Skip to content

Microsoft 2단계 인증 2026: MSA vs Entra ID, 인증 수단 계층

빠른 인증 코드가 필요하신가요? 지금 바로 인증 여정을 시작하세요

지금 바로 시작

2026년 Microsoft 2단계 인증(2FA)은 「설정만 하면 안전한」 것이 아닙니다. 보안 수준이 전혀 다른 인증 수단의 계층 구조이며, 계정 유형(개인 MSA vs 직장·학교 Entra ID)에 따라 어떤 수단을 선택할 수 있는지, 누가 제어하는지, SMS-Act 가상 번호가 적용되는지 여부가 달라집니다. 이 가이드는 그 구분을 명확히 하고, 2026년 권장 구성과 단계적으로 폐지 중인 수단, SMS 인증이 여전히 의미 있는 시점을 안내합니다.

2026년 핵심 변화: Microsoft가 개인 계정에서 SMS를 폐지하고 있습니다

Microsoft는 개인 Microsoft 계정에서 SMS를 보안·2FA 수단으로 제거하기 시작했으며, SMS 기반 인증이 「사기의 주요 원천」이라고 명시하고 있습니다. 보도에 따르면 신규 개인 계정은 2025년 5월경부터 SMS를 보안 수단으로 추가할 수 없게 됐고, 기존 SMS 수단은 2026년 5월 이후 제거될 예정이며 패스키와 Authenticator 앱으로 대체됩니다. SMS는 계정 생성위험 트리거 시점 (SMS-Act 실제 이동통신사 번호가 작동하는 시점)에는 여전히 등장하지만, 장기 인증 수단으로 유지할 수는 없습니다. 등록 직후 Authenticator 또는 패스키를 설정하세요. (출처)

두 가지 계정 유형 — 왜 중요한가

Microsoft는 두 가지 병렬 신원 시스템을 운영합니다.

항목개인 Microsoft 계정 (MSA)직장·학교 (Entra ID)
도메인 예시name@outlook.com, name@hotmail.comname@yourcompany.com
사용 용도Outlook.com, Xbox, OneDrive 개인용, Skype, MSA 연결 WindowsMicrosoft 365 Business·E3·E5, Azure, Intune, Teams
자체 가입예 (이메일 + 전화로 누구나)아니오 — 테넌트에서 관리자 프로비저닝
2FA 제어사용자가 account.microsoft.com → 보안에서 선택관리자가 조건부 액세스로 강제
가입 시 SMS-Act 적용?예 — 가상 번호가 MSA OTP를 수신아니오 — 전화 필드를 관리자가 프로비저닝
복구 흐름사용자 관리: 이메일 + 대체 전화 + 복구 코드테넌트 관리: 헬프데스크 리셋 또는 SSPR 정책
2026년 2FA 기본값선택 사항 (강하게 유도)필수 (테넌트 전체 보안 기본값 활성화)

이것이 가장 흔한 혼동의 원인입니다. 「Microsoft 2FA SMS 인증」을 검색하면 MSA 흐름(SMS-Act 적용)과 Entra ID 흐름(적용 불가)이 뒤섞입니다. 문제 해결 전에 반드시 계정 유형을 확인하세요.

2026년 Microsoft 2FA 인증 수단 계층

Microsoft는 이제 보안 강도에 따라 인증 수단을 순위별로 구분합니다. 2026년 기준 가장 강한 것부터:

단계인증 수단피싱 저항성비고
1패스키 (WebAuthn, 기기 바인딩)높음Windows Hello, iOS 17+, Android 14+ 기본값; 비밀번호 없음
2FIDO2 보안 키 (YubiKey 5C, Feitian)높음USB-A / USB-C / NFC; 사용자 인증 지원
3Microsoft Authenticator (푸시 + 숫자 매칭)높음2023년 5월부터 Entra ID 기본값
4Windows Hello for Business (PIN + TPM)중-높음기기 바인딩; 관리형 Windows에서만 동작
5OATH 하드웨어 토큰 (Token2, Feitian)중간시간 기반 코드; 오프라인
6TOTP (Google Authenticator, Authy, 1Password)중간OATH와 동일 프로토콜이지만 소프트웨어 방식
7이메일 OTP낮음-중간이메일이 침해되면 취약
8SMS OTP낮음레거시 흐름에 허용됨; SIM 스와프에 노출
9음성 OTP낮음SMS와 동일한 위협 수준; 대체 수단으로만 사용

