SMS 로그인 인증은 매우 위험합니다. 대안은 무엇입니까?

야후에 따르면, SMS를 통해 전송되는 일회용 인증 코드(OTP)는 여전히 2단계 인증 과정에서 두 번째 보호 계층으로 널리 사용되고 있으며, 사용자가 뱅킹, 이메일 또는 소셜 네트워킹 애플리케이션에 로그인하는 데 도움이 됩니다.

그러나 야후는 SMS가 피싱 공격에 매우 취약하기 때문에 가장 취약한 보안 방법 중 하나라고 경고합니다.

블룸버그 비즈니스위크와 라이트하우스 리포트의 최근 조사에 따르면 더 큰 위험이 드러났습니다. 바로 제3자가 이러한 OTP 코드에 접근할 수 있다는 것입니다. 특히, 잘 알려지지 않은 스위스 통신사 핑크 텔레콤 서비스(Fink Telecom Services)는 2023년 6월, 이중 인증 코드가 포함된 100만 건 이상의 메시지에 접근했습니다.

인증 코드를 생성하는 회사와 최종 사용자 사이의 중개자로서 Fink Telecom Services는 메시지 내용을 처리하고 열람할 권리를 갖습니다. 우려되는 점은 이 회사가 사용자 모니터링 활동에 참여하고 개인 계정을 침해했다는 의심을 받고 있다는 것입니다.

유출된 OTP 코드는 Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp 등 여러 대기업과 유럽의 여러 은행에서 유출되었습니다. 해당 메시지는 100개국 이상의 사용자에게 전송되었습니다.

야후에 따르면, SMS 2단계 인증이 안전하지 않은 주된 이유는 기업들이 여러 통신사와의 대규모 계약과 국가 간 연결에 사용되는 네트워크 주소인 "글로벌 타이틀" 시스템을 통해 더 저렴한 비용으로 SMS 메시지를 전송하기 위해 중개업체를 고용하는 경우가 많기 때문입니다. 이 시스템의 약점은 중개업체가 핑크 텔레콤 서비스와 같은 사업부와 직접 협력하지 않고 여러 하청업체를 통해 협력하기 때문에 데이터 보안을 보장하기가 더 복잡해진다는 것입니다.

Wischain Company Limited의 창립자인 Pham Manh Cuong 씨는 SMS 메시지를 통한 2단계 인증 방식은 오늘날 더 이상 안전하지 않다고 설명했습니다. 사이버 공격자들이 점점 더 정교해지고 있으며, 보안 시스템의 취약점을 쉽게 악용하여 침입하고 있기 때문입니다.

가장 흔한 피싱 공격 형태 중 하나는 겉보기에 신뢰할 수 있는 메시지, 이메일 또는 웹사이트를 이용해 사용자를 속여 사용자 이름, 비밀번호 또는 OTP 코드와 같은 민감한 정보를 제공하도록 하는 것입니다.

뿐만 아니라, SIM 스와핑 또한 심각한 위협입니다. 사기꾼은 피해자의 전화번호를 훔쳐 SMS로 인증 코드를 받을 수 있습니다.

또한 많은 사용자는 특히 안드로이드 기기에서 출처가 불분명한 소프트웨어를 설치하는 습관이 있는데, 이로 인해 키보드 입력 내용을 비밀리에 녹음하거나 접근 정보를 훔칠 수 있는 스파이웨어나 키로거가 설치됩니다.

SMS 인증은 여전히 ​​특정 계층의 보호 수단으로 여겨지지만, 30초마다 바뀌는 무작위 인증 코드를 생성하고 모바일 네트워크와 독립적인 애플리케이션인 Google Authenticator와 같은 최신 방식과 비교하면 SMS는 점점 더 취약성을 드러내고 있습니다.

출처: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm