TOTP란?

 

TOTP (Time-based One-Time Password)

**TOTP (Time-based One-Time Password)**는 일회용 비밀번호의 한 종류로, 시간에 기반한 동적 인증을 제공하는 방식입니다. 일반적으로 두 가지 요소를 결합하여 생성된 비밀번호입니다: **비밀 키 (Secret Key)**와 시간 (Time). TOTP는 주로 2단계 인증(2FA) 또는 **다중 요소 인증(MFA)**에 사용되어, 계정 보안을 강화하는 데 중요한 역할을 합니다.

TOTP는 **OTP (One-Time Password)**의 일종으로, 시간에 의존하는 특징을 가지고 있습니다. 즉, 주기적으로 변하는 암호를 사용자가 로그인할 때마다 제공받게 되어, 비밀번호와는 다른 추가적인 보안 계층을 제공할 수 있습니다.

---

TOTP의 동작 원리

TOTP는 특정 시간 간격을 기준으로 서버와 클라이언트(사용자 장치) 간에 동일한 값을 생성하여, 이를 인증에 사용하는 방식입니다. 이 시스템은 HMAC (Hash-based Message Authentication Code) 알고리즘과 현재 시간을 결합하여, 일회용 비밀번호를 생성합니다. 기본적으로 TOTP는 다음과 같은 방식으로 작동합니다:

1. 비밀 키와 시간 기반 입력
   • TOTP 시스템은 비밀 키를 생성하여 사용자에게 전달합니다. 이 키는 클라이언트 장치와 서버 간에 안전하게 공유되며, 주로 QR 코드로 제공되거나 문자열 형태로 제공됩니다.
   • 시간은 보통 **UTC (협정 세계시)**를 기준으로 30초 단위로 나누어 사용됩니다. 이는 일반적으로 30초마다 새로운 TOTP 코드를 생성한다는 의미입니다.
2. HMAC SHA-1 알고리즘
   • TOTP는 HMAC SHA-1 해시 알고리즘을 사용하여, 비밀 키와 시간 스탬프를 결합하여 암호를 생성합니다.
   • HMAC는 Hash-based Message Authentication Code의 약자로, 비밀 키와 메시지를 결합하여 고유한 일회용 코드를 생성합니다.
3. TOTP 코드 생성
   • TOTP는 비밀 키와 시간 정보를 결합하여 일회용 비밀번호를 생성합니다. 서버와 클라이언트는 동일한 비밀 키와 동일한 시간 기준을 사용하여 동일한 코드를 생성할 수 있습니다. 이 일회용 비밀번호는 30초마다 갱신됩니다.
4. 코드 검증
   • 사용자가 로그인할 때, 클라이언트는 TOTP 코드(30초마다 변경되는)를 제공하고, 서버는 동일한 비밀 키와 시간을 기반으로 생성된 코드를 검증합니다. 서버에서 생성된 코드와 사용자가 입력한 코드가 일치하면 로그인 절차가 완료됩니다.

---

TOTP의 특징

1. 시간에 의존한 비밀번호
   • TOTP는 시간 기반으로 일회용 비밀번호를 생성합니다. 이로 인해, 각 코드가 유효한 시간이 정해져 있으며, 일정 시간이 지나면 더 이상 유효하지 않게 됩니다. 이는 재사용할 수 없는 동적 인증을 제공합니다.
2. 단기 유효성
   • TOTP는 일회성 비밀번호로, 일반적으로 30초마다 새로운 코드가 생성됩니다. 이 짧은 유효 기간 덕분에 공격자가 비밀번호를 도용하여 재사용할 확률이 낮습니다.
3. 오프라인 인증 가능
   • TOTP는 클라이언트 장치와 서버 간에 동기화된 시간에 기반하여 생성된 코드를 사용하므로, 네트워크 연결 없이도 동작할 수 있습니다. 이는 인터넷 연결이 불안정한 환경에서 유용하게 사용될 수 있습니다.
4. 높은 보안성
   • TOTP는 HMAC SHA-1 알고리즘을 사용하여 암호화되며, 비밀번호 유출이나 중간자 공격에 강력한 보안을 제공합니다. 또한, TOTP 코드 자체는 짧은 시간 안에 유효성이 만료되므로 공격자가 코드를 사용할 확률을 낮춥니다.
5. 쉽고 간편한 설정
   • TOTP를 활성화하려면 사용자는 QR 코드 또는 비밀 키를 통해 자신이 사용하는 장치에 **TOTP 앱 (예: Google Authenticator, Authy, Microsoft Authenticator 등)**을 설치하고 설정합니다. 설정은 간단하며, 대개 몇 분 안에 완료됩니다.

