SMS 로그인 인증은 매우 위험합니다. 대안은 무엇입니까?

야후에 따르면, SMS를 통해 전송되는 일회용 인증 코드(OTP)는 여전히 2단계 인증 과정에서 두 번째 보호 계층으로 널리 사용되고 있으며, 사용자가 뱅킹, 이메일 또는 소셜 네트워킹 애플리케이션에 로그인하는 데 도움이 됩니다.

그러나 야후는 SMS가 피싱 공격에 매우 취약하기 때문에 가장 취약한 보안 방법 중 하나라고 경고합니다.

블룸버그 비즈니스위크와 라이트하우스 리포트의 최근 조사에 따르면 더 큰 위험이 드러났습니다. 바로 제3자가 이러한 OTP에 접근할 수 있다는 것입니다. 특히, 잘 알려지지 않은 스위스 통신 회사인 핑크 텔레콤 서비스(Fink Telecom Services)는 2023년 6월, 2단계 인증 코드가 포함된 100만 건 이상의 메시지에 접근했습니다.

인증 코드 생성 회사와 최종 사용자 사이의 중개자로서 Fink Telecom Services는 메시지 내용을 처리하고 열람할 권리를 가지고 있습니다. 우려되는 점은 이 회사가 사용자 감시에 가담하고 개인 계정을 침해했다는 의심을 받고 있다는 것입니다.

유출된 OTP는 구글, 메타, 아마존, 틴더, 스냅챗, 바이낸스, 시그널, 왓츠앱 등 주요 기업과 여러 유럽 은행에서 유출되었습니다. 해당 메시지는 100개국 이상의 사용자에게 전송되었습니다.

야후에 따르면, SMS 2단계 인증이 안전하지 않은 주된 이유는 기업들이 여러 통신사와의 대규모 계약과 국가 간 연결에 사용되는 네트워크 주소인 "글로벌 타이틀" 시스템을 통해 SMS 발송을 더 저렴한 비용으로 아웃소싱하는 경우가 많기 때문입니다. 이 시스템의 약점은 이러한 시스템을 사용하는 기업들이 핑크 텔레콤 서비스와 같은 기업과 직접 협력하지 않고 여러 하청업체를 통해 일하기 때문에 데이터 보안을 보장하기가 더 복잡해진다는 것입니다.

Wischain Company Limited의 설립자인 Pham Manh Cuong 씨는 SMS 메시지를 통한 2단계 인증 방식은 오늘날 더 이상 안전하지 않다고 설명했습니다. 사이버 공격자들이 점점 더 정교해지고 있으며 보안 시스템의 취약점을 쉽게 악용하여 침입하고 있기 때문입니다.

가장 흔한 피싱 공격 유형 중 하나는 겉보기에 신뢰할 수 있는 메시지, 이메일 또는 웹사이트를 이용해 사용자를 속여 사용자 이름, 비밀번호 또는 OTP 코드와 같은 민감한 정보를 제공하도록 하는 것입니다.

뿐만 아니라, SIM 스와핑 또한 심각한 위협입니다. 사기꾼은 피해자의 전화번호를 훔쳐 SMS로 인증 코드를 받을 수 있습니다.

게다가 많은 사용자는 특히 안드로이드 기기에서 출처가 불분명한 소프트웨어를 설치하는 습관이 있는데, 이로 인해 키보드 입력 내용을 비밀리에 녹음하거나 접근 정보를 훔칠 수 있는 스파이웨어나 키로거가 설치됩니다.

SMS 인증은 여전히 ​​Google Authenticator(30초마다 바뀌는 무작위 인증 코드를 생성하고 모바일 네트워크에 의존하지 않는 애플리케이션)와 같은 최신 방식에 비해 일정 수준의 보호 수단으로 여겨지지만, SMS는 점점 더 약점을 드러내고 있습니다.

출처: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm