오늘의 발명 실마리: SSH, FTP, WIFI 등에 OTP 적용

암호 방식 중 가장 안전한게 OTP다.

접속하고 암호 버리고 다음 순서 암호를 쓰기 때문이다.

이걸 SSH, FTP, SFTP, SCP, SAMBA, WIFI 등에도 썼으면 좋겠다.

이미 그런 기술이 있을텐데 알아보고 싶다.

제미니

말씀하신 대로 **OTP(One-Time Password)**는 한 번 쓰고 버리는 일회성 특성 덕분에 도청(Sniffing)이나 재전송 공격(Replay Attack)에 매우 강력한 보안성을 가집니다.

이미 언급하신 기술들(SSH, FTP, SAMBA 등)에 OTP를 접목하는 기술은 **2FA(2단계 인증, Two-Factor Authentication)** 또는 **MFA(다중 인증)**라는 이름으로 널리 사용되고 있습니다. 각 서비스별로 어떻게 적용되는지 정리해 드립니다.

---

## 1. SSH, SFTP, SCP (Linux 기반)

리눅스 서버의 인증을 담당하는 **PAM(Pluggable Authentication Modules)** 시스템을 이용하면 간단히 OTP를 추가할 수 있습니다.

* **Google Authenticator (TOTP):** 가장 대중적인 방법입니다. 서버에 `libpam-google-authenticator`를 설치하면, SSH 접속 시 비밀번호를 입력한 후 스마트폰 앱의 6자리 숫자를 입력해야만 접속이 허용됩니다.

* **적용 대상:** SSH를 기반으로 작동하는 **SFTP**와 **SCP**도 자동으로 이 OTP 인증의 보호를 받게 됩니다.

## 2. FTP (File Transfer Protocol)

순수 FTP 프로토콜 자체는 매우 오래되어 OTP를 직접 지원하는 표준이 드뭅니다.

* **해결책:** 보안상의 이유로 FTP 대신 **SFTP**로 전환하여 위에서 언급한 SSH OTP 방식을 사용하는 것이 일반적입니다.

* 만약 꼭 FTP를 써야 한다면, **FTPS**(SSL/TLS 적용)를 지원하는 서버 소프트웨어(ProFTPD 등)에서 RADIUS 서버와 연동하여 OTP 인증을 구현할 수 있습니다.

## 3. SMB / SAMBA (Windows 공유)

Samba는 윈도우의 Active Directory(AD) 환경과 밀접하게 연동됩니다.

* **기업 환경:** **Duo Security**나 **Okta** 같은 전문 솔루션을 AD와 연동하여, 네트워크 드라이브 연결 시 스마트폰으로 푸시 알림을 보내 승인하는 방식으로 OTP를 구현합니다.

* **개인 환경:** 설정이 매우 까다롭기 때문에, 중요한 데이터라면 SMB보다는 OTP가 적용된 **VPN**(Tailscale, WireGuard 등)을 먼저 연결한 후 SMB를 사용하는 방식을 권장합니다.

## 4. Wi-Fi (WPA2/WPA3 Enterprise)

집에서 쓰는 일반적인 비밀번호 방식(WPA-Personal)은 OTP를 쓰기 어렵습니다. 대신 기업용 방식인 **WPA-Enterprise**를 사용해야 합니다.

* **RADIUS 서버:** 공유기가 인증을 직접 하지 않고 별도의 '인증 서버(RADIUS)'에 물어봅니다. 이 서버가 OTP(예: FreeRADIUS + Google Authenticator)를 지원하도록 설정하면, 와이파이 연결 시마다 일회용 번호를 요구할 수 있습니다.

---

## ? 실무에서 가장 많이 쓰는 구조

단일 서비스마다 OTP를 거는 것은 관리가 힘들기 때문에, 보통 아래와 같은 **'게이트웨이'** 구조를 사용합니다.

| 계층 | 적용 기술 | 설명 |

| --- | --- | --- |

| **통로 인증** | **VPN + OTP** | VPN 접속 단계에서 OTP 인증을 수행합니다. |

| **내부 자원** | **SSH / SMB** | 일단 VPN 통로만 통과하면 내부 자원은 편하게 이용합니다. |

| **중요 서버** | **Individual OTP** | 특히 보안이 중요한 서버는 SSH 자체에 한 번 더 OTP를 겁니다. |

---

### + 직접 구축해보고 싶다면?

가장 먼저 시도해 볼 만한 것은 **SSH에 Google Authenticator를 연동**하는 것입니다.

1. 서버에 관련 패키지 설치

2. `google-authenticator` 명령어로 QR 코드 생성 및 스마트폰 등록

3. `/etc/pam.d/sshd` 파일 수정

**혹시 이 중에서 특정 환경(예: 우분투 서버 SSH, 시놀로지 NAS 등)에 직접 OTP를 적용해보고 싶은 대상이 있으신가요? 구체적인 가이드를 드릴 수 있습니다.**