AI News
ChatGPT Advanced Account Security YubiKey, ChatGPT 계정 보안 강화: OpenAI Advanced Account Security와 YubiKey 제휴 정리
비밀번호 없이, 패스키·보안키로만 — OpenAI 계정 보안의 새 기준
ChatGPT 계정 보안, 비밀번호 시대의 끝
OpenAI가 2026년 4월 30일 ChatGPT Advanced Account Security(AAS)를 발표했습니다. 패스키나 물리 보안키로만 로그인하고, 비밀번호와 이메일·SMS 복구를 완전히 없앤 옵트인 보안 모드입니다.
ChatGPT 무료 티어를 포함한 모든 사용자가 웹 보안 설정에서 직접 활성화할 수 있습니다. 동시에 Yubico와의 제휴로 OpenAI 맞춤형 YubiKey 2팩 번들($68)도 나왔습니다.
일정을 짚으면, 4월 14일 Trusted Access for Cyber 프로그램 확대 → 4월 30일 AAS 출시 + Yubico 제휴 발표 → 6월 1일 Trusted Access for Cyber 개인 사용자 AAS 의무화입니다.
제가 보기에, 이번 조치는 단순한 옵션 추가가 아닙니다. 비밀번호를 아예 없애고 하드웨어 인증만 남기는 구조는 다른 주요 AI 플랫폼에서 아직 시도하지 않은 수준입니다. 편리한 만큼 복구 리스크도 크기 때문에, 켜기 전에 확인할 게 있습니다.
AAS를 켜면 정확히 뭐가 달라지나
비밀번호 영구 비활성화, FIDO2 인증수단 2개 필수 등록, 이메일·SMS 복구 제거, 세션 단축, 로그인 알림, 대화 학습 자동 제외 — 6가지가 바뀝니다.
1. 비밀번호 로그인 영구 비활성화 — AAS를 켜는 순간 기존 비밀번호는 사라집니다. 이후 로그인은 패스키(소프트웨어 방식)나 물리 보안키(하드웨어)로만 가능합니다.
2. FIDO2 인증수단 2개 등록 필수 — 패스키 2개, 보안키 2개, 또는 각 1개씩 총 2개를 등록해야 합니다. 하나를 분실해도 나머지로 접속할 수 있는 안전장치입니다.
3. 이메일·SMS 복구 완전 제거 — 개인적으로 이 부분이 가장 큰 변화라고 봅니다. 비밀번호 재설정 이메일이나 SMS 인증 코드로 계정을 되찾는 길이 완전히 닫힙니다. 남는 복구 수단은 백업 인증수단과 리커버리 키뿐입니다.
4. 로그인 세션 단축 — 세션 유지 시간이 짧아져서, 기기 분실이나 세션 탈취 시 공격자가 계정에 머무를 수 있는 시간이 줄어듭니다.
5. 새 로그인 알림 — 새 기기나 브라우저에서 로그인하면 알림이 옵니다. 설정 페이지에서 활성 세션 목록을 확인하고, 본인이 아닌 세션을 즉시 종료할 수 있습니다.
6. 대화 학습 자동 제외 — AAS 계정의 대화는 OpenAI 모델 학습에서 자동으로 빠집니다. 기존에는 사용자가 설정에서 수동으로 학습 제외를 선택해야 했는데, AAS에서는 별도 조작 없이 적용됩니다. 업무상 민감한 내용을 ChatGPT에 넣어온 분이라면, 이 자동 제외만으로도 AAS를 켤 이유가 생깁니다.
패스키와 보안키는 비밀번호와 뭐가 다른가
패스키와 보안키는 FIDO2 규격 기반 인증 방식입니다. 서버에 비밀번호를 저장하지 않기 때문에 피싱 공격 자체가 성립하지 않습니다.
비밀번호 방식에서는 서버가 사용자의 비밀번호(또는 해시)를 저장합니다. 서버가 해킹당하면 비밀번호가 유출되고, 피싱 사이트에 입력하면 공격자가 그대로 가져갑니다. 2024년에만 다크웹에서 ChatGPT 계정 자격증명 10만 건 이상이 거래된 것으로 보도됐습니다.
