용 비밀번호(HOTP) 기술을 사용한 것입니다. HOTP를 사용하여 계정을 보호하는 방법을 이해하는 데 도움이 되도록, HOTP의 작동 방식, 장점과 한계를 살펴보고 다른 OTP 방식과 비교해 보겠습니다.

HOTP란 무엇인가요?

HOTP는 HMAC 기반 일회용 비밀번호의 약자입니다. 요청 시 일회용 로그인 코드를 생성하는 2단계 인증(2FA) 방식입니다.

HMAC(해시 기반 메시지 인증 코드)은 비밀 키와 해시 함수를 사용하여 안전하고 위변조가 불가능한 값을 생성하는 암호화 기술입니다. HOTP는 counter(카운터)와 함께 HMAC을 적용하여 각 인증 코드가 고유하며 단 한 번만 사용되도록 보장합니다.

HOTP 코드는 사용되거나 교체될 때까지 유효하므로 원격 근무나 신뢰할 수 있는 시간 동기화 또는 지속적인 연결이 불가능한 기타 환경에 매우 적합합니다.

HOTP는 어떻게 작동하나요?

HOTP 인증은 공유되는 두 가지 구성 요소인 비밀 키와 카운터를 기반으로 합니다. 사용자의 기기와 인증 서버 모두 이 값을 저장하고 있으며, 이를 사용하여 동일한 일회용 코드를 독립적으로 생성합니다.

설정: 하드웨어 토큰을 설정할 때 기기와 어플리케이션 서버 간에 비밀 키가 공유되며 양측에 모두 안전하게 저장됩니다.

코드 생성: 기기는 HMAC이라는 암호화 해시 함수를 사용하여 비밀 키와 현재 카운터 값을 결합합니다. 그 결과 짧고 예측 불가능한 일회용 비밀번호가 생성됩니다.

인증: 귀하가 HOTP 코드를 입력하면 서버는 자체적으로 보관 중인 비밀 키와 카운터를 사용하여 동일한 계산을 수행합니다. 코드가 일치하면 접근 권한이 부여됩니다.

HOTP 카운터 시스템 설명

HOTP는 귀하의 기기와 인증 서버 간에 공유되는 고유한 카운터 시스템에 의존합니다. 새로운 코드를 생성할 때마다 카운터가 증가합니다. 로그인이 성공하면 서버도 마찬가지로 카운터를 업데이트합니다. 기기와 서버의 카운터가 동기화 상태를 유지하는 한 코드가 일치하며 접근 권한이 부여됩니다.

HOTP를 한 장씩 뜯어서 순서대로 사용하는 번호가 매겨진 쿠폰북으로 생각하면 이해하기 쉽습니다. 이미 사용한 쿠폰은 재사용할 수 없으며 다음 쿠폰을 사용해야 합니다. HOTP 카운터 시스템도 이와 유사하게 작동합니다.

HOTP 인증 대 기타 OTP

HOTP 대 OTP

일회용 비밀번호(OTP)는 2단계 인증에 활용하는 다양한 일회용 비밀번호를 포괄적으로 부르는 용어입니다. HOTP는 카운터 기반 시스템을 사용하여 코드를 생성하는 특정 유형의 OTP입니다.

HOTP 대 TOTP

시간 기반 일회용 비밀번호(TOTP)는 30~60초마다 자동으로 새로운 코드를 생성합니다. TOTP의 가장 흔한 예는 인증 앱에서 생성되는 코드입니다. 이와 대조적으로 HOTP는 타이머 대신 카운터를 사용하여 요청이 있을 때만 새로운 코드를 생성합니다.

이러한 차이는 각 OTP 방식의 보안에 영향을 미칩니다. TOTP의 빠른 유효기간 만료는 공격자에게 매우 짧은 기회의 창만을 제공합니다. 반면, HOTP 코드는 며칠 또는 몇 주 동안 유효한 상태로 유지될 수 있습니다.

하지만 HOTP는 기기의 시계가 신뢰할 수 없는 상황에서 더 안정적입니다. 예를 들어, 인터넷 연결이 불안정한 원격 국가에 있는 장비 등이 있습니다.

HOTP vs. SMS 및 이메일 코드

SMS 및 이메일을 통해 전송되는 OTP 코드는 셀룰러 및 인터넷 네트워크를 거쳐야 하므로 가로채기에 취약합니다. HOTP는 기기에서 코드를 생성하므로 네트워크 장애 중에도 일관된 접근을 제공하는 동시에 보안성이 더 우수합니다.

HOTP의 장점과 한계는 무엇인가요?

HOTP 인증의 장점

귀하가 선호하는 OTP 방식으로 HOTP를 사용하는 것에는 몇 가지 장점이 있습니다:

  • 오프라인 작동: HOTP는 오프라인에서도 작동하므로 인터넷 접근이 제한된 국가에 적합합니다.
  • 시간적 압박 없음: HOTP 코드는 자동으로 만료되지 않으므로, 귀하는 여유를 갖고 코드를 입력할 수 있습니다.
  • 공인된 알고리즘: HOTP는 RFC 4226(새 창)에 의해 정의되어 있으며, 이는 다양한 공급업체의 소프트웨어 제공업체 및 하드웨어 토큰 간의 호환성을 보장합니다.
  • 적은 종속성: HOTP의 카운터 기반 시스템은 정확한 시계나 지속적인 연결에 의존하지 않으므로 특정 환경에서 더 예측 가능합니다.

HOTP 인증의 제한 사항

모든 기술과 마찬가지로 HOTP에도 몇 가지 중요한 고려 사항이 있습니다:

  • 무기한 유효성: 새로운 코드가 생성되지 않으면 HOTP 코드가 무기한 활성 상태로 유지될 수 있습니다. 이로 인해 공격자가 도난당한 코드를 악용할 수 있는 시간이 늘어납니다.
  • 카운터 동기화: 코드를 생성하고 사용하지 않으면, 귀하의 기기와 서버 카운터 간의 동기화가 해제되어 인증에 실패할 수 있습니다.
  • 수동 관리: 코드가 자동으로 만료되지 않으므로, 귀하는 매번 사용한 후에 새 코드를 생성해야 함을 기억해야 합니다.

더 강력한 비밀번호 보안을 향해 한 걸음 나아가세요

HOTP는 자동 유효기간 만료라는 보안상 이점이나 SMS 코드의 편리함을 제공하지는 않지만, 카운터 기반 시스템은 고유한 장점을 제공합니다. 신뢰할 수 있는 오프라인 접근을 제공하는 검증된 2단계 인증 시스템이며, 시간적 압박이 없기 때문에 일부 사람들은 이를 선호할 수 있습니다.
하나의 암호화된 국가에서 귀하의 비밀번호와 2단계 인증 코드를 쉽게 관리하려면, Proton Pass 사용을 고려해 보세요. 통합형 2단계 인증 인증기를 갖춘 당사의 안전한 비밀번호 관리자는 귀하의 모든 자격 증명과 2단계 인증 코드를 완전한 종단 간 암호화로 보호합니다. 귀하의 디지털 라이프를 안전하고 편리하게 유지하는 것이 이보다 더 간단할 수는 없습니다.