GN⁺: 2차 인증 SMS: 평판보다 더 나쁜 보안 방법

• 일회용 비밀번호와 SMS

  • 일회용 비밀번호는 종종 SMS를 통해 전송됨
  • CCC의 보안 연구자들이 200개 이상의 회사에서 보낸 2억 개 이상의 SMS 메시지에 실시간으로 접근함

• SMS를 통한 이중 인증(2FA-SMS)

  • 2FA-SMS는 인증 보안을 높이기 위한 방법임
  • 정적 비밀번호와 함께 SMS로 전송된 동적 코드가 필요함
  • 사용자는 로그인 시 이 코드를 입력해야 하며, 이는 비밀번호(1차 요소: 지식)와 전화번호 접근 권한(2차 요소: 소유)을 증명함
  • 도난된 비밀번호만으로는 사용자의 계정을 탈취할 수 없음

• 잘 알려진 공격 벡터

  • SIM 스와핑이나 모바일 네트워크의 SS7 취약점을 이용해 공격자가 SMS 메시지를 가로챌 수 있음
  • 피싱 공격을 통해 사용자가 일회용 비밀번호를 노출하도록 유도할 수 있음
  • CCC는 2013년부터 SMS를 2차 요소로 사용하는 것을 권장하지 않음
  • 그럼에도 불구하고 2FA-SMS는 널리 사용되고 있으며, 단순 비밀번호 인증보다 더 높은 보안을 제공함

• 이제 온라인에서도 볼 수 있음!

  • CCC는 2FA-SMS에 대한 이전에 간과된 공격을 시연함
  • 서비스 제공업체는 다양한 회사와 서비스에 대해 대량의 SMS를 전송하며, SMS 내용에 접근할 수 있음
  • 따라서 인증 과정의 보안은 이러한 제공업체의 보안에 달려 있음

• IdentifyMobile의 실수

  • IdentifyMobile은 실시간으로 인터넷에 일회용 비밀번호를 공유함
  • CCC는 우연히 이 데이터를 접근할 수 있었음
  • "idmdatastore"라는 서브도메인을 추측하는 것만으로 충분했음
  • SMS 내용 외에도 수신자의 전화번호, 발신자 이름, 기타 계정 정보가 보였음

• 200개 이상의 회사에서 2억 개의 SMS

  • Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, DHL 등 200개 이상의 회사가 영향을 받음
  • 총 1억 9천 8백만 개의 SMS가 유출됨
  • 실시간 피드를 보기만 해도 WhatsApp 번호를 탈취하거나 금융 거래를 수행하거나 비밀번호를 알고 있는 경우 다양한 서비스에 로그인할 수 있었음

• (아직은) 재앙이 아님

  • SMS 코드를 악용하려면 일반적으로 비밀번호가 필요함
  • 그러나 "1-클릭 로그인" 링크도 데이터에 포함되어 있었음
  • 일부 대형 회사의 경우 IdentifyMobile이 보호하는 개별 서비스만 영향을 받음
  • IdentifyMobile의 부주의로 인해 회사와 고객이 큰 위험에 노출됨
  • 데이터 보호 부서에서 유사한 문의가 전 세계적으로 쇄도하고 있음

• 우리는 데이터를 보관하지 않았음

  • 그러나 다른 사람들이 접근했을 가능성을 배제할 수 없음

• 2FA-SMS는 아무것도 없는 것보다는 낫지만, 다른 방법을 사용해야 함

  • 앱에서 생성된 일회용 비밀번호나 하드웨어 토큰을 사용하는 것이 더 안전하며 모바일 네트워크와 독립적임
  • 이 옵션이 가능하다면 이를 사용하는 것을 권장함
  • 그리고 어떤 2차 요소도 단순 비밀번호보다 나음

GN⁺의 정리

• 이 기사는 SMS 기반 이중 인증의 보안 취약점을 다루고 있음
• IdentifyMobile의 실수로 인해 2억 개 이상의 SMS가 유출되었으며, 이는 많은 회사와 고객에게 큰 위험을 초래함
• 2FA-SMS는 단순 비밀번호보다 안전하지만, 앱 기반 일회용 비밀번호나 하드웨어 토큰을 사용하는 것이 더 나음
• 이 기사는 보안에 관심이 있는 사람들에게 유용하며, SMS 기반 인증의 위험성을 경고함