본문으로 건너뛰기
SVDY Logo

25명 규모의 회사가 IT 팀 없이 이중 인증을 도입하는 방법

예전에는 2FA에 IT 부서가 필요했습니다. 최신 도구가 이를 바꿨습니다 — 어떤 총무 담당자라도 할 수 있는 30분 설정 절차와, 휴대폰을 분실했을 때의 대응을 정리했습니다.

Security
May 26, 2026· 7 min read· SVDY Team, 제품

25명 규모의 회사를 운영한다면, 이중 인증이 필요하다는 말을 들어봤을 것입니다. 그 조언에는 대개 청구서가 따라붙습니다. 보안 컨설턴트 고용, SIEM 구매, 하드웨어 토큰 배포 같은 것들이죠. 당신의 "IT 팀"이 급여 업무까지 겸하는 총무 담당자라면, 그 어느 것도 맞지 않습니다.

지난 몇 년 사이 두 가지가 바뀌면서, 2FA는 "30일짜리 프로젝트"가 아니라 "30분짜리 설정"이 되었습니다.

  1. TOTP(시간 기반 일회용 비밀번호) 가 보편 표준이 되었습니다. Google Authenticator, Microsoft Authenticator, Authy, 1Password 등 모든 최신 인증 앱이 동일한 프로토콜(RFC 6238)을 사용합니다. 팀이 별도의 맞춤 프로그램을 설치할 필요가 없습니다.
  2. 셀프서비스 등록 이 이제 기본이 되었습니다. 관리자가 누군가의 2FA를 "프로비저닝"할 필요가 없습니다. 본인이 인증 앱에서 QR 코드를 스캔하고 6자리 코드를 입력해 확인하면 끝입니다. 복구 코드(일회용 코드 10개)가 휴대폰 분실 상황을 처리합니다.

이 글은 소규모 회사의 실제 도입 과정을 따라갑니다. 이번 주에 할 일과 다음 분기로 미뤄도 될 일을 구체적으로 구분해 설명합니다.

왜 중소기업에 2FA가 중요한가

데이터는 명확합니다. Microsoft의 위협 인텔리전스 팀은 MFA를 활성화하면 자동화된 계정 탈취 시도의 99.2%를 차단한다고 보고합니다. 나머지 0.8%는 실시간 중계 피싱 키트, SIM 스와핑 등 정교한 표적 공격을 필요로 합니다. 주로 비밀번호 스프레이 봇과 유출 DB 기반 자격 증명 도용에 맞서는 25명 규모의 회사에게, 2FA는 도입할 수 있는 가장 효율적인 보안 통제 수단입니다.

비용 측면도 역전되었습니다. SaaS 앱(회계, 인사, CRM, 급여)은 모두 2FA를 지원하며 사용은 무료입니다. 휴대폰 인증 앱도 무료입니다. 유일한 실질 비용은 직원 1인당 등록에 드는 30분뿐입니다.

30분 도입(이번 주)

프로젝트 계획서는 필요 없습니다. 필요한 것은 다음과 같습니다.

  1. 업무에 필수적인 앱 목록. 다음부터 시작하세요: 이메일(Google Workspace / Microsoft 365), 회계, 인사/급여, 파일 공유, 비밀번호 관리자(하나쯤은 쓰고 계시죠?), 그리고 고객 데이터베이스. 25명 회사라면 보통 5~8개 시스템입니다.

  2. 짧은 문서 — 세 단락으로:

    • 왜 하는가(한 문단; 예: "이메일이 침해되면 공격자가 다른 모든 비밀번호를 재설정하고 회사를 사칭할 수 있습니다. 2FA가 이를 막습니다.")
    • 직원이 해야 할 일(인증 앱 다운로드 — 주요 4가지를 안내 — 후 다음 로그인 시 각 앱의 안내를 따르기)
    • 휴대폰을 잃어버리면(복구 코드 사용; 다 썼다면 총무 담당자에게 연락해 2FA 재설정 받기)
  3. 15분 전체 회의 로 설명하기. 도입 성공의 가장 큰 예측 요인은, 경영진이 다른 누구보다 먼저 눈에 띄게 2FA를 활성화했는지 여부입니다.

