Google Authenticator 앱은 타사 서비스가 장치간 동기화를 지원하는 와중에도 이를 지원하지 않고 있었는데요, 최근 클라우드 동기화 기능이 추가되었습니다...만
https://news.ycombinator.com/item?id=35708869
https://news.hada.io/topic?id=9048
https://defcon.social/@mysk/110262313275622023
해당 동기화 기능은 인증 코드를 암호화하지 않습니다. 예를 들어 유사 서비스인 Authy는 마스터 비밀번호로 암호화하여 동기화가 진행됩니다. 이 자체로는 문제가 되지 않습니다만(서버간 통신은 HTTPS를 사용하니) 나중에 계정 자체가 털린 경우 누구나 계정에 저장된 2차 인증 코드를 확인할수 있으며 추후 법적인 문제 등으로 요청시 구글에서 저장된 코드를 확인해볼수 있게 됩니다.
이중 후자는 사실 구글을 믿냐 아니냐의 문제... 즉 신뢰의 문제라고 볼수 있지만 전자의 경우 상당히 심각하다고 볼 수 있습니다. 이 문제가 해결되기 전까지는 그냥 동기화 기능이 없던 것처럼 사용하시는것을 추천드립니다.
Google Authenticator 앱에만 저장되어 있는 코드를 이번에 추출해서 다른곳에도 입력해둬야겠네요.