2단계 인증에 SMS를 사용하면 안 되는 이유는 무엇이며, 대안은 무엇입니까?

2단계 인증(2FA)은 온라인 계정의 보안을 한층 강화해 주지만, 안타깝게도 모든 방법이 동일하게 만들어진 것은 아닙니다. 많은 사람들이 SMS 기반 2FA를 안전한 옵션으로 여기며 이를 사용합니다. 안타깝게도 SMS는 완벽한 방법이 아닙니다. 2FA에 SMS 사용을 중단해야 하는 이유와 대신 사용할 수 있는 방법은 다음과 같습니다.

SIM 스와핑으로 해커가 귀하의 전화번호를 훔칠 수 있습니다.

2FA에 SMS를 사용할 때 가장 놀라운 위험 중 하나는 SIM 스와핑입니다. 이는 공격자가 모바일 서비스 제공자를 속여 사용자의 전화번호를 새로운 SIM 카드로 이식하는 기술입니다. 그들이 귀하의 전화번호를 통제하게 되면 해당 번호로 전송되는 모든 SMS 메시지를 차단할 수 있습니다.

공격 방식은 다음과 같습니다. 공격자는 귀하인 척하여 귀하의 이동통신사에 연락합니다. 도난당한 개인 정보(주소나 사회보장번호 마지막 네 자리 숫자 등)를 이용해 통신사를 설득해 사용자의 전화번호를 자사 SIM 카드로 이식하게 합니다. 이러한 전환이 완료되면 공격자는 귀하의 계정을 보호하기 위한 2FA 코드를 포함하여 귀하의 번호로 전송된 문자 메시지를 가로채게 됩니다.

피해는 거기서 끝나지 않습니다. 우리 중 많은 사람이 이메일, 소셜 미디어, 뱅킹 앱 등 여러 계정에 전화번호를 연결합니다. 성공적인 SIM 교체를 통해 공격자는 이메일부터 뱅킹 앱까지 귀하의 휴대전화 번호와 연결된 여러 계정에 접근할 수 있습니다. Quantrimang.com의 이전 가이드에서는 SIM 카드 교체가 무엇이고, 이를 방지하는 방법에 대해 설명했으며 , 이를 통해 점점 흔해지는 이 사기를 피하는 데 도움이 될 수 있습니다.

SMS 메시지는 가로채질 수 있습니다

SIM 교체를 피하더라도 SMS 메시지 자체는 여전히 안전하지 않습니다. 이들은 쉽게 가로챌 수 있는 네트워크를 통해 이동합니다. 해커는 통신사가 통화와 메시지를 라우팅하는 데 사용하는 글로벌 통신 프로토콜인 신호 시스템 7(SS7)의 취약점을 악용할 수 있습니다. SS7을 악용하면 공격자는 사용자의 실제 휴대전화에 접근하지 않고도 SMS 메시지를 가로챌 수 있습니다.

이것은 단순한 이론이 아닙니다. SIM 해킹은 꽤 오래전부터 존재해 온 문제입니다. 사이버 범죄자들과 일부 국가 지원 단체들은 SS7 취약점을 이용해 통신을 감시하고 민감한 정보를 훔쳤습니다. SMS는 암호화되지 않으므로 일회용 비밀번호를 포함한 메시지 내용이 전송 중에 노출될 수 있습니다.

메시지가 손상될 수 있는 또 다른 방법은 기기에 악성 앱이나 스파이웨어가 설치되는 것입니다. 이러한 프로그램은 사용자의 동의 없이 수신 SMS 메시지를 모니터링하고 공격자에게 2FA 코드를 전달할 수 있습니다.

SMS는 귀하의 전화번호와 연결됩니다.

SMS 기반 2FA의 또 다른 중요한 단점은 전화번호에 의존한다는 것입니다. 코드를 수신하는 기능은 귀하의 모바일 서비스와 직접 연결됩니다. 신호가 약한 지역에 있다면, Wi-Fi를 사용하더라도 SMS 기반 2FA는 전혀 쓸모가 없습니다 . 인터넷 연결을 통해 작동할 수 있는 다른 인증 방법과 달리 SMS에는 안정적인 셀룰러 신호가 필요합니다.

이러한 종속성으로 인해 계정에 액세스해야 하지만 코드를 얻을 수 없는 상황에 빠질 수 있습니다. 원격지로 여행을 가거나 수신 상태가 좋지 않은 건물에 있는 경우, 이러한 제한으로 인해 SMS는 다른 방법보다 신뢰성이 떨어집니다.

대안: 인증 앱

2FA 인증을 위해 SMS에 의존하는 대신 2FA 인증 앱으로 전환하세요. Google Authenticator, Microsoft Authenticator, Authy와 같은 앱은 SMS에 비해 훨씬 더 안전하고 안정적인 대안을 제공하여 장치에서 직접 시간 제한이 있는 일회용 비밀번호(TOTP)를 생성합니다.

인증 앱의 첫 번째 큰 장점은 보안입니다. SMS와 달리 이러한 앱은 휴대폰에서 로컬로 코드를 생성하므로 가로채거나 악용될 수 있는 네트워크를 통해 전송되지 않습니다. 또한, 추가 보안 계층으로 보호됩니다. 많은 앱은 코드에 접근하기 위해 암호, 지문 또는 얼굴 스캔을 요구합니다.

사람들이 인증 앱을 선호하는 또 다른 이유는 오프라인 기능 때문입니다. 코드는 기기에서 직접 생성되므로 모바일 연결이 필요하지 않습니다. 서비스가 제공되지 않는 외딴 지역에 있든, 수신 상태가 좋지 않은 실내에 있더라도 장치만 있으면 코드에 접속할 수 있습니다.

사람들은 다른 인증 앱보다 Authy를 선호하는데, 그 이유는 클라우드 백업을 제공하여 휴대폰을 분실하더라도 계정을 쉽게 복구할 수 있기 때문입니다. 동시에 암호화를 통해 백업을 보호하여 오직 사용자만 접근할 수 있도록 보장합니다. Google Authenticator도 인기 있는 선택입니다. 두 옵션 모두 무료이며, 폭넓게 지원되고, 설정이 쉽습니다.

인증 앱을 사용하는 것은 매우 간단합니다. 일단 설정되면, 일반적으로 2FA 설정 과정에서 웹사이트에서 제공하는 QR 코드를 스캔하여 앱을 열기만 하면 로그인할 때마다 코드에 액세스할 수 있습니다. 코드는 30초마다 새로 고쳐지므로 누군가 코드를 훔쳐가더라도 즉시 쓸모가 없어집니다.

2단계 인증은 계정 보안을 유지하는 데 필수적이지만, 사용하는 방법이 중요합니다. SMS 기반 2FA는 편리해 보이지만 SIM 교체부터 가로채기 방법, 심지어 휴대폰 서비스 범위가 좁은 것과 같은 실질적인 문제까지 많은 취약점이 있습니다. 이러한 위험으로 인해 SMS는 온라인 보안을 보호하는 데 신뢰할 수 없는 수단이 됩니다.