대부분의 솔로 개발자한테 현실적인 재앙은 정교한 공격자가 아니야. 택시에 폰 두고 내리는 거지. 폰에는:
- 네가 쓰는 모든 dashboard 에 cached web session.
- 집, 사무실, 사이드 프로젝트 서버에 full mesh 접근 가능한 Tailscale node key.
- 1Password / Bitwarden vault — 보통 최근에 unlock 됐거나 biometric quick-unlock.
- iSH 나 Termius 의 SSH key.
- 비밀번호 reset 주소가 열린 Gmail 탭.
모르는 사람이 폰을 주웠을 때 실제로 일어나는 일
| 단계 | naive 셋업 | layered 셋업 (이 퀘스트 끝나고) |
|---|---|---|
| 0–2분: 호기심 많은 finder 가 들춰봄 | 화면 unlock 돼 있으면 dashboard 다 봐 | dashboard 보이는데 — 앱 자체에 PIN |
| 2–10분: 악의적 finder, 잠금화면 살아있음 | 폰 PIN 시도; biometric 은 lockout 있을 수도 | 똑같음 |
| 10분–2시간: 어떻게든 unlock (PIN shoulder-surf, 약한 biometric) | full Tailscale + 모든 cached session | Tailscale 은 yes; PIN 걸린 앱은 no |
| 2–6시간: 알아채고 revoke | 이미 피해 발생 | 피해는 PIN 안 걸린 surface 로 한정 |
"폰 PIN 만 강하면 충분해" 가 희망사항인 이유
훌륭한 방어이긴 해 — 그런데 *단일* 방어야. 주워졌을 때 폰이 unlock 상태면 (방금까지 쓰고 있었거나, biometric 활성, 잠금화면 위젯이 너무 보여줘) 즉시 우회. 한 layer 가 무너졌을 때 layered auth 가 너를 살려.