CRA 다단계 인증(MFA) 설정법 완벽 가이드 — 한국어로 처음부터 끝까지 캐나다 세금환급

"어? CRA My Account에 로그인이 안 되는데요?"

2026년 세금 시즌이 시작되면서, 한인 커뮤니티 카톡방에 매일 올라오는 질문이 있습니다.

"CRA My Account에 로그인하려는데 갑자기 인증 코드를 입력하라고 해요. 이게 뭔가요?"
"문자가 안 오는데 어떻게 해야 하나요?"
"한국 번호밖에 없는데 MFA 설정이 가능한가요?"

이 모든 질문의 답은 하나입니다: CRA가 2024년부터 단계적으로 적용해 온 MFA(Multi-Factor Authentication, 다단계 인증)가 이제 모든 사용자에게 필수가 되었습니다. 설정하지 않으면 세금 신고 확인, 환급금 조회, NOA(Notice of Assessment) 다운로드 등 My Account의 모든 기능을 사용할 수 없습니다.

이 글에서는 CRA MFA가 무엇인지, 왜 갑자기 강제 적용되었는지, 그리고 영어가 익숙하지 않은 분도 처음부터 끝까지 따라 할 수 있도록 설정 과정을 한국어로 완벽하게 안내합니다.

MFA란 무엇인가 — 30초 핵심 설명

● 일상에서 이미 쓰고 있습니다

MFA(Multi-Factor Authentication)는 로그인 시 비밀번호 외에 추가 인증 수단을 요구하는 보안 방식입니다. 이미 우리가 매일 사용하고 있습니다:

• 한국 은행 앱: 비밀번호 + 지문 인증
• 구글 계정: 비밀번호 + 휴대폰 인증 코드
• 카카오톡: 비밀번호 + 다른 기기 인증

CRA도 같은 원리입니다. 아이디/비밀번호로 로그인한 뒤, 추가로 인증 코드(6자리 숫자)를 입력해야 My Account에 접근할 수 있습니다.

● CRA가 제공하는 3가지 인증 방식

인증 방식	작동 원리	추천도
📱 SMS 문자 인증	등록된 핸드폰 번호로 6자리 인증 코드 문자 수신	⭐⭐⭐
📧 이메일 인증	등록된 이메일 주소로 6자리 인증 코드 발송	⭐⭐
🔐 인증 앱 (Authenticator App)	Google Authenticator, Microsoft Authenticator 등 앱에서 실시간 코드 생성	⭐⭐⭐⭐⭐

추천: 인증 앱(Authenticator App) 방식을 강력히 추천합니다. SMS는 해외에서 문자가 안 올 수 있고, 이메일은 해킹 위험이 있습니다. 인증 앱은 인터넷 없이도 코드가 생성되고, 가장 안전합니다.

왜 CRA는 MFA를 강제하게 되었나?

● 2020~2023년, 대규모 해킹 사건

CRA가 MFA를 서두르게 된 결정적인 계기가 있습니다. 2020년 여름, 약 11,200개의 CRA 계정이 해킹당하는 대규모 보안 사고가 발생했습니다. 해커들은 다른 사이트에서 유출된 비밀번호를 CRA에 그대로 입력하여(credential stuffing) 수천 명의 My Account에 접속, 직접 입금(Direct Deposit) 계좌 정보를 변경하여 세금 환급금을 가로챘습니다.

이후에도 유사한 사고가 반복되면서, CRA는 2024년부터 MFA를 단계적으로 도입하기 시작했고, 2025년 하반기부터는 모든 My Account, My Business Account, Represent a Client 사용자에게 MFA를 의무화했습니다.

● MFA를 설정하지 않으면 어떻게 되나?

상황	결과
MFA 미설정 상태로 로그인 시도	MFA 설정 화면으로 강제 이동, 설정 완료 전까지 My Account 접근 불가
MFA 설정 중 오류 발생	로그아웃 후 처음부터 다시 설정 필요
등록된 전화번호 변경/분실	CRA 전화(1-800-959-8281)로 본인 인증 후 MFA 초기화 요청 필요 (대기 시간 30분~2시간)
세금 시즌에 MFA 문제로 접근 불가	NOA 확인, 환급금 추적, 직접 입금 정보 변경 모두 불가 → 세금 신고 일정에 차질

 

CRA MFA 설정 — 완전 단계별 가이드

아래는 가장 추천하는 인증 앱(Authenticator App) 방식을 기준으로 설명합니다. SMS나 이메일 방식을 원하시면 같은 화면에서 해당 옵션을 선택하면 됩니다.

