구글 otp 지원 앱(어플) 추천 / 비교
: authy, google authenticator, lastpass authenticator
오늘은 구글 OTP 지원(이중 로그인) 앱을 알아보도록 하겠습니다. 대표적으로 google authenticator, authy, lastpass authenticator가 있습니다.
이 외에 비밀번호를 관리해주는 1password(유료 구독 필요), enpass(앱 구매 필요), safeincloud(앱 구매 필요)와 같은 앱에서도 otp정보를 받아 사용할 수 있습니다. 하지만 본 앱들은 모두 유료 구매가 필요합니다. 따라서, 오늘은 무료로 사용할 수 있는 구글 otp 지원 앱을 알아보고자 합니다.
구글 OTP를 지원하는 서비스는 다양합니다. 대표적으로 구글, 아마존, 드롭박스, 페이스북, 에버노트, 워드프레스, 뽐뿌, lastpass 로그인 등이 있습니다. 아쉽게도 네이버와 다음은 구글 otp를 지원하지 않습니다.
저는 상기의 모든 서비스들을 모두 사용하는데요. 아무래도 요즘 아이디, 비밀번호가 자주 해킹 당하다보니 이중 로그인을 선호합니다. 카드를 등록해놓은 구글이나 아마존, 개인정보가 많은 페이스북, 개인 자료가 있는 드롭박스, 에버노트 등은 한 번 털리면 상당히 곤란합니다. 아이디와 비밀번호가 모두 저장되어있는 lastpass는 말할 것도 없구요.
따라서, 제 사용패턴에 가장 적합한 서비스를 찾기 위해 현재 가장 유명한 OTP 관리 앱들을 살펴보고 비교해보았습니다. 구체적인 사용방법은 이 포스팅에서 언급하지 않고, 추후 다른 글에서 자세히 서술하도록 하겠습니다.
(1) 들어가기에 앞서
이중 로그인 TOTP 서비스가 무엇인가에 대해 먼저 살펴보도록 하겠습니다. 기존의 로그인은 아이디와 비밀번호를 입력하는 것만으로 충분했습니다. 하지만 개인의 계정을 해킹하는 사례가 증가하면서 개인 정보의 보안에 의심을 품게 되었습니다. 이에 따라, 최근의 많은 사이트들은 로그인에 이중 보안 서비스를 제공합니다. 애플의 기기를 통한 이중 인증 방식이나 네이버의 앱 otp, 다음의 sms 이중 로그인 방식들이 대표적입니다. 이 중에서도 가장 보편적인 방법이 google totp(time-based one-time password) 입니다. Google totp는 아이디, 패스워드 입력후 시간에 따라 계속 변하는 숫자 6자리를 입력하여야만 접속할 수 있는 이중 로그인 방식을 제공합니다. 구글 계정뿐만 아니라 이 방식을 제공하는 모든 서비스에서 사용할 수 있습니다. 자세한 이해를 위해 아래 이미지를 첨부합니다.
오늘 OTP 서비스에서 제가 중점적으로 살펴볼 부분은 다음과 같습니다.
- 다중 기기에서 사용이 가능한가?
저는 노트북(윈도우), 아이폰, 안드로이드폰 2개, 안드로이드 태블릿을 사용하고 해외도 자주가는 편입니다. 따라서, 여러 기기에서 OTP를 한번에 관리할 수 있는 앱이 필요했습니다.
- 폰을 분실했을 경우, 문제가 발생하지 않는가?
아무래도 OTP 서비스 이용중 가장 곤란한 경우가, 폰을 잃어버린 때 입니다. 여러 기기에서 동시에 접속이 가능하다면 문제가 없겠지만, 한 폰에 귀속되는 서비스라면 사후처리가 어렵겠지요. 또한 기기변경을 할 경우, 데이터 이동이 간편한 것을 선호합니다.
- 앱 UI가 직관적인가?
구글에만 계정이 3개가 넘습니다. 서비스별로 관리가 간편하고, 한눈에 볼 수 있는 앱을 찾아보았습니다.