전체 회의 후 모두에게 2주를 줍니다. 그런 다음 점검하세요. 필수 앱에 아직 2FA를 설정하지 않은 직원은 누구인가요? 2주를 더 유예한 뒤, 의무화를 시작하세요.

휴대폰을 잃어버렸을 때 예상되는 것

답은 복구 코드입니다. 2FA 설정 중 단 한 번만 표시되는 일회용 코드 10개입니다. 사용자는 이를 인쇄하거나, 비밀번호 관리자에 스크린샷으로 저장하거나, 둘 다 합니다.

휴대폰이 고장 나거나 분실되면:

  1. 사용자는 이메일과 비밀번호로 로그인합니다.
  2. 인증 앱 코드 대신 복구 코드 중 하나를 입력합니다.
  3. 전체 접근 권한을 얻습니다. 사용한 복구 코드는 무효화됩니다.
  4. 새 휴대폰에서 2FA를 다시 등록합니다(로그인 후 시스템이 재등록을 허용합니다).

복구 코드도 다 떨어졌다면? 그때는 관리자가 해당 사용자 계정의 2FA를 수동으로 비활성화하고, 사용자는 비밀번호만으로 로그인한 뒤 2FA를 새로 등록합니다. 25명 팀이라면 분기당 약 1건 처리할 것으로 예상하세요.

피해야 할 것들

  • SMS 기반 2FA. SMS는 없는 것보다 낫지만, SIM 스와핑 공격으로 신뢰하기 어려워졌습니다. 가능하면 TOTP(인증 앱)를 사용하세요. 둘 다 지원하는 앱이 많으니 — TOTP를 선택하세요.
  • 2FA 토큰 공유. 세 사람이 하나의 Google Workspace 관리자 계정을 공유하면 2FA 토큰까지 공유하고 싶어집니다. 하지 마세요. 관리자 계정은 따로 만드세요.
  • 특정 인증 앱 강제. 각자 원하는 것을 쓰게 하세요 — Google, Microsoft, Authy, 1Password 모두 작동합니다. 하나를 강제하면 반발을 부릅니다.
  • 호의로 개별 계정의 2FA 비활성화. 중소기업에서 가장 흔한 침해 경로는, 출장 중이라는 이유로 2FA가 "일시적으로 비활성화"된 뒤 다시 켜지지 않은 임원입니다. 하지 마세요.

이 방식의 한계가 올 때

직원이 약 50~100명에 이르면 "총무 담당자가 IT 겸직" 모델은 무너집니다. 증상은 다음과 같습니다.

  • 휴대폰 분실 관련 도움 요청이 매주 여러 건
  • 팀마다 일관성 없는 적용
  • 입사/퇴사 처리가 아무도 실행하지 않는 체크리스트로 전락

이때는 전담 IT 담당자나, 등록·복구·감사를 중앙에서 처리하는 도구가 필요합니다. 보통 아이덴티티 제공자(IdP)라고 부르며 Okta, Microsoft Entra, JumpCloud 등이 있습니다. 비용은 보통 직원 1인당 월 5~10달러입니다.

SVDY를 사용한다면 IdP 기능이 기본 내장되어 있습니다. SCIM 기반 프로비저닝, SAML SSO, 중앙 집중식 2FA 관리가 Pro 이상 플랜에서 플랫폼과 함께 제공됩니다. 두 개의 시스템에 비용을 지불하지 않고도 중앙 집중식 아이덴티티 계층을 얻을 수 있습니다.

결론

2026년 25명 규모의 회사에게 — TOTP 기반 2FA는 30분이면 도입할 수 있고, 자격 증명 공격의 99%를 차단하며, 소프트웨어 비용은 들지 않고, 유일한 실질적 마찰은 복구 코드로 해결되는 휴대폰 분실 상황뿐입니다. 사실상 하지 않을 이유가 없습니다.

앞으로 2주 안에 날짜를 정하세요. 전체 회의 초대는 오늘 보내세요.

이중 인증
소규모 비즈니스 보안
TOTP
인증 앱
SMB 보안
← Back to all posts