듀오 2FA 사용성 연구: 인증 지연과 사용자 만족도 분석

초록

본 연구는 2024‑2025 학년도에 캘리포니아 대학교 어바인(UC Irvine)에서 2,559명의 사용자를 대상으로 Duo 푸시 인증의 평균 지연시간(≈8초)과 실패율(4.35%)을 로그 데이터로 측정하고, 무작위 추출된 57명을 대상으로 설문조사를 진행해 SUS 점수 70(‘Good’)을 도출하였다. 시간대, 전공, 학년 등 인구통계적 요인이 지연에 영향을 미치며, 사용자는 Duo를 ‘쉽지만 다소 성가시다’고 평가하면서 보안 향상 효과를 인정하였다.

상세 분석

이 논문은 Duo 2FA의 실제 운영 환경에서의 사용성을 정량·정성적으로 평가한 최초의 대규모 연구라 할 수 있다. 연구 설계는 두 축으로 구성된다. 첫 번째는 9개월에 걸친 인증 로그 96,048건을 수집·정제하여, 성공적인 1차 인증(아이디·비밀번호) 후 Duo 푸시 알림이 전송된 순간부터 사용자가 ‘Approve’ 혹은 ‘Deny’를 클릭할 때까지의 시간 차이를 ‘오버헤드’로 정의하고, 이를 45,541건(2,558명)으로 한정해 평균 7.82초를 산출하였다. 두 번째는 무작위로 선정된 800명 중 57명이 응답한 설문조사로, SUS 10문항을 포함해 Duo 사용 경험, 인지된 보안 효과, 불편 요소 등을 조사하였다.

로그 분석 결과, 오버헤드는 주로 ‘시간대’에 따라 변동했으며, 야간(22시‑02시)에는 평균 9.3초로 상승하고, 낮 시간대(09시‑12시)에는 6.9초 수준으로 낮았다. 전공별 차이도 뚜렷했는데, 인문·사회계열보다 공학·과학계열 학생이 평균 0.8초 빠른 응답을 보였다. 학년별로는 신입생보다 고학년이 약 1초 정도 빠르게 인증을 완료했으며, 이는 Duo 사용 경험 축적에 기인한 것으로 해석된다.

실패율은 두 가지 관점에서 제시된다. 로그 기반으로는 Duo 푸시 알림이 전송된 후 ‘Approve/Deny’가 기록되지 않은 경우를 4.35%로 정의하였다. 설문 응답자 중 43.86%는 최소 한 번 이상의 로그인 실패를 경험했으며, 주요 원인으로는 푸시 알림 미수신, 네트워크 지연, 기기 교체 후 재등록 실패 등이 보고되었다.

SUS 점수는 평균 70점으로, ‘Good’ 수준에 해당한다. 개별 항목을 살펴보면 ‘시스템 사용이 쉽다’(Q3)와 ‘대부분의 사용자가 빠르게 배울 수 있다’(Q7)에서 높은 점수를 받았으나, ‘시스템이 불필요하게 복잡하다’(Q2)와 ‘시스템이 번거롭다’(Q8)에서도 부정적인 응답이 다소 섞여, 사용자는 편리함과 동시에 성가심을 동시에 느끼는 양면성을 보였다.

연구의 제한점으로는 (1) 푸시 외에 OTP 기반 2FA 사용자를 충분히 분석하지 못한 점, (2) 설문 응답률이 7.1%에 불과해 표본 편향 가능성, (3) 로그 데이터에서 사용자 ID가 누락된 49,942건을 제외함으로써 전체 실패율을 과소평가했을 가능성 등을 제시한다. 향후 연구에서는 다양한 2FA 방식 간 비교, 장애인 접근성 평가, 그리고 실시간 알림 최적화 알고리즘 적용 효과 등을 탐색할 필요가 있다.

전반적으로 이 연구는 Duo와 같은 상용 MFA 솔루션이 실제 조직 내에서 ‘보안 강화’라는 목표를 달성하면서도 ‘사용자 경험’ 측면에서 어느 정도 수용 가능함을 실증한다. 특히 평균 8초라는 짧은 지연시간은 대부분의 업무 흐름에 큰 영향을 주지 않으며, SUS 70점은 기업·교육기관이 MFA 도입 시 사용자 저항을 최소화할 수 있는 근거 자료가 된다.