2FA는 Two-factor authentication의 약자로, 2개의 기기를 통해 사용자를 인증하는 방법입니다.
discord의 경우, 모바일 OTP앱을 사용해 2FA인증을 할 수 있습니다.
2FA를 활성화하면, 누군가가 본인의 비밀번호나 인증 토큰을 가져갔다고 해도 문제가 발생하지 않습니다. 2FA를 활성화한 discord계정을 탈취하려면 비밀번호 등을 얻었다고 해도, 사용자의 OTP기기마저 확보해야 하기 때문이죠. 이 장점은 다양한 API가 공개되어 있어 수많은 토큰 해킹 사건이 발생하는 discord에서는 훨씬 중요해지겠죠?
또한 서버의 인증 레벨을 끝까지 올려 2FA 계정만 이용 가능한 서버가 된다면 그 서버에는 더이상의 서버 레이드(흔히 도배나 테러라고 말하는 행위), 토큰 계정을 통한 동시다발적 홍보DM 등의 이용자들을 불편하게 만드는 일이 사라지게 됩니다.
그렇다면 먼저 discord에서 2FA를 켜는 방법을 알아보겠습니다.
우선 설정에서 My account로 들어가 주세요.
하단에 Enable two-factor auth 버튼을 눌러주세요.
비밀번호를 묻는 창이 나오면 비밀번호를 입력해 줍니다.
이제 어떻게 해야 하는지 디스코드에서 친절히 설명해 주고 있습니다.
먼저 Authy또는 Google Authenticator(Google OTP) 중 하나를 설치하라고 나옵니다.
저는 Google OTP를 사용하지만, 모바일 인증을 위한 기기가 없다면 Authy PC버전을 설치하는 방법이 있습니다.
OTP(One Time Password)는 2FA인증시 특정한 OTP 디바이스나 앱으로 일회성 비밀번호를 보내주는 시스템을 말합니다.
대표적인 모바일 OTP로는 Google의 Google OTP(Google Authenticator)가 존재하는데, 공개 표준을 사용하기 때문에 이와 호환되는 다른 앱들이 생겨났습니다.
그중 Authy는 멀티디바이스 동기화를 통해 Google OTP의 단점을 극복하기 위해 만들어 졌습니다.
그럼 구체적으로 어떤 장점이 있을까요?
최고의 장점은 PC에서, 또는 어느 기기에서든 인증이 가능하다는 점입니다. 클라우드 동기화를 통해 당장 스마트폰이 없어도, 심지어 스마트폰을 분실했어도 가능합니다.
다른 장점도 있겠지만 현재 가장 중요한 요점은 위에 언급한 것처럼 PC에서도 인증이 가능하다는 점입니다.
Authy를 설치하기 위해 authy.com 으로 이동합니다.
우측 상단의 Download버튼을 눌러주세요.
Desktop에서 본인의 OS를 골라 DOWNLOAD버튼을 누릅니다.
만약 모바일 버전으로 진행하신다고 하셔도 진행에 큰 차이는 없습니다. 다만 여기서는 PC버전(그중 스크린샷은 snapcraft에 올라온 Twilio Authy 기준으로 합니다)을 중점으로 다룹니다.
앱을 설치하고 실행하면, 첫 화면에서 전화번호 인증을 요구합니다.
이 경우, 첫 인증을 위해 단 한번만 전화번호가 필요합니다.
전화번호 인증이 곤란하신 분들은 그냥 부모님 허락을 받고 SMS인증 한번만 하시면 됩니다.
난 진짜 폰이 없다! 하시는 분들은 Textnow같은 가상 전화번호 생성기나 일회용 전화번호 사이트 등을 이용하셔도 무방합니다.
제 경우는 SMS를 선택하겠습니다. 이미 Authy앱이 있으시다면 Existing Device를 선택하신 후 앱에서 ACCEPT를 클릭해 인증하실 수도 있습니다.
링크를 누르실 필요는 없고 마지막 6숫자를 입력하시면 됩니다. 이 경우는 171245입니다.
번호를 맞게 입력하셨다면 흰색 메뉴 화면이 나오는데, 이 화면이 나오셨다면 Authy등록이 끝난 겁니다.
이 이후로, 더이상 또다른 전화번호 인증이 필요하지 않습니다.
폰은 내려놓으셔도 좋습니다.
Authy가입이 끝난 이후, 중앙에 +버튼이 보이실 겁니다.
만약 이미 Authy를 사용한 적이 있다면, 우측 상단의 +버튼을 클릭합니다.
이 과정은 Discord에서 'Authy를 사용해' 2FA인증을 하도록 설정하는 과정입니다.
