GN⁺: 계정 로그인에 SMS 인증을 도입한 기업들, SIM 스왑 공격의 책임론 대두

 (keydiscussions.com)
1P by neo 6달전 | favorite | 댓글 1개

SMS 기반 계정 로그인을 채택한 기업들의 책임

  • SIM 스왑 공격이 계속되는 이유는 애플, 드롭박스, 페이팔, 블록, 구글 등 많은 기업들이 SMS를 비밀번호 재설정 및 계정 로그인에 사용하는 나쁜 아이디어를 채택했기 때문임.
  • SIM 스왑 공격은 범죄자가 통신사에게 피해자의 전화번호를 자신의 전화로 이동하도록 요청하고, 이를 통해 SMS로 계정 로그인 정보를 받아 돈과 민감한 정보를 훔치는 것임.
  • SIM 스왑 공격을 막는 방법은 간단함: 기업들은 SMS를 통한 로그인이나 비밀번호 재설정을 허용하지 말아야 하며, SMS 2FA를 제공할 경우에도 Authy나 Google Authenticator와 같은 더 안전한 옵션을 제공해야 함.

SMS 기반 인증의 문제점

  • SMS를 통한 인증은 고객의 보안을 위한 전반적인 방법으로 제공되지만, 이메일을 통한 인증과 같은 더 안전한 방법에 비해 편리함에도 불구하고 보안에는 취약함.
  • SMS로 고객에게 메시지를 보내는 것은 암호화되지 않은 우편엽서를 보내는 것과 같으며, SIM 스왑 공격에서처럼 누구나 우편함을 열어 메시지를 가로챌 수 있음.
  • SMS는 비밀번호 재설정에 최선의 옵션이 아니며, Authy나 이메일을 사용하는 것이 더 나은 2FA 옵션임.

기술 채택의 부정적인 면

  • 애플, 구글 등은 SMS를 통한 비밀번호 재설정 및 계정 로그인을 지원하는 기능을 도입함으로써 SMS의 역할을 강화함.
  • 클라우드 제공업체들은 SMS 코드를 제공하는 데 이익을 얻고 있으며, 이는 근본적으로 불완전한 기술을 안전한 솔루션으로 판매하는 것임.
  • 웰스파고, 캐시앱, 로빈후드, 슈왑, 페이팔, 뱅크오브아메리카 등 금융 서비스들도 SMS 재설정/계정 로그인 기능을 제공하고 있음.

고객들의 오해

  • 고객들은 SMS 재설정의 불완전한 성격을 이해하지 못하며, 이메일을 통한 재설정이나 Authy와 같은 2FA 앱을 통한 로그인 코드보다 편리함을 더 선호함.
  • 기술 회사들은 고객들을 보호하는 데 실패했으며, 소송과 입법을 통해 상황이 바뀌기를 기대함.

GN⁺의 의견

  • SMS 기반 인증은 편리함에도 불구하고 보안 취약점을 가지고 있어, 기업들은 더 안전한 인증 방법으로 전환해야 함.
  • SIM 스왑 공격은 예방 가능한 문제임에도 불구하고 계속 발생하고 있으며, 이는 기업들의 잘못된 기술 채택에 기인함.
  • 이 글은 기술 회사들이 고객의 보안을 우선시해야 하며, SMS 기반 인증 시스템을 폐기하고 더 안전한 인증 방법을 채택해야 한다는 중요한 메시지를 전달함으로써, 사용자와 업계 전문가들에게 통찰력을 제공함.
neo 6달전  [-]
Hacker News 의견

  • SMS 인증 코드의 불편함에 대한 불만

    • 이전에는 TOTP 코드를 1Password가 자동으로 채워주었지만, 이제는 SMS 인증으로 인해 국제 로밍 비용을 지불하거나 SMS 전달을 설정해야 함.
    • 전화번호를 모든 회사에 제공하는 대신 인증 앱을 SMS와 연동해야 한다는 주장.
    • 전화번호를 계정에 연결하는 것은 다음과 같은 이유로 나쁨: 전화 분실/도난, 국가 이동, SMS 공격, 전화번호 재사용, 유료 전화 플랜 유지 필요.

  • Payoneer의 SMS 문제에 대한 경험담

    • 아르헨티나 Movistar 사용자를 대상으로 한 Payoneer의 SMS 인증 문제가 있었으나, 해커뉴스에서 주목받지 못함.
    • 공격자가 Movistar 고객에게 2FA를 보내는 SMS 게이트웨이를 해킹하여 Payoneer 사용자의 이메일을 알아내고 비밀번호를 변경해 돈을 송금함.
    • 페이스북, 트위터 등도 같은 SMS 게이트웨이를 사용하여 비용을 절감하기 때문에 주의가 필요함.

  • 전화번호 분실 시 로그인 문제

    • 전화번호를 잃어버린 경우, 구글 계정에 로그인할 수 없는 문제가 발생함.

  • SMS 인증의 불편함과 TOTP의 편리함 비교

    • SMS 인증은 전화를 찾아야 하는 번거로움이 있으나, TOTP는 KeePassXC에 코드를 저장하여 더 편리함.

  • SMS 인증의 사용자 경험(UX)에 대한 찬성 의견

    • SMS 로그인과 계정 복구가 좋은 사용자 경험을 제공하며, 통신사가 보안을 강화해야 함.

  • Google Voice 번호 사용 제한에 대한 불만

    • 일부 회사들이 Google Voice 번호를 인증에 사용할 수 없다고 주장하거나 유효하지 않은 전화번호로 간주함.

  • SMS 인증의 필요성과 통신사의 역할

    • 일반 사용자에게 앱 설치를 요구하는 것은 큰 부담이며, SMS는 일반 사용자에게 유일한 실질적인 해결책임.
    • SIM 스와핑을 어렵게 만들어야 한다는 주장.

  • SMS 인증의 목적과 기업의 입장

    • SMS 인증은 계정 소유 증명과 비합법 사용자의 계정 생성 제한이라는 두 가지 목적에 효과적임.
    • 기업은 휴대폰 회사에 KYC(Know Your Customer) 과정을 아웃소싱함으로써 최적의 보안 솔루션을 제공하지 않음.

  • SMS 인증에 대한 비판과 범죄자에 대한 책임 전가 문제

    • 비판자들은 SMS 인증을 사용하는 기업을 비난하지만, 실제로는 범죄자가 책임져야 함.
    • SIM 스와핑 공격에 대한 책임은 범죄자에게 있음.
답변달기