FIDO2 기반 인증은 구조부터 다릅니다. 사용자의 기기(또는 보안키)에서 고유한 암호키 쌍이 생성되고, 서버에는 공개키만 저장됩니다. 로그인 시 기기가 비밀키로 서명을 만들고, 서버가 공개키로 검증합니다. 피싱 사이트는 원래 서비스 도메인과 다르기 때문에 서명 자체가 만들어지지 않습니다. Google이 2017년 전 직원 85,000명에게 YubiKey를 배포한 뒤 피싱 피해가 제로였다는 사례가 이 구조의 효과를 보여줍니다.
| 구분 | 비밀번호 | 패스키(소프트웨어) | 물리 보안키(YubiKey 등) |
|---|---|---|---|
| 저장 위치 | 서버에 해시 저장 | 기기(iCloud, Google 등) | 전용 하드웨어 칩 |
| 피싱 방어 | 불가능 | 도메인 바인딩으로 차단 | 도메인 바인딩으로 차단 |
| 분실 시 | 이메일로 재설정 | 클라우드 동기화 복구 | 물리적 분실 시 백업 필요 |
| 편의성 | 기억해야 함 | 생체인증(지문, Face ID) | 기기에 꽂거나 터치 |
이미 iPhone Face ID나 Android 지문 인증으로 패스키를 쓰고 있는 분도 많을 겁니다. 의식하지 않았을 뿐, 패스키 자체는 이미 일상적인 인증 수단입니다. 물리 보안키는 여기서 한 단계 더 나갑니다. 클라우드 계정과 독립적으로 작동하므로, Apple이나 Google 계정이 털리는 최악의 상황에서도 ChatGPT 인증은 유지됩니다.
OpenAI × Yubico YubiKey 번들: 구성과 가격
OpenAI와 Yubico가 공동 브랜드 YubiKey 2팩 번들을 $68에 출시했습니다. 소매가 $126 대비 46% 이상 할인된 가격입니다.
번들에는 두 종류의 키가 들어 있습니다. YubiKey C NFC는 USB-C와 NFC를 모두 지원해서 노트북, 스마트폰, 태블릿에서 쓸 수 있습니다. YubiKey C Nano는 USB-C 포트에 꽂아두면 거의 튀어나오지 않을 만큼 작아서, 데스크톱이나 노트북에 상시 연결해두는 용도입니다. 둘 다 FIDO2 규격을 지원합니다.
실제로 확인할 부분은 한국에서의 구매 경로입니다. Yubico 공식 스토어에서 해외 배송이 가능한지, 국내 유통 채널이 있는지는 구매 전에 직접 확인해야 합니다. 공식 발표에서 한국 배송 여부를 별도로 언급하지 않았으므로 단정하기 어렵습니다.
ChatGPT에서 AAS 활성화하는 방법
ChatGPT 웹에서 설정 → 보안 메뉴로 들어가 Advanced Account Security를 옵트인하고, 인증수단 2개를 등록하면 됩니다.
OpenAI 공식 발표 기준으로 설정 흐름은 다음과 같습니다.
1. ChatGPT 웹에 로그인합니다
2. 설정(Settings) → 보안(Security) 메뉴로 이동합니다
3. Advanced Account Security 옵트인을 선택합니다
4. 패스키 또는 물리 보안키 중 총 2개를 등록합니다
5. 리커버리 키가 발급되면 안전한 곳에 보관합니다
여기서 볼 부분은 5번 리커버리 키입니다. 이 키가 화면에 표시될 때 반드시 별도로 저장해야 합니다. 비밀번호 관리자에 넣어두거나, 종이에 적어서 물리적으로 안전한 곳에 보관하는 것이 좋습니다.
활성화 전에 확인할 것: 복구 불가 리스크
인증수단 2개와 리커버리 키를 모두 분실하면 OpenAI도 계정을 복구해줄 수 없습니다. 이 점을 이해하고 활성화해야 합니다.
> 두 인증수단과 리커버리 키를 모두 잃으면 해당 계정은 영구적으로 접근할 수 없게 됩니다.
이메일·SMS 복구가 없으니, 보안키를 분실하거나 패스키가 저장된 기기를 잃어버리면 그 순간 계정 접근이 끊깁니다. 보안이 강력한 이유와 위험한 이유가 같은 구조입니다.
활성화 전 체크리스트를 정리합니다.