아까 말한대로 하셨다면 Discord창에 아직 저게 그대로 떠 있을 텐데요,
PC에서는 바코드 스캔을 할 수 없으니 나타난 코드를 직접 타이핑 또는 복사해서 입력하시면 됩니다.
그후 계정 이름과 로고 등의 설정을 하는 화면이 나옵니다.
이름은 본인이 알아보기 쉬운 이름을 붙혀주세요.
로고는 아무거나 골라도 됩니다. Discord로고를 고르지 않았다고 문제가 생기는 부분은 전혀 없습니다.
그리고 마지막은 조금 조심할 필요가 있는 설정인데, 기본으로 선택되어 있는 6-digit은 인증시 6자리의 숫자(digit)를 입력해야 한다는 뜻이며, 마찬가지로 7-digit은 7자리, 8-digit은 8자리입니다.
다른 사이트라면 이 설정은 어느 것을 골라도 무방하지만, discord인증을 위해선 반드시 6자리로 해야 합니다. 물론 기본값이 6-digit이라 크게 바꾸실 점은 없지만, 혹시라도 다른 숫자를 선택하셨다면, 나중에 설정에서 6자리로 바꿔 주세요.
그후 SAVE를 눌러주세요.
성공하면 다음과 같은 화면이 나옵니다.
이제부터 진행하는 과정은 일반적으로 2FA 로그인 할때와 동일합니다.
자세히 지켜보면 숫자 몇 개가 있고, 30초마다 이 숫자가 갱신되는 것을 알 수 있는데요, 이게 바로 OTP코드입니다. 화면에 나온 이 숫자들을 Discord앱의 인증 창에 그대로 입력해 주시면 됩니다.
우선 우측 하단의 파란 버튼을 클릭해 클립보드로 복사해 줍시다.
그후 discord 창에서 LOG IN WITH YOUR CODE 창에 코드를 입력해 주세요.
만약 invalid code 라고 뜬다면, 30초가 지난 것이니 Authy창에서 다시 복사해서 붙혀넣으시면 됩니다.
성공했습니다!
다음 화면이 나타난다면, 확실하게 2FA인증에 성공하신 겁니다.
그후, 바로 Download backup codes를 눌러 백업 코드를 받으시길 추천드립니다.
discord가 파일을 저장할 위치를 물어보면, 적당한 위치를 선택하세요. 위치를 선택하면 discord_backup_codes.txt 라는 파일이 다운로드 됩니다.
이 파일을 열어보면 * 뒤에 8자리의 코드들이 있는 것을 확인하실 수 있는데, 이 코드를 사용하면 아예 Authy가 없어도 로그인이 가능합니다.
그후 설정 화면에는 2FA관련 설정이 나타나게 되는데, 여기서도 백업 코드를 다운로드 받을 수 있습니다.
절대로 백업 코드를 타인에게 보여주거나 인터넷에 업로드하지 마세요. 만약 누군가 본인의 백업 코드를 알아냈다면, Generate new backup codes 를 눌러 백업 코드를 재생성하시면 됩니다.
백업 코드가 담긴 파일은 랜섬웨어나 파일시스템에 접근한 다른 프로그램, 또는 지인이 쉽게 접근할 수 있으니 .을 붙힌 숨김 폴더에 보관하거나 red_cotton.txt처럼 악성 프로그램이 알아볼 수 없는 이름으로 바꾸시길 추천합니다.
가장 추천드리는 방법은, Authy를 사용할 수 없는 만일의 경우를 대비해, 10개의 백업 코드 중 외우기 쉽게 생긴 하나를 고르고 백업 코드가 담긴 파일을 삭제하는 방법입니다.
이제 어떻게 2FA로그인을 하는지 알아보겠습니다.
기본적인 방법은 마지막에 했던 '숫자 붙혀넣기'와 동일합니다.
로그인 화면에 이메일과 비밀번호를 입력하고 나면, 캡챠 화면이 나옵니다.
I am human 을 클릭하면 OTP를 묻는 입력칸이 나옵니다.
Authy또는 Google OTP에서 받은 숫자를 입력하거나, 백업 코드중 하나를 입력하면 됩니다. 이때, -는 빼고 입력해야 합니다.
전화번호를 등록해 두셨다면, Authy가 없어도 Receive auth code from SMS 를 클릭해 SMS로 OTP를 받을 수 있습니다.
또는 Discord 모바일 앱 이 있는 경우, 로그인 화면에 나타나는 바코드를 스캔해 로그인 할 수도 있습니다.
모바일 앱에서 Yes, log me in 을 눌러 본인임을 확인하고 로그인합니다.
모바일 앱에서 다음과 같은 화면이 나오면 성공입니다. PC버전 디스코드는 이미 로그인되어 있음을 확인할 수 있습니다.
(init)