TOTP란 무엇인가요? 시간 기반 일회용 비밀번호에 대해 알아야 할 모든 것

온라인에 로그인할 때 인증 앱에서 생성된 6자리 코드를 입력해야 했던 경험이 있을 것입니다. 이를 시간 기반 일회용 비밀번호 또는 TOTP라고 하며, 귀하의 온라인 계정 보안을 강화하는 믿을 수 없을 정도로 간편한 방법입니다.

이러한 코드는 30~60초라는 짧은 만료 시간 덕분에 사이버 범죄자가 비밀번호를 알아내더라도 귀하의 계정에 접근하는 것을 거의 불가능하게 만듭니다. 이번 글에서는 TOTP가 무엇인지, 어떻게 작동하는지, 그리고 다른 인증 방법들과 어떻게 비교되는지 알아보겠습니다.

TOTP란 무엇인가요?

TOTP는 시간을 핵심 요소로 사용하여 임시 코드를 생성하는 일회용 비밀번호(OTP)의 일종입니다. 이 코드는 30~60초마다 바뀌므로 사이버 범죄자가 정보를 유출하기 매우 어렵습니다. 설령 해커가 귀하의 코드를 알아내더라도 수명이 짧아 공격자에게 금방 무용지물이 됩니다.

TOTP는 사용자 이름과 비밀번호에 추가적인 보안 레이어를 더하는 2단계 인증(2FA) 방법입니다. 인증 앱에서 코드를 생성하기만 하면 되므로 사용하기 편리하며, 시간 기반 특성 덕분에 매우 안전합니다.

TOTP는 어떻게 작동하나요?

간단히 말해, TOTP는 보호하려는 서비스와 귀하의 TOTP 앱 간에 비밀 키를 공유하는 방식으로 작동합니다.

2단계 인증을 활성화할 때 QR 코드를 스캔하여 TOTP 인증 앱과 비밀 키를 공유합니다. TOTP 앱은 무료이며 Google Authenticator 및 Microsoft Authenticator가 대표적입니다. 안전한 비밀번호 관리자를 사용하는 경우, TOTP 코드를 생성하는 내장형 2단계 인증 기능이 제공될 수 있습니다. Proton Pass가 바로 그러한 비밀번호 관리자입니다. 하나의 앱에서 귀하의 비밀번호를 안전하게 저장하고 2단계 인증 코드를 모두 생성해 줍니다.

초기 설정이 완료되면, 로그인하려는 서비스와 인증 앱이 동기화되어 비밀 키를 사용해 동일한 코드를 동시에 독립적으로 계산합니다. 로그인할 때 2단계 인증 코드를 입력하라는 메시지가 표시됩니다. 서비스의 코드와 귀하가 입력한 코드가 일치하면 로그인이 완료됩니다.

TOTP와 다른 일회용 비밀번호의 차이점

TOTP는 여러 일회용 비밀번호(OTP) 방식 중 하나일 뿐입니다. 다음은 TOTP와 다른 방식을 비교한 간략한 개요입니다. TOTP, OTP, HOTP의 차이점에 대한 더 자세한 가이드도 확인하실 수 있습니다.

TOTP 대 OTP

OTP는 일회용 비밀번호를 총칭하는 용어입니다. TOTP는 시간 기반 모델을 사용하여 OTP 코드를 생성하는 OTP의 한 종류입니다. 모든 TOTP는 OTP에 속하지만, 다른 OTP 방식도 존재합니다. 여기에는 SMS 및 이메일 코드, 그리고 HOTP가 포함됩니다. 각 방식마다 귀하의 OTP 코드를 생성하고 전송하는 방법이 다릅니다.

TOTP 대 HOTP

HMAC 기반 일회용 비밀번호(HOTP)는 요청이 있을 때만 새로운 OTP 코드를 생성합니다. 이는 새 코드가 생성될 때까지 기존 코드가 유효함을 의미하므로, 유출에 더 취약해질 수 있습니다. 반면 TOTP 코드는 30~60초 후에 자동으로 새로고침되므로, 공격자가 탈취한 코드를 사용할 수 있는 시간이 훨씬 적습니다.

TOTP 대 SMS 및 이메일 코드

SMS 및 이메일 코드는 셀룰러 및 인터넷 네트워크를 통해 전송되므로 가로채기에 취약합니다. 보안이 취약하거나 해킹된 네트워크를 사용하는 경우, 공격자가 귀하의 활동을 감시하고 OTP 코드를 획득할 수 있습니다. 이에 비해 TOTP 코드는 기기 내에서 자체 생성되며 어떤 네트워크로도 전송되지 않으므로 훨씬 더 안전합니다.

TOTP의 보안상 장점

TOTP를 선호하는 OTP 방식으로 사용하면 여러 가지 보안상 장점을 누릴 수 있습니다.

• 시간 제한 코드: TOTP 코드는 새로운 코드가 생성되기 전 30~60초 이내에 만료됩니다. 만료된 코드는 재사용할 수 없으므로, 공격자가 탈취한 TOTP 코드를 사용할 수 있는 시간이 거의 없습니다.
• 가로채기 방지: TOTP 코드는 기기 자체에서 생성됩니다. 네트워크 보안 취약성으로 인해 가로채기가 발생할 수 있는 네트워크를 통해 전송되지 않습니다.
• 보안 사고 예방: 데이터 보안 사고로 인해 비밀번호가 유출되더라도 TOTP 코드는 무단 로그인을 막는 추가적인 장벽을 제공합니다. 공격자는 귀하의 인증 앱 없이는 계정에 접근할 수 없습니다.
• 모든 스마트폰에서 작동: TOTP는 스마트폰에서 바로 작동하므로 하드웨어 토큰을 구매할 필요가 없습니다. 기기에 인증 앱을 다운로드하기만 하면 모든 준비가 끝납니다.

TOTP는 우수한 보안을 제공하지만 완벽하지는 않습니다. 기기를 분실하면 계정이 잠길 수 있으므로 항상 백업 코드를 저장해 두세요. 또한 잘못된 시간 설정은 TOTP 실패의 흔한 원인이 되므로, 기기의 시계가 인터넷과 자동으로 동기화되도록 설정해야 합니다.

TOTP로 계정 보안 강화하기

TOTP는 다른 OTP 방식보다 우수한 시간 기반 코드를 통해 계정 보안을 강화합니다. 여러 개의 비밀번호와 2단계 인증 코드를 관리하는 것이 더 이상 번거로울 필요가 없습니다. 내장형 TOTP 인증 기능이 탑재된 비밀번호 관리자인 Proton Pass를 사용해 보세요.

Proton Pass는 비밀번호 저장 및 생성 기능과 2단계 인증 기능을 결합하여, 로그인할 때 앱을 전환하거나 추가 앱을 다운로드할 필요가 없습니다. 덕분에 귀중한 저장 용량을 절약하고 2단계 인증을 통한 로그인을 원활하게 진행할 수 있습니다. 귀하가 생성하는 코드를 포함하여 Proton Pass에 저장하는 모든 정보는 강력한 종단 간 암호화로 보호됩니다.

로그인 보안을 한 단계 더 높이세요. 지금 바로 계정에 TOTP를 활성화하고 Proton Pass에 모든 비밀번호를 저장해 보세요.