SMS 2FA는 안전하지 않을 뿐만 아니라 산골 사람들에게 적대적임

 (blog.stillgreenmoss.net)
1P by GN⁺ 15시간전 | ★ favorite | 댓글 1개
  • SMS 기반 2단계 인증(2FA) 이 안전하지 않을 뿐만 아니라 산간 지역 주민들에게 큰 불편을 초래함
  • 셀룰러 신호가 약한 산간 지역에서는 SMS로 전송되는 인증 코드 수신이 어려움
  • 단순한 와이파이 통화나 스마트폰 사용만으로는 2FA 문제를 해결할 수 없음
  • TOTP(시간 기반 일회용 비밀번호) 방식이 대안일 수 있지만, 초기 설정 접근이 쉽지 않음
  • 수백만 산간 거주민들이 웹사이트 로그인 과정에서 겪는 불합리한 상황 설명

문제 상황 개요

  • 글쓴이의 친구는 북캐롤라이나 산간 지역에 사는 70대 여성
  • 컴퓨터를 싫어하지만 커뮤니티 소통을 위해 스마트폰과 Signal 그룹 채팅에 참여함
  • 유선 전화를 오래 사용했고, 이는 보청기와 잘 호환됨
  • 스펙트럼(Spectrum) 이 지역 통신 독점으로, 유선 전화와 케이블 인터넷을 모두 스펙트럼을 통해 사용 중임

셀룰러 서비스와 SMS 2FA 문제 발생

  • 몇 년 전 모바일 서비스를 스펙트럼 모바일로 가입, 이는 Verizon 망을 사용함
  • 집에서는 셀룰러 신호가 거의 없음. 도심에서 차로 20분 거리이고 이웃도 많음
  • 모든 주요 계정(이메일, 은행, 건강보험 등)이 SMS로 2FA 코드를 전송하려고 함
  • SMS 코드가 오지 않음. 집에서는 셀룰러 서비스 부족, 와이파이 콜링 활성화해도 단축번호(5자리)로 오는 보안 SMS는 도착하지 않음
  • 최신 아이폰과 공식 제공 장비 사용, 사용법에도 익숙함

대체 방안 탐색과 한계

  • 일부 ISP 제공 유선 전화는 SMS를 컴퓨터 음성으로 읽어주는 기능이 있으나, 스펙트럼에는 없음
  • 일부 사이트는 TOTP 2FA로 전환 가능하나, 최초 로그인 시점에서 접근이 필요함
  • 해결을 위한 번거로운 절차:
    • 로그인 실패 사이트 목록 만듦
    • 문제 해결을 위해 시내로 나가 친구와 만남
    • 하나씩 TOTP나 다른 방식으로 전환 시도, 일부는 지원하지 않음
    • 고객센터 문의 시도해도 연락 어렵거나 불가능

사실상 실현 불가능한 대안들

  • VOIP로 번호 이동하여 단축번호 SMS 수신 가능성 찾기
  • 수백 달러를 들여 셀 신호 부스터 설치
  • 거주지 이동까지 고려
  • 로그인 하나를 위해 이런 절차가 필요하다는 점의 비합리성 지적

셀 커버리지 맵의 신뢰성 문제

  • 스펙트럼 커버리지 맵상 집과 주변에는 완벽한 서비스로 표시됨
  • 실제로는 집에서 서비스 불가, 100미터만 이동해도 신호 없음

산간 지역에 사는 수많은 사람들의 공통 고충

  • Millenial 세대 친구 역시 “SMS 2FA가 삶의 고통”이라고 표현함
  • 단순히 깊은 계곡이 아닌 곳조차 SMS 2FA로 인한 문제 있음

TOTP 방식의 한계와 어려움

  • TOTP도 완벽하지 않음
    • 별도의 앱 설치 필요
    • 어떤 앱을 써야 할지 선택 과정이 복잡하고 기술적 설명이 많음

정리 및 규모의 문제

  • SMS 2FA가 널리 쓰이는 이유는 직관적 UX와 어느 정도 신뢰성 때문임
  • 그러나 북캐롤라이나 산악지대의 110만 명, 전체 애팔래치아 2500만 명 등 수백만 명이 열악한 환경에 처해 있음
  • 인터넷은 있어도 휴대폰 신호가 매우 좋지 않음
  • 이들 지역 거주민들에게 합리적 대안이나 배려가 부족함
GN⁺ 15시간전  [-]
Hacker News 의견