---

TOTP의 장점

1. 보안 강화
   • TOTP는 기존의 비밀번호 기반 인증에 추가적인 보안을 제공하여 **2단계 인증(2FA)**을 구현할 수 있습니다. 사용자는 비밀번호뿐만 아니라, TOTP 코드라는 두 번째 인증 요소를 제공해야 하므로, 계정 보안이 크게 강화됩니다.
2. 편리한 사용
   • 모바일 기기에서 사용자가 인증을 수행할 수 있으며, QR 코드를 통해 쉽게 설정할 수 있습니다. 사용자는 자신의 스마트폰만 있으면 TOTP 코드를 생성할 수 있습니다.
3. 오프라인 사용 가능
   • 인터넷 연결이 없는 환경에서도 TOTP 앱을 통해 코드를 생성할 수 있어, 항상 온라인 상태여야 하는 다른 인증 방식과 차별화됩니다.
4. 다양한 서비스 지원
   • TOTP는 많은 웹사이트와 애플리케이션에서 2단계 인증 수단으로 제공되며, 이를 통해 사용자는 다양한 서비스에서 동일한 인증 방법을 사용할 수 있습니다.

---

TOTP의 단점

1. 시간 동기화 문제
   • TOTP는 시간에 의존하므로, 클라이언트 장치와 서버 간의 시간이 정확하게 동기화되어 있어야 합니다. 클라이언트 장치의 시간이 정확하지 않으면 인증이 실패할 수 있습니다.
2. 30초 유효 기간
   • TOTP 코드의 유효 기간이 매우 짧기 때문에, 사용자가 시간 내에 코드를 입력하지 않으면 다시 새로 코드를 생성해야 합니다. 이 점은 다소 불편할 수 있습니다.
3. 클라이언트 장치 손실/고장
   • 만약 사용자의 스마트폰이나 클라이언트 장치가 분실되거나 고장나면, TOTP 코드를 생성할 수 없게 됩니다. 이 경우 백업 코드나 다른 인증 방법을 마련해 놓는 것이 중요합니다.

---

TOTP의 활용 사례

1. 2단계 인증 (2FA)
   • TOTP는 가장 많이 사용되는 2단계 인증 방식 중 하나입니다. 많은 웹사이트와 애플리케이션(예: 구글, 페이스북, 은행 앱 등)에서 TOTP 기반의 2FA를 제공합니다.
2. 보안 강화
   • 암호화된 계정 보호 및 금융 서비스에서 사용자가 중요한 작업을 할 때 TOTP를 요구함으로써, 계정 도용이나 피싱 공격으로부터 보호할 수 있습니다.
3. 앱 인증
   • 모바일 애플리케이션에서 사용자는 TOTP를 통해 자신의 계정에 로그인하거나, 민감한 작업을 승인하는 등의 절차에 활용할 수 있습니다.

---

TOTP와 다른 OTP 방식 비교

1. HOTP (HMAC-based One-Time Password)
   • HOTP는 이벤트 기반 OTP 시스템으로, 사용자가 인증 요청을 할 때마다 일회용 비밀번호가 생성됩니다. 반면, TOTP는 시간 기반이므로, 시간에 맞춰 주기적으로 코드를 생성합니다.
   • HOTP는 사용자 행동에 따라 비밀번호가 생성되며, 로그인 시도 등 이벤트가 발생할 때마다 새로운 OTP가 발급됩니다.
2. SMS 기반 OTP
   • SMS OTP는 핸드폰 문자를 통해 전달되는 일회용 비밀번호입니다. 그러나 SMS OTP는 중간자 공격이나 스푸핑 공격에 취약할 수 있습니다. 반면, TOTP는 앱을 통해 생성되고, 온라인 해킹의 위험을 낮출 수 있습니다.

---

 

TOTP(Time-based One-Time Password)는 시간 기반으로 생성되는 일회용 비밀번호로, **2단계 인증(2FA)**에서 보안을 강화하는 데 중요한 역할을 합니다. TOTP는 HMAC SHA-1 알고리즘을 사용하여 시간과 비밀 키를 결합하여 동적으로 비밀번호를 생성합니다. 이 시스템은 안전성과 편리함을 제공하며, 모바일 앱을 통해 손쉽게 사용할 수 있습니다. TOTP는 비밀번호 외에도 생체 인증이나 하드웨어 보안 키와 같은 다른 인증 수단을 결합하여, 고급 보안을 필요로 하는 많은 온라인 서비스에서 널리 활용됩니다.