"SMS 메시지 통한 2단계 인증 방식, 보안 위험 높아" NIST 새 권고안

IDG News Service
SMS 메시지를 통한 2단계 인증이 과거의 유물이 될까? 미국 연방 기관이 IT 업체를 상대로 2단계 인증 사용 중단을 권고했다.

미국 표준기술연구원(The National Institute of Standards and Technology)는 월요일 업데이트된 디지털 인증 권고안 초안에서 SMS 메시지를 통한 2단계 인증 방식은 해커가 도중에 가로채거나 리다이렉트할 수 있어 보안에 취약하다고 말했다.

트위터, 페이스북, 구글, 많은 금융 회사 등이 휴대폰 기반 문자 메시지를 사용자 계정에 추가해 보안에 활용하고 있는 상황이다.

문자 메시지 기반 2단계 인증은 계정에 로그인하거나 거래를 진행할 때 일반적인 비밀번호뿐 아니라 웹 사이트에서 사용자 휴대폰 번호로 전송한 숫자를 입력하는 방식으로 이뤄진다. 일회성 비밀번호가 목적지에 정확히 도달해서 타인에게 노출되지 않는 것이 이상적이다.

그러나 해커의 공격을 피하기는 어렵다. 과거에는 맬웨어로 스마트폰을 감염시키고 SMS 메시지를 다른 기기나 특정 URL에 전송하는 방법이 사용됐다. 사용자 본인인 척 속이고 통신 업체가 다른 휴대폰 번호로 메시지를 발신하도록 하는 방법도 있다.

미국 표준기술연구원은 인터넷 전화(VoIP) 등 소프트웨어 기반 서비스에 연결된 휴대전화번호도 해킹에 취약하다며, IT 업계가 더 안전한 대안을 강구해야 한다고 밝혔다. 보안이 강화된 스마트폰 앱으로 일회용 비밀번호를 전송하는 방안도 포함된다.

예를 들어, 구글은 이미 구글 어센티케이터 앱으로 휴대폰 네트워크를 우회하고 스마트폰에 직접 코드를 생성하는 기능을 제공하고 있다.

미국 정부기관의 권고를 IT 업체들이 어떻게 받아들일지는 확실하지 않지만, 사이버보안 업체들은 지문 인식, 하드웨어 토큰 등 다양한 방식을 통해 더 개선된 보안 인증 방식을 도입하고 있다.

시큐어오스(SecureAuth)의 CTO 케이스 그레이엄은 미국 표준기술연구원의 제안을 긍정적으로 받아들였다. 시큐어오스는 해커들이 인증용 비밀번호를 담은 문자 메시지를 타깃으로 한다는 점을 포착하고 다중 인증 방식을 집중 개발하고 있다. 그레이엄은 이메일을 통해 “2단계 인증만으로는 더 이상 안전하지 않다”고 말했다.

그러나 SMS 인증 방식은 여전히 매우 인기 높은 선택이다. 모바일 네트워크 보안 업체 하우드(HAUD) CTO 케빈 팬저베키아는 “편재성 면에서 SMS 인증 방식을 따라가기는 어렵다”고 말했다. 또, 모바일 네트워크 방화벽으로 오용 가능성을 막고 보안 취약점을 수정할 수 있다고 덧붙였다. editor@itworld.co.kr