📋 사전 준비물

• CRA My Account 아이디와 비밀번호 (또는 은행 로그인 — Sign-in Partner)
• 스마트폰에 설치된 인증 앱 (추천: Google Authenticator 또는 Microsoft Authenticator)
• 안정적인 인터넷 환경 (와이파이 권장)

Step 1: CRA My Account에 로그인합니다

방법 A — CRA 아이디로 로그인: CRA My Account 페이지에 접속 → 'CRA sign in' 클릭 → CRA user ID와 비밀번호 입력.

방법 B — 은행 로그인(Sign-in Partner): 같은 페이지에서 'Sign-in Partner' 클릭 → 본인 거래 은행(TD, RBC, Scotiabank, BMO 등) 선택 → 은행 앱/웹 로그인으로 본인 인증.

꿀팁: Sign-in Partner(은행 로그인) 방식을 추천합니다. CRA 아이디/비밀번호를 따로 기억할 필요 없고, 은행 자체의 보안 인증까지 거치므로 더 안전합니다.

Step 2: MFA 설정 화면이 자동으로 나타납니다

로그인 직후, "Set up multi-factor authentication" 또는 "Protect your account"라는 제목의 화면이 나타납니다. 이 화면은 MFA를 아직 설정하지 않은 경우 자동으로 표시되며, 건너뛸 수 없습니다.

화면에서 3가지 옵션이 보입니다:

1. Authenticator app ← 이것을 선택합니다
2. Phone (SMS)
3. Email

Step 3: 인증 앱에서 QR 코드를 스캔합니다

'Authenticator app'을 선택하면, 화면에 QR 코드(사각형 바코드 모양)가 표시됩니다.

1. 스마트폰에서 Google Authenticator(또는 Microsoft Authenticator) 앱을 엽니다
2. 앱 하단의 '+' 버튼을 탭합니다
3. 'Scan a QR code'를 선택합니다
4. 컴퓨터 화면에 표시된 QR 코드를 스마트폰 카메라로 스캔합니다
5. 스캔이 완료되면, 앱에 "CRA / Canada Revenue Agency"라는 이름으로 계정이 추가되고, 6자리 숫자 코드가 표시됩니다

중요: 이 6자리 코드는 30초마다 자동으로 변경됩니다. 코드가 거의 만료될 타이밍이면(숫자 옆 타이머가 빨간색), 잠시 기다렸다가 새 코드가 나오면 입력하세요.

Step 4: 인증 코드를 입력합니다

CRA 화면에 "Enter the code from your authenticator app"이라는 입력란이 보입니다. 앱에 표시된 6자리 숫자를 입력하고 'Next'를 클릭합니다.

Step 5: 백업 인증 수단을 설정합니다 (매우 중요!)

인증 앱 설정 후, CRA는 백업 인증 수단을 하나 더 등록하라고 요청합니다. 이것은 만약 스마트폰을 분실하거나 앱을 삭제했을 때를 대비한 것입니다.

추천 순서:

1. SMS (전화번호) — 캐나다 핸드폰 번호를 입력하면 문자로 코드를 받을 수 있습니다
2. 이메일 — SMS가 안 되면 이메일을 백업으로 등록합니다

Step 6: 복구 코드(Recovery Codes)를 저장합니다

설정 완료 후, CRA는 일회용 복구 코드(Recovery Codes) 여러 개를 제공합니다. 이 코드는 반드시 안전한 곳에 저장하세요.

복구 코드 보관 방법 (추천):
✅ 종이에 적어서 여권이나 중요 서류와 함께 보관
✅ 비밀번호 관리 앱(1Password, Bitwarden 등)에 저장
✅ 암호화된 메모(Apple Notes의 잠금 메모, Samsung Secure Folder 등)에 저장
❌ 카카오톡 나에게 보내기나 일반 메모장에는 저장하지 마세요

Step 7: 설정 완료 — My Account 접속 확인

모든 설정이 끝나면 "Multi-factor authentication is set up" 또는 유사한 확인 메시지가 표시되며, My Account 대시보드로 이동합니다. 축하합니다! 이제 다음 로그인부터는 비밀번호 입력 후 인증 앱의 코드만 추가로 입력하면 됩니다.

