빠른 링크
이중 인증(2FA)은 온라인 계정의 보안을 크게 향상시킵니다. 그러나 모든 구현 방식이 동일하게 강력하지는 않습니다. 많은 사람들이 SMS 기반 2FA를 안전한 옵션으로 여긴다는 점에서, 이 방법은 실제로 여러 취약점이 있습니다. 이것이 제가 SMS를 이용하는 2FA에서 벗어나 대안적인 방법을 채택하게 된 이유입니다.
SIM 교환으로 해커가 휴대폰 번호를 도용할 수 있습니다
SMS 기반의 이중 인증(2FA)을 사용하면서 가장 심각한 취약점 중 하저는 SIM 교체입니다. 악의적인 행위자가 모바일 서비스 제공업체를 속여 피해자의 휴대폰 번호를 자신의 SIM 카드로 옮기는 것을 말합니다. 이 교환이 이루어지면, 공격자는 해당 번호로 전송되는 모든 SMS 통신을 가로챌 수 있습니다.
이 과정은 다음과 같습니다: 악의적인 행위자가 피해자의 주소나 사회 보장번호의 마지막 4자리를 포함한 개인 정보를 이용해 모바일 서비스 제공업체와 접촉하여 휴대폰 번호를 자신의 SIM 카드로 이동시킵니다. 성공적으로 이동되면 공격자는 해당 번호로 전송되는 모든 텍스트 메시지, 특히 계정 보안을 위한 2FA 코드에 접근할 수 있습니다.
이러한 위험은 여기서 끝나지 않습니다. 많은 사람들이 자신의 휴대폰 번호를 이메일, 소셜 미디어 플랫폼 및 금융 애플리케이션과 연결합니다. 성공적인 SIM 교환을 통해 공격자는 피해자의 휴대폰 번호와 연관된 여러 계정에 비인가 접근할 수 있습니다. 이메일부터 은행 앱까지 다양한 서비스에 대한 보안 위험을 이해하고 피하는 방법에 대해 더 자세히 알아보려면, 우리의 이전 가이드를 참조하시기 바랍니다.
SMS 메시지가 중간에 가로챌 수 있습니다
tete_escape/Shutterstock
SIM 교환을 방지하더라도, SMS 통신은 여전히 네트워크를 통해 전송되는 과정에서 발생하는 취약점으로 인해 안전하지 않습니다. 이러한 네트워크는 시그널링 시스템 No. 7 (SS7)과 같은 전 세계적인 통신 프로토콜을 이용하여 호출 및 메시지를 제공업체 간에 라우팅합니다. 이 취약점을 악용하면, 공격자는 실제 기기 접근 없이도 SMS 메시지들을 가로챌 수 있습니다.
이는 단순히 이론적 위험만은 아닙니다. SIM 카드 해킹은 잘 문서화된 위협으로 알려져 있으며, 사이버 범죄자와 특정 국가 지원 조직들이 SS7 취약점을 이용해 통신 감청 및 민감한 데이터 탈취를 수행했습니다. SMS는 암호화가 없기 때문에 메시지 내용, 특히 일회용 패스코드도 전송 중에 노출될 수 있습니다.
통신이 위험에 처할 수 있는 또 다른 방법은 기기에 악의적인 애플리케이션이나 스파이웨어가 설치되어 있을 때입니다. 이러한 소프트웨어는 들어오는 SMS 메시지를 비밀스럽게 감지하고, 2FA 코드를 무단으로 전송하여 사용자의 인식 없이 보안을 위협할 수 있습니다.
SMS는 휴대폰 번호와 연결되어 있습니다
DenPhotos / Shutterstock
SMS 기반의 이중 인증(2FA)은 사용자의 휴대폰 번호와 모바일 서비스 제공업체에 의존합니다. 인증 코드를 받는 효율성은 활성화된 모바일 네트워크 커버리지가 필요하며, 불안정한 통신 지역에서는 Wi-Fi 연결이 있어도 이 방법이 효과적이지 않습니다. 다른 인증 메커니즘과 달리 SMS 기반 2FA는 일관된 셀룰러 신호를 요구합니다.
SMS로 계정 확인에 의존하면, 네트워크 커버리지가 불안정한 지역에서 즉각적인 계정 접근이 필요할 때 보안 위험이 발생할 수 있습니다. 원격 지역이나 도시 내에서도 약화된 신호를 겪는 경우, SMS보다 다른 방법들이 더 안전하다는 것을 알 수 있습니다.
대신 사용하는 방법: 인증 앱
tete_escape/Shutterstock
SMS를 이용하는 이중 인증(2FA) 대신, 저는 Google Authenticator, Microsoft Authenticator 및 Authy와 같은 2FA 인증 앱을 사용하고 있습니다. 이러한 앱은 기기 자체에서 시간 기반 일회용 비밀번호(TOTP)를 생성하여 SMS보다 훨씬 안전하고 신뢰할 수 있는 방법을 제공합니다.
인증 앱의 주요 장점 중 하저는 보안 기능이 강화되어 있다는 점입니다. 인증 앱은 메시지 전송 중에 가로채이는 위험 없이 직접 기기에서 인증 코드를 생성하므로, SMS 기반 인증 방법보다 훨씬 안전합니다. 또한 여러 계층의 보호 기능을 제공하며, 많은 앱들은 사용자가 비밀번호 또는 지문 및 얼굴 인식과 같은 생체인식 방식으로 인증해야 하는 경우가 있습니다.
인증 앱을 사용하는 또 다른 큰 장점은 오프라인에서도 작동한다는 점입니다. 인증 코드는 기기 자체에서 생성되므로, 활성화된 인터넷 또는 셀룰러 연결이 필요하지 않습니다. 따라서 원격 지역이나 실내에서 신호가 약한 경우에도, 기기가 있으면 보안 코드에 접근할 수 있습니다.
Authy를 다른 인증 앱보다 선호하는 이유는 클라우드 백업을 제공하기 때문입니다. 이로 인해 기기를 잃어버렸을 때 계정 복구가 간편하게 이루어질 수 있습니다. 또한 Authy는 이러한 백업을 암호화하여, 오직 제가 접근할 수 있도록 보장합니다. Google Authenticator도 매우 권장되는 대안입니다. 두 플랫폼 모두 무료이며 널리 호환되며 설정이 쉽습니다.
인증 앱 사용은 상당히 간단합니다. 초기 설정 후 웹사이트에서 제공하는 QR 코드를 스캔하면, 각 로그인 시도마다 앱을 열어 고유한 코드를 확인할 수 있습니다. 이러한 코드는 30초마다 동적으로 업데이트되므로, 가로채이는 코드가 곧 무용지물이 됩니다.
이중 인증은 계정 보안 유지에 필수적이지만, 방법 선택도 중요합니다. SMS 기반 이중 인증은 편리해 보일 수 있지만, SIM 카드 교환 및 중간자 공격과 같은 취약점뿐만 아니라 불안정한 셀룰러 커버리지와 같은 실질적인 문제로 인해 신뢰할 만하지 않습니다. 이러한 위험으로 인해 SMS는 온라인 보안을 확보하는 데 적합하지 않은 방법입니다.