- 패스키 또는 보안키를 2개 준비했는가
- 리커버리 키를 비밀번호 관리자나 물리적으로 안전한 장소에 저장했는가
- 패스키를 등록한 기기의 클라우드 백업(iCloud Keychain, Google Password Manager)이 정상 작동하는가
- 물리 보안키를 사용한다면, 하나는 별도 장소에 보관하고 있는가
AAS를 되돌려서 비밀번호 로그인을 재활성화할 수 있는지는 현재 공식 문서에 나와 있지 않습니다. 되돌리기가 가능하다고 해도, 준비 없이 먼저 켜는 건 권하지 않습니다.
자주 묻는 질문
Q. ChatGPT Advanced Account Security란 무엇인가요?
A. OpenAI가 2026년 4월 30일 발표한 옵트인 보안 모드입니다. 비밀번호 대신 패스키나 물리 보안키로만 로그인하고, 이메일·SMS 복구를 제거하며, 대화 데이터를 모델 학습에서 자동 제외하는 기능이 포함됩니다.
Q. 무료 사용자도 AAS를 쓸 수 있나요?
A. 네. 무료 티어를 포함한 모든 ChatGPT·Codex 사용자가 웹 보안 설정에서 활성화할 수 있습니다.
Q. 패스키와 물리 보안키(YubiKey)의 차이는 무엇인가요?
A. 패스키는 스마트폰이나 컴퓨터에 소프트웨어로 저장되며 생체인증(지문, Face ID)으로 사용합니다. 물리 보안키는 USB나 NFC로 연결하는 별도 하드웨어입니다. 둘 다 FIDO2 규격을 따르며 피싱을 차단하지만, 물리 보안키는 클라우드 계정과 독립적으로 작동해 더 높은 수준의 보호를 제공합니다.
Q. YubiKey 번들은 어디서 얼마에 살 수 있나요?
A. OpenAI와 Yubico 공동 브랜드 번들(YubiKey C NFC + C Nano)이 $68입니다. Yubico 공식 스토어에서 구매할 수 있으며, 한국으로의 직접 배송 가능 여부는 구매 전에 공식 스토어에서 확인이 필요합니다.
Q. AAS를 켜면 비밀번호로 다시 로그인할 수 있나요?
A. AAS를 활성화하면 비밀번호 로그인이 영구적으로 꺼집니다. 다시 비밀번호 로그인으로 돌아갈 수 있는지는 공식 문서에 아직 나와 있지 않습니다.
Q. 인증수단과 리커버리 키를 모두 분실하면 어떻게 되나요?
A. OpenAI도 해당 계정을 복구해줄 수 없습니다. 패스키·보안키 2개와 리커버리 키를 모두 잃으면 계정에 영구적으로 접근이 불가능해집니다. 활성화 전에 반드시 리커버리 키를 안전한 곳에 보관해야 합니다.
Q. Trusted Access for Cyber 사용자가 아니면 AAS를 꼭 켜야 하나요?
A. 의무는 아닙니다. 2026년 6월 1일 AAS 활성화 의무화는 Trusted Access for Cyber 프로그램 개인 사용자에 한정됩니다. 일반 사용자는 필요에 따라 자유롭게 선택할 수 있습니다.
Q. AAS를 켜면 내 대화가 AI 학습에 쓰이지 않나요?
A. 맞습니다. AAS를 활성화한 계정의 대화는 OpenAI 모델 학습 데이터에서 자동으로 제외됩니다. 기존에 설정에서 수동으로 옵트아웃해야 했던 것과 달리 별도 조작 없이 적용됩니다.
'AI UPDATES' 카테고리의 다른 글
| OpenAI MRC Multipath Reliable Connection: 대규모 AI 학습망 병목을 줄이는 새 프로토콜 (0) | 2026.05.07 |
|---|---|
| GPT-5.5 Instant ChatGPT 기본모델: 새 기본 모델 업데이트에서 봐야 할 변화 (0) | 2026.05.07 |
| 딥시크 V4 프리뷰 출시 — 1.6T 파라미터 오픈소스, GPT-5.5 대비 최대 97% 저렴한 API (0) | 2026.05.06 |
| 딥시크 V4 프리뷰 출시 — 1.6T 파라미터 오픈소스, GPT-5.5 대비 최대 97% 저렴한 API (0) | 2026.05.01 |
| DeepSeek V4 Pro Flash 가격 성능 정리 — 오픈웨이트가 다시 프런티어를 흔든다 (0) | 2026.05.01 |