한인이 자주 겪는 MFA 문제 5가지와 해결법

문제 1: "한국 번호로 SMS 인증이 안 돼요"

원인: CRA의 SMS 인증은 캐나다(+1) 또는 미국(+1) 전화번호만 지원합니다. 한국 번호(+82)로는 SMS를 받을 수 없습니다.

해결: SMS 대신 인증 앱(Authenticator App)을 사용하세요. 인증 앱은 전화번호와 무관하게 작동합니다. 또는 캐나다에서 사용하는 번호가 있다면 그 번호를 등록하세요.

문제 2: "스마트폰을 바꿨는데 인증 앱이 없어졌어요"

원인: Google Authenticator는 기본적으로 기기에 종속됩니다. 폰을 바꾸면 인증 정보가 사라집니다.

해결 (사전 예방): Google Authenticator 앱 설정 → '계정 내보내기(Transfer accounts)' → 새 폰으로 이전. 또는 설정 시 제공된 복구 코드를 사용하여 로그인 후 MFA를 재설정합니다.

해결 (이미 잠긴 경우): CRA 전화 1-800-959-8281로 연락하여 본인 확인 후 MFA 초기화를 요청합니다. SIN 번호, 생년월일, 주소, 최근 NOA 정보를 준비하세요.

문제 3: "인증 코드를 넣었는데 'Invalid code'라고 나와요"

원인: 대부분 시간 동기화 문제입니다. 스마트폰의 시간이 정확하지 않으면 코드가 맞지 않습니다.

해결:

• iPhone: 설정 → 일반 → 날짜 및 시간 → '자동으로 설정' 활성화
• Android: 설정 → 시스템 → 날짜 및 시간 → '네트워크에서 제공한 시간 사용' 활성화
• Google Authenticator 앱: 우측 상단 메뉴(⋮) → 설정 → '코드 시간 보정(Time correction for codes)' → '지금 동기화(Sync now)' 탭

문제 4: "QR 코드가 스캔이 안 돼요"

원인: 화면 밝기가 낮거나, 카메라가 흐릿하거나, 모니터 해상도 문제.

해결:

• 컴퓨터 화면 밝기를 최대로 올리세요
• 스마트폰을 QR 코드에서 15~20cm 거리에 놓고 안정적으로 잡으세요
• 그래도 안 되면 QR 코드 아래의 "Can't scan? Enter code manually" 링크를 클릭하여, 영숫자 코드를 수동으로 입력할 수 있습니다

문제 5: "세무사한테 CRA 접근 권한을 줬는데, 세무사도 MFA를 설정해야 하나요?"

답변: 네. 세무사가 'Represent a Client' 서비스를 사용하는 경우, 세무사 계정에도 MFA가 필수입니다. 하지만 당신의 MFA와는 별개입니다. 세무사의 MFA가 당신의 My Account에 영향을 주지 않으며, 각자 별도로 설정합니다.

 

MFA는 한 번만 설정하면 됩니다 — 하지만 이것만은 기억하세요

● Do's ✅

• 인증 앱 사용: SMS보다 안전하고 해외에서도 작동합니다
• 복구 코드 안전 보관: 스마트폰 분실 시 유일한 복구 수단입니다
• 백업 인증 수단 등록: 인증 앱 + SMS 또는 이메일, 최소 2가지를 등록하세요
• 폰 교체 시 사전 이전: 새 폰으로 바꾸기 전에 반드시 인증 앱의 계정을 이전하세요
• 세금 시즌 전에 미리 설정: 2~4월은 CRA 전화 대기 시간이 길어집니다. 미리 설정해 두세요

● Don'ts ❌

• 복구 코드를 카톡에 저장하지 마세요: 카톡 계정이 해킹되면 복구 코드도 유출됩니다
• 타인에게 인증 코드를 알려주지 마세요: CRA 직원은 절대로 전화로 인증 코드를 요구하지 않습니다. 요구하면 100% 사기입니다
• 공용 컴퓨터에서 CRA에 로그인하지 마세요: 도서관, PC방 등에서는 키보드 로거(keylogger) 위험이 있습니다
• "Remember this device" 옵션을 공유 기기에서 사용하지 마세요: 개인 기기에서만 사용하세요

 

자주 묻는 질문 (FAQ)

Q1. MFA를 설정하면 매번 로그인할 때마다 코드를 넣어야 하나요?