Microsoft는 Entra ID에서 7-9단계를 단계적으로 폐지해 왔습니다. 2023년 5월 발표로 단순 승인 탭이 제거되어 숫자 매칭이 강제됐고, 2024년 9월 발표로 관리자가 SMS·음성을 기본 인증 수단에서 완전히 비활성화할 수 있게 됐습니다. 2026년 현재 대부분의 엔터프라이즈 테넌트는 SMS를 「대체 수단만」으로 설정하고 Authenticator + 패스키를 기본 스택으로 운영합니다.

개인 MSA 계정에서는 사용자가 여전히 자유롭게 선택할 수 있지만, 계정 생성 화면은 이제 SMS보다 Authenticator를 먼저 안내합니다.

Microsoft가 SMS보다 Authenticator를 권장하는 이유

Microsoft 위협 인텔리전스가 공개한 차단율 (2024년 데이터, 2026년에도 유효):

방법자동화 공격 차단율
비밀번호만0%
SMS 2FA99.2%
Authenticator 푸시 (숫자 매칭 포함)99.99%
FIDO2 / 패스키99.99%+ (피싱 저항)

SMS 격차가 존재하는 이유:

  1. SIM 스와프 공격 — 2024년 FBI 보고서 기준 미국 피해액 $2억 6천만 달러 이상; 공격자가 통신사를 설득해 번호를 가져갑니다.
  2. SS7 프로토콜 취약점 — 특히 국제 경로에서 SMS 전송 중 도청 가능.
  3. 피싱 키트 — Evilginx2 같은 현대적 AitM(중간자) 프레임워크가 SMS 코드를 실시간 탈취.
  4. 통신사 전송 실패 — 일부 국가에서 A2P SMS 전송률이 90% 미만으로 사용자 잠금이 발생해 2FA 정책 완화로 이어짐.

Authenticator는 이 네 가지를 모두 회피합니다: 비밀이 기기의 보안 엔클레이브를 벗어나지 않고, 푸시 승인이 하드웨어에 바인딩되며, 숫자 매칭이 일회성 피로 공격을 차단하고, 오프라인에서도 동작합니다.

VoIP 번호가 등록조차 되지 않는 이유

SMS가 여전히 허용되는 곳(계정 생성, 위험 트리거)에서도 Microsoft는 실제 이동통신사 번호만 허용합니다. 공식 문서에 직접 명시되어 있습니다: "로그인하거나 인증 코드를 받는 방법으로 VoIP 번호를 추가할 수 없습니다. 휴대폰 번호를 추가하세요." Entra ID 전화 사기 채점은 VoIP 서비스(Google Voice, Twilio), 무료 온라인 SMS 사이트, 데이터센터 경유 번호를 표시하고 코드를 무음으로 차단합니다. SMS-Act 번호는 실제 이동통신사에서 발급되어 HLR·번호 진정성 검사를 통과하므로 가입 단계에서 VoIP 번호가 실패하는 바로 그 지점에서 코드를 수신합니다. 해당 코드로 계정을 만든 뒤 즉시 Authenticator·패스키로 전환하세요. (출처)

개인 MSA: 2단계 인증 설정 단계별 가이드

이것은 사용자가 직접 제어하는 흐름입니다. SMS-Act 가상 번호는 초기 전화 인증 단계를 완료할 수 있습니다.

1단계 — MSA 생성 또는 접근

  1. account.microsoft.com을 열고 로그인 (또는 이메일 + 전화로 신규 계정 생성 — SMS-Act 번호가 여기서 사용됩니다).
  2. 보안고급 보안 옵션 클릭.
  3. 「본인 확인 방법」 섹션 확인.

2단계 — Microsoft Authenticator 추가 (권장 기본 수단)

  1. 스마트폰에서 App Store 또는 Play Store에서 Microsoft Authenticator 설치.
  2. account.microsoft.com 보안 페이지에서 새 로그인 또는 인증 방법 추가앱 사용 클릭.
  3. Microsoft Authenticator를 사용하지 않으려면 다른 Authenticator 앱 설정을 클릭하거나 QR 코드 흐름을 따릅니다.
  4. Authenticator로 QR 코드를 스캔하고 앱에 표시된 6자리 인증 코드 입력.
  5. 마지막에 표시되는 복구 코드를 저장 — 한 번만 표시됩니다.

