구글은 2FA 옵션을 명시적으로 켜지 않더라도 보안을 위해서 계정에 연결된 기기가 있다면 해당기기를 passkey로 2FA(2단계 인증)를 요구한다. 이를 임시적 2FA라고 부르겠다.
임시적 2FA 상태에서는 실제 2FA를 켜고 핸드폰 번호와 복구 메일을 입력한 것이 아니기 때문에 구글 개인 정보에 내 메일과 전화번호가 저장되어 있어도 임시적 2FA를 통과할 수 있는 수단으로 제공되지 않는다.
임시적 2FA 상태에서 계정에 로그인하고자 하면 옵션에는 [Tap Yes on your phone or tablet]밖에 없으며 [Can’t use your phone]을 누르면 왜 2단계 인증이 필요한지 안내하는 구글의 문서로만 연결되고 아무런 대안이 없다.
따라서 어이가 없지만 구글은 2FA를 켜지 않았음에도 2FA를 요구하고 있으며 올바른 대체 수단을 추가하도록 유도하지 않는다. 이 정책의 치명적인 결함은 사용자는 올바른 2FA를 사용하고 있다고 착각하게 만들면서 임시적 2FA 수단이 사라져도 구글은 이것을 알 수 없다는 것에 있다.
기기의 분실이나 초기화로 이러한 상황에 빠진다면 할 수 있는 것은 제한적이다. 살아있는 메일 클라이언트를 통해서 구글 계정과 연결된 계정들의 인증 이메일을 변경한다. 구독 중인 서비스와 등록한 결제수단이 있다면 결제수단을 외부의 수단으로 무력화해야 한다.
모든 조치를 취하고 여러 시도를 해본다. 인터넷에서 절대 찾아볼 수 없던 우연한 해결책을 발견한다.
새로운 기기에서 새로운 구글계정을 만든다. 핸드폰 번호로 인증하는 절차가 있다. 기존에 사용하던 계정과 동일한 핸드폰 번호를 입력한다. 구글은 해당 전화번호로 만든 계정이 있다면서 해당 계정을 사용하라고 한다. 절망적이다.
해당 계정을 사용한다는 옵션을 선택하면 등록된 핸드폰 번호로 인증 문자가 온다. 인증 번호를 입력하면 Verify it’s you라는 인증 절차가 등장한다. 기존 계정에 로그인할 때 임시적 2FA을 요구하던 것과 완전히 동일한 화면이다. 도돌이표다.
그럼에도 불구하고 다시 한 번 [Can’t use your phone]을 클릭한다. 사실 짜증나서 아무 버튼이나 클릭한 것이다. 하지만 이번에는 달랐다. 화면이 닫히더니 로그인에 성공한다.
임시적 2FA를 통과할 수 있는 passkey 기기를 생성한 것이다. 구글 계정 > 보안 탭에서 2단계 인증 옵션을 켜고 전화번호를 포함한 기타 옵션을 추가하도록 한다.