- OTP 등록이 간편한가?
각 앱에 OTP 등록이 간편할수록 좋겠죠. 보통은 코드를 입력하거나, QR 코드로 등록합니다.
- 여러 OS에서 사용이 가능한가?
보통 OTP 서비스는 ios, 안드로이드, 크롬 등에서 지원합니다. 여러 OS에서 이용가능해야 다중 기기 사용도 가능합니다.
- 안전한가?
OTP를 백업하는 서버 자체와 폰을 분실했을 경우, OTP가 해킹당할 위험이 있는지 살펴보는 것이 좋습니다. 안정성도 비교해보겠습니다.
(2) 비교
1. 여러 기기에서 동시 사용이 가능한가?
: Authy = Lastpass authenticator > Goolge Authenticator
Authy와 Lastpass authenticator는 여러 기기에서 동시에 사용이 가능합니다. 뿐만 아니라, 한번 서버에 등록해두면 모든 기기 동기화가 가능합니다. 둘 다 한번 등록해놓은 otp는 다른 기기에서 재등록할 필요가 없습니다. Goolge Authenticator는 여러 기기에 동시에 등록은 가능하지만, 모든 기기에 하나 하나 코드를 인식해주어야 합니다. 즉, 여러 기기에 동시에 goolge authenticator를 설치하고, 기기마다 QR코드를 모두 인식한 후에 OTP등록을 마쳐야 합니다. 아무래도 모든 기기를 동시에 켜고 따로 따로 인식시켜야 하니 불편합니다. 심지어 OTP 등록 완료 후, 새로운 기기가 생기면 각 사이트에 들어가 이중 인증을 재설정하고 모든 기기에 다시 인식시켜야 하는 어려움이 있습니다.
2. 폰을 분실했을 경우, 해결이 용이한가?
: Authy > Lastpass authenticator > Goolge Authenticator
Authy는 다중 기기에서 로그인이 가능하기 때문에 사실 큰 어려움이 없습니다. 새로운 폰에 authy를 설치하고 인증만 하면 클라우드에 다시 복구가 가능하기 때문입니다. 원격으로 폰마다 데이터를 삭제할 수도 있습니다. Lastpass authenticator 또한 클라우드에 OTP를 백업할 수 있습니다. 따라서 폰을 잃어버리더라도, 새로운 기기에서 리커버리가 가능하죠. 문제는 Lastpass에 백업해놓을 때 보안이 약화된다는 점입니다. 자세한 내용은 아래 번에 서술하겠습니다. Lastpass는 sms 인증이나, lastpass 고객센터를 통해 기기에 저장된 데이터 삭제가 가능합니다.
구글은 문제가 굉장히 복잡해집니다. 백업코드를 따로 보관해두는 경우는 문제가 없지만, 백업코드와 따로 등록해놓은 번호도 없고, otp 분실이라 구글에 로그인도 할 수 없다면 문제가 심각하죠. 이 경우에는 직접 구글 help center에서 신분 확인을 하고 구글에 로그인 할 수 밖에 없습니다. Goolge Authenticator를 사용하시는 분들은 각 사이트별로 제공하는 백업코드를 꼭 잘 저장해놓으시기 바랍니다.
3. 앱 UI가 직관적인가?
: Authy > Lastpass authenticator > Goolge Authenticator
사실 authy를 제외하고는 UI라 할게 크게 없습니다. Authy는 OTP 사이트별로 이미지 아이콘이 뜨고, 이름을 재설정 할 수 있기 때문에 다른 앱에 비해 한눈에 파악하기가 용이합니다. Lastpass와 Google은 UI랄게 따로 없네요. 대신 Lastpass는 "automated push notification" 이라는 기능이 있습니다.
