인증 앱 OTP
개념
인증 앱(Authenticator app), 또는 소프트웨어 토큰(Software Token)은 가장 널리 사용되는 다단계 인증 (MFA) 방식 중 하나입니다. 이 방식은 온라인 서비스 인증의 보안을 강화하기 위해 임시 일회용 비밀번호 (OTP)를 생성합니다. 물리적 하드웨어 토큰과 달리, 소프트웨어 토큰은 일반적으로 사용자가 스마트폰이나 컴퓨터 브라우저 등 자신의 기기에 설치하는 애플리케이션 또는 플러그인입니다. 소프트웨어 토큰은 인증 앱의 기능과 개별 사용자 설정에 따라 단일 기기에서 로컬로 동작하거나 여러 기기 간 동기화될 수 있습니다.
대표적인 소프트웨어 토큰 예시로는 Google Authenticator, Microsoft Authenticator, Duo, 1Password, Authy 등이 있습니다.
MFA를 위한 인증 앱 OTP 구성
- 콘솔 > 다단계 인증 (MFA)로 이동하세요.
- "인증 앱 OTP" 요소를 활성화하세요. 단일 요소 의존도를 줄이기 위해 인증 앱 OTP를 다른 MFA 요소(패스키, SMS, 백업 코드)와 함께 사용하는 것을 권장합니다.
- 원하는 MFA 정책(필수 vs. 선택)을 구성하세요.
- 구성 변경 사항을 저장하세요.
인증 앱 OTP 관리 구성
Account API를 사용하여 사용자가 인증 앱 OTP 설정을 추가, 조회, 삭제할 수 있는 맞춤형 계정 관리 인터페이스를 구축할 수 있습니다. 이는 개인화된 계정 센터를 만들거나 기기 간 백업 시나리오를 가능하게 하는 데 유용합니다.
구현 단계 및 API 엔드포인트에 대한 자세한 내용은 Account API로 계정 설정을 참고하세요.
인증 앱 OTP 설정 흐름
- QR 코드 또는 시크릿 키: 사용자는 서비스로부터 QR 코드 또는 시크릿 키를 받습니다.
- 계정 추가: 인증 앱을 사용하여 QR 코드를 스캔하거나 시크릿 키를 수동으로 입력해 계정을 추가합니다.
- 동적 일회용 비밀번호: 인증 앱은 추가된 계정에 대해 1~2분마다 갱신되는 6자리 코드를 표시합니다.
- MFA 설정 완료: 사용자는 이 코드를 유효 시간 내에 MFA 설정 페이지에 입력하여 인증 앱 OTP의 MFA 설정을 완료합니다.
인증 앱 OTP 검증 흐름
- 로그인 시도: 로그인 과정에서 사용자는 MFA 입력을 요청받습니다.
- OTP 확인: 인증 앱을 열어 해당 계정의 OTP를 확인합니다.
- OTP 입력: 앱에 표시된 OTP를 유효 시간 내에 2단계 인증 페이지에 입력합니다.
- 인증: 시스템이 OTP를 검증하여 성공 시 접근 권한을 부여합니다.