참고 (2025년 변경): Microsoft Authenticator는 2025년 비밀번호 관리 기능을 중단했습니다 — 자동 완성 기능이 약 2025년 7-8월경 종료되어 저장된 비밀번호는 Microsoft Edge로 이동됐습니다. 이것은 2FA에는 영향을 미치지 않습니다: Authenticator는 여전히 TOTP 코드 생성, 푸시 승인 처리, 패스키 저장 기능을 수행합니다. 여기서는 Authenticator를 순수 인증기로 사용하며, 이 기능은 변경되지 않았습니다.

3단계 — 2단계 인증 활성화

  1. 보안 페이지로 돌아가 2단계 인증까지 스크롤하고 켜기 클릭.
  2. Authenticator 코드로 확인.
  3. Microsoft는 이제 신뢰하지 않는 기기에서 로그인할 때마다 2번째 인증 수단을 요청합니다.

4단계 — 백업 인증 수단 추가

백업 옵션권장 여부이유
FIDO2 보안 키가장 강력한 백업; 오프라인 동작
대체 이메일 OTP저렴하고 단순, 어떤 기기에서도 동작
본인 실제 휴대폰으로 SMS OTP예 (단, 가상 번호는 안 됨)최후 수단 대체
가상 번호로 SMS OTP아니오번호 임대가 종료되면 복구 불가
TOTP 앱 (Google Authenticator)Microsoft Authenticator와 독립적

5단계 — 패스키 등록 (2026년 모범 사례)

  1. 새 로그인 또는 인증 방법 추가패스키 사용 클릭.
  2. 운영체제 안내 따르기: Windows 11의 Windows Hello, iPhone의 Face ID, Android의 지문 인증, 또는 하드웨어 키.
  3. 패스키는 해당 기기에서 비밀번호를 완전히 대체합니다 — 로그인이 단일 단계로 이루어지며 (기기 = 「소유」 + 생체 인식·PIN = 「인식」이 피싱 저항 자격증명 하나로 통합).

직장·학교 (Entra ID): IT 관리자 관점

Entra ID에서는 사용자가 아닌 관리자가 인증 수단을 결정합니다. 2026년 IT 관리자는 일반적으로 다음과 같이 구성합니다.

인증 방법 정책

Entra 관리 센터 → 인증 방법정책에서 활성화:

  • Microsoft Authenticator (숫자 매칭 + GPS 위치 + 앱 이름 표시 포함)
  • FIDO2 보안 키
  • 패스키
  • 선택적: Windows Hello, OATH 하드웨어 토큰
  • 비활성화 또는 「보조 수단만」으로 설정: SMS, 음성, 이메일

조건부 액세스 정책

2026년 일반적인 기본 정책:

  1. 모든 사용자에게 MFA 요구 — 모든 로그인에 2번째 인증 수단 필요.
  2. 레거시 인증 차단 — IMAP·POP3 기본 인증 우회 제거.
  3. 규정 준수 기기 요구 — 로그인 전 Intune 장치 규정 준수 적용.
  4. 로그인 위험 기반 MFA — Identity Protection이 불가능한 이동이나 낯선 로그인을 표시하면 단계적 MFA로 에스컬레이션.
  5. 관리자에게 피싱 저항 MFA 요구 — 전역 관리자 역할에는 패스키 또는 FIDO2만 허용.

셀프 서비스 비밀번호 재설정 (SSPR)

관리자는 사용자가 직접 비밀번호를 재설정하는 데 사용할 수 있는 인증 수단을 설정합니다. 일반적으로:

  • Authenticator + 이메일 + 보안 질문 (레거시)
  • 또는 Authenticator + 이메일 + 전화 (관리자가 프로비저닝하거나 온보딩 시 사용자 등록)

SMS-Act 가상 번호는 Entra ID 계정의 SSPR 전화로 등록할 수 없습니다 — 전화 필드가 형식을 받아들이더라도, 임대가 종료되면 사용자가 나중에 복구가 필요할 때 SSPR 흐름이 실패합니다.