  • 그녀가 선택할 수 있는 다른 옵션 중 하나는 SMS를 와이파이에서 받을 수 있는 VOIP 제공업체로 본인의 휴대전화 번호를 포팅하는 방법임이 흥미로움, 하지만 일부 회사들은 seCuRiTy 이유로 VOIP 번호에 SMS-OTP 코드를 보내지 않거나 번호가 본인 명의로 등록되어 있기를 요구함을 알게 됨, 이런 제한이 불법이어야 한다고 생각함, 번호는 그냥 번호임, 와이파이 콜링을 켜놓아 친구나 가족으로부터의 SMS는 받지만 2FA 코드는 여전히 수신되지 않음, SMS over IMS가 외부 송신자에게 투명하게 구현된다고 생각했는데, SMS 프로토콜 자체가 너무 허술하게 만들어져서 놀랍지 않다는 생각임

    • SMS 시스템의 작동 원리를 설명할 수 있을 것 같음, 이 시스템은 단순히 메세지를 “블라인드”로 보냄, 수신자가 오프라인이거나 신호가 없으면 해당 캐리어가 3~7일 정도 메시지를 저장함, OTP 시스템은 Vonage, Twilio API 등으로 도달성 검사를 하는데, 이 검사가 완벽하지 않음, 뭔가 이상하면 메시지는 전송되지 않음, 이런 방식은 메시지 비용 절감을 위한 것임, 이미 검증된 번호에도 적용되는 점은 불합리하다고 생각함

    • 유럽 입장에서 이야기하자면, PSD2라는 금융 지침에 따라 이미 KYC가 완료된 번호만 2FA용 SMS를 허용함, 2FA는 결국 “당신이 가진 무언가”를 증명하는 전자 서명의 역할이고, 그 무언가가 신원확인 된 전화번호임, SMS가 모든 인구·지역·단말에서 쉽게 적용될 수 있는 유일한 2FA 방식임을 강조함

    • 똑같은 회사들이 SMS만 2FA로 허용하면서도 VOIP로는 보내지 않는 것이 정말 말도 안 된다고 생각함, 아마도 모든 회사가 SMS 전송을 위해 특정 서비스를 거치는데 그 서비스가 VOIP를 막아서임, 거의 모든 은행이 필수적으로 SMS 2FA를 요구하지만, 다른 곳들은 앱을 지원하는 것이 너무 이상함

    • 2025년이 되어서야 전화번호가 Sybil 문제(한 명이 여러 계정 생성하는 문제)를 그나마 해결할 수 있는 방법임, 실제 KYC 절차 없이도 어느 정도 신원을 확인할 수 있음

    • Wi-Fi 콜링으로 2FA SMS만 받는 용도로 사용한 적이 있음, RedPocket(MVNO)와 T-Mobile 조합으로 아무 문제 없이 사용함, 해당 지역엔 T-Mobile 직접 신호가 없어서 Wi-Fi를 통한 SMS만 가능했음, 요금제도 저렴했음, 단, 예전 휴대폰이 Band 미지원 등으로 겪는 이슈는 있었음

    • 메시지 수신 성격상, 친구·가족은 P2P로 오고 2FA는 기계 대 인물 A2P임, 두 방법의 처리가 엄연히 다름

    • VOIP 제공업체에 번호를 포팅해도 보내는 쪽에선 그 번호가 휴대폰인지 VOIP인지 구분하지 못한다고 생각함, 이런 식으로 포팅 후에도 SMS 2FA를 잘 받고 있음

    • 다양한 은행 서비스를 사용해보면 일부는 Google Voice로도 아무 문제 없이 SMS 토큰을 보내주는데, 또 다른 은행들은 고객센터를 통해서만 Google Voice SMS를 허용하는 등 정책이 랜덤함, 심지어 정규 채널로는 안 보내면서 자동 전화 음성으로는 똑같은 코드를 읽어줌, 보안 정책이 무작위라는 생각임

    • VOIP로 SMS-OTP 코드를 받는 옵션은 결과적으로 나쁜 아이디어임, 짧은 시간 동안만 작동하다가 결국 보안정책이 강화되어 막힐 것임, 이러한 모든 조치는 실제로 사용자의 보안을 위함이 아니라, 끊임없이 밀려드는 스팸, 사기 트래픽을 늦추기 위한 장벽임, 실제 전화번호를 가진 것 자체가 “Proof of Work”로 쓰이고 있고, 현실적으로 대안이 없음

    • SMS 방식 자체가 문제이므로, 이런 논쟁 자체가 무의미함, SMS 사용 자체가 불법이어야 한다는 의견임

  • 마이크로셀/펨토셀만 있으면 집이나 사무실처럼 신호가 약한 곳에서 매우 효과적임, 프로바이더에 연락해서 신호가 약하다고 하면 인터넷 → 셀룰러로 바