- automated push notification
lastpass, 아마존, 에버노트, 구글, 드롭박스, 페이스북에서 로그인 할 경우, 자동으로 앱에 push 버튼이 생깁니다. 이 버튼을 누르면 otp 6자리 숫자를 치지 않더라도 자동 인증 및 로그인이 됩니다. 크롬에 Lastpass 확장프로그램을 깔아두었을 경우만 사용이 가능합니다.
4. OTP 등록이 간편한가?
: Authy = Lastpass authenticator > Goolge Authenticator
OTP 등록 방법은 크게 다르지 않습니다. QR 코드나 제시된 코드 입력이 전부입니다. 하지만 사이트 하나하나마다 찾아 등록하기가 여간 귀찮은게 아닙니다. Goolge Authenticator는 기기마다 하나하나 따로 등록을 해줘야 하고, 만약 새 기기에 추가 등록하고 싶을 경우 사이트별로 OTP를 모두 재설정해야 합니다. QR코드나 제시된 코드를 다시 받아야 하니까요. 백업 기능이 있는 Authy나 Lastpass authenticator보다 불편합니다.
5. 여러 OS에서 사용이 가능한가?
- Authy : ios, 안드로이드, 크롬 확장앱
- Lastpass authenticator : ios, 안드로이드, 윈도우 폰
- Google Authenticator : ios, 안드로이드
Authy는 ios, 안드로이드, 윈도우 (파일 설치), 크롬 확장앱에 설치가 가능합니다. 사용해보니 크롬 확장 앱이 가장 유용합니다. PC 사용중에 폰을 찾지 않아도 되니까요. Lastapss와 구글은 모바일에서만 사용할 수 있습니다.
6. 안전한가?
: Authy > Goolge Authenticator > Lastpass authenticator
개인적으로 Authy가 가장 안전하다고 생각합니다. Authy는 pin, 지문인증, 마스터 비밀번호, 백업 비밀번호 사용이 모두 가능합니다. 앱은 지문 인증이나 pin 번호를 통해 열고, 새로운 기기에 복원하기 위해서는 백업 비밀번호가 필요합니다. 2중 보안이 되는 셈이지요. 등록된 기기는 한번에 확인 가능하고, 원격으로 기기 삭제도 가능합니다. 백업은 Authy에서 담당합니다. Authy는 다른 비밀번호 암호화 서비스와 독립된 서비스이기 때문에, 어느 한쪽의 정보가 유출되더라도 문제가 없습니다. 즉, 1password에 비밀번호를 저장해두고 authy에 otp 이중인증을 설정해놓으면 1password와 authy가 모두 해킹당하지 않는 이상 내 계정을 안전합니다.
Google authenticator 또한 다른 비밀번호 암호화 서비스와 독립된 서비스로 존재합니다. 하지만 앱 자체의 암호화를 제공하지 않습니다. 앱은 그냥 열 수 있으니, 폰을 분실했을 경우 문제가 발생할 수 있습니다.
Lastpass authenticator는 비밀번호 저장 서비스와 독립되어 있지 않습니다. 따라서, Lastpass가 한 번 해킹당하면 내 아이디, 비밀번호와 OTP 번호가 모두 털릴 가능성이 있습니다. 이전의 Lastpass authenticator는 백업을 지원하지 않아 독립된 서비스로 존재했었습니다. 하지만 최근 백업을 지원하면서 Lastpass 서버에 내 로그인 정보와 OTP 정보가 동시에 존재하는 문제가 발생합니다. Lastpass의 서버에 여러번의 해킹 시도가 있었다는 점을 고려하면, 아무래도 불안합니다.
결론
비교 해보니, 아직 Authy만한 OTP 앱이 없습니다. 보안도 가장 확실하고, 다중 기기에서 사용하기 편리하니까요. 만약 Lastpass에 로그인 정보를 저장하지 않는 분이라면 Lastpas sauthenticator도 추천드립니다. 크롬에서 push 버튼 하나로 otp 로그인이 되는 방식은 굉장히 편리합니다. Google authenticator는 다른 모든 기능이 필요없고, 가장 심플한 앱을 원하시는 분들이 사용하시면 좋을 듯 합니다.