자주 발생하는 문제 및 해결책

증상원인해결책
Authenticator 코드가 「올바르지 않음」이나 정확히 입력기기 시간 오차휴대폰 → 설정 → 날짜 및 시간 → 자동 설정
푸시 알림이 더 이상 오지 않음앱 백그라운드 데이터 차단Authenticator에 백그라운드 활동 허용 + 배터리 예외 설정
MSA에서 「계정을 확인할 수 없습니다」 루프새 기기 + 신뢰할 수 있는 복구 수단 없음인쇄된 복구 코드 사용, 또는 30일 계정 복구 양식 제출
실제 미국 번호에 SMS 코드가 오지 않음Microsoft 단축 코드에 대한 통신사 필터Authenticator로 전환; 불가능하면 음성 OTP 요청
Authenticator + 휴대폰 분실신뢰할 수 있는 기기에서 재등록FIDO2 키 또는 복구 코드 사용; 없으면 계정 복구 양식 (3-30일)
Entra ID 계정이 잘못된 코드 5회 후 잠김스마트 잠금 (기본 10분 냉각)10분 대기 또는 테넌트 관리자에게 연락

Microsoft 2FA 스택에서 SMS-Act의 위치

정확히 한 곳에서만 적합합니다: 초기 MSA 가입 전화 인증.

시나리오SMS-Act 적용 가능 여부
새 Outlook.com / Xbox MSA 처음 생성
Xbox 아동 계정 연령 인증아니오 — 연령 인증은 결제 수단 필요
기존 MSA에 SMS를 2FA 수단으로 추가아니오 — 15분 임대 후 번호 만료
Entra ID에 SMS를 기본 2FA로 추가아니오 — 관리자 프로비저닝만 가능
SSPR 전화로 등록아니오 — 영구 번호 필요
고가치 계정의 복구 수단아니오 — Authenticator + FIDO2 + 복구 코드 사용

패턴: 가상 번호 = 일회성 가입 보조 도구, 장기 2FA 수단이 아닙니다. MSA를 만든 후 즉시 Authenticator와 패스키를 설정하세요; SMS는 의존할 수 없는 대체 수단이 됩니다.

2026년 Microsoft 계정 2FA 모범 사례 구성

역할권장 기본 수단권장 보조 수단복구
개인 MSA, 일반 사용자Authenticator이메일 OTP인쇄된 복구 코드 보관
개인 MSA, 파워 유저패스키 (Windows Hello / Face ID)AuthenticatorFIDO2 키 + 복구 코드
개인 MSA, 기자 또는 고위험 사용자패스키YubiKey금고에 보관한 두 번째 YubiKey
직장·학교 일반 사용자Authenticator (숫자 매칭)OATH 토큰Authenticator + 보조 이메일을 통한 SSPR
직장·학교 전역 관리자FIDO2 / 패스키두 번째 FIDO2별도 테넌트의 비상용 관리자 계정

SMS-Act로 할 수 없는 것

  1. MSA 2FA 수단으로 전화 추가 — 15분 임대 번호가 아닌 본인 실제 휴대폰 번호를 사용하세요.
  2. Entra ID 전화 프로비저닝 — 관리자가 제어합니다.
  3. 잠긴 계정 복구 — Microsoft 30일 복구 양식은 SMS가 아닌 신원 정보를 요구합니다.
  4. 조건부 액세스 우회 — 테넌트 강제 정책은 우회할 수 없습니다.
  5. Xbox 보호자 승인·연령 인증 — 보호자 소유의 결제 수단이 필요합니다.

관련 글

이용 안내

본 서비스는 개발 테스트, 비즈니스 검증 및 국제 서비스 환경에서 합리적이고 적절한 지원을 제공하기 위해 설계되었습니다.

이용자는 관련 법률, 규정 및 제3자 플랫폼의 정책을 준수하여 서비스를 이용해야 합니다. 본 서비스는 이용자의 구체적인 사용 방식이나 행위에 관여하거나 이를 통제하지 않습니다.

비정상적이거나 부적절한 사용이 확인될 경우, 정책에 따라 계정이 제한될 수 있습니다.

이용자는 만 18세 이상이어야 하며, 서비스 이용 및 그로 인한 결과에 대한 책임은 본인에게 있습니다. 본 내용에 동의하지 않을 경우 서비스 이용을 중단해 주시기 바랍니다.

SMS-Act에서 Microsoft 가입 인증 번호 받기 →

SMS-Act - 세계 최고의 온라인 SMS 플랫폼