기본적으로 매번 코드를 입력해야 합니다. 하지만 CRA는 "Remember this device for 30 days"(이 기기 30일간 기억) 옵션을 제공할 수 있습니다. 이 옵션을 선택하면 같은 컴퓨터/브라우저에서는 30일간 코드 입력 없이 로그인할 수 있습니다. 단, 개인 기기에서만 사용하세요.

Q2. My Business Account에도 MFA가 필요한가요?

네. CRA My Account(개인), My Business Account(사업자), Represent a Client(세무 대리인) — 세 서비스 모두 MFA가 필수입니다.

Q3. CRA가 전화로 MFA 인증 코드를 물어보면 어떻게 하나요?

절대로 알려주지 마세요. CRA 직원은 전화로 인증 코드를 요구하지 않습니다. 이것은 100% 사기(scam)입니다. 전화를 끊고 CRA 공식 번호 1-800-959-8281로 직접 전화하여 확인하세요.

Q4. Google Authenticator와 Microsoft Authenticator 중 어느 것이 좋나요?

둘 다 잘 작동합니다. 차이점은:

기능	Google Authenticator	Microsoft Authenticator
클라우드 백업	✅ (Google 계정)	✅ (Microsoft 계정)
기기 이전 용이성	⭐⭐⭐	⭐⭐⭐⭐
UI 편의성	심플	더 많은 기능
다른 MS 서비스 연동	❌	✅ (Outlook, Teams 등)

추천: 이미 Gmail을 쓰고 있다면 Google Authenticator, Outlook이나 Microsoft 365를 쓰고 있다면 Microsoft Authenticator.

Q5. 패밀리 세무사가 대신 MFA를 설정해 줄 수 있나요?

아닙니다. MFA는 계정 소유자 본인만 설정할 수 있습니다. 세무사에게 아이디와 비밀번호를 알려줘도, MFA 코드는 본인의 기기에서만 생성됩니다. 세무사에게 CRA 접근 권한을 주려면 'Authorize a representative' 기능을 사용하세요.

 

CRA 사기(Scam) 구별법 — MFA 관련 사기가 급증하고 있습니다

MFA가 의무화되면서, 이를 악용한 사기가 증가하고 있습니다. 아래 표를 참고하여 CRA를 사칭하는 사기를 식별하세요.

CRA 사기의 특징 ❌	진짜 CRA ✅
전화로 MFA 인증 코드를 요구	절대 전화로 코드를 요구하지 않음
문자로 링크를 보내 로그인을 유도	문자에 로그인 링크를 보내지 않음
"지금 즉시 설정하지 않으면 계정 삭제" 협박	위협적인 표현을 사용하지 않음
Gift card, Bitcoin, 송금으로 벌금 납부 요구	정식 세금 고지서를 서면으로 발송
SIN 번호를 전화로 요구	본인이 먼저 전화한 경우에만 SIN 확인

기억하세요: CRA는 절대로 이메일, 문자, 전화로 MFA 인증 코드나 비밀번호를 요구하지 않습니다. 의심스러운 연락을 받으면 전화를 끊고, CRA 공식 번호 1-800-959-8281로 직접 확인하세요. 캐나다 사기 신고 센터(CAFC): 1-888-495-8501.

 

마무리: 5분 투자로 세금 환급금을 지키세요

CRA MFA 설정은 실제로 해보면 5분이면 끝납니다. 인증 앱을 다운로드하고, QR 코드를 스캔하고, 코드를 입력하면 끝. 한 번 설정하면 매년 세금 시즌마다 안전하게 My Account에 접속할 수 있습니다.

하지만 이 5분을 미루면, 세금 시즌에 CRA 전화 대기 30분~2시간, 최악의 경우 환급금 도난까지 — 그 "나중에 해야지"가 몇 시간, 몇 천 달러의 비용으로 돌아올 수 있습니다.

이 글을 읽고 있는 지금이 가장 좋은 타이밍입니다. 스마트폰을 꺼내세요. Google Authenticator를 다운로드하세요. 그리고 CRA My Account에 로그인하세요. 5분 뒤면, 올해 세금 시즌의 가장 중요한 보안 과제를 완료한 것입니다.

주변에 캐나다에 사는 한국분이 계시다면, 이 글을 공유해 주세요. 특히 부모님 세대처럼 영어 화면에 익숙하지 않은 분들에게 큰 도움이 될 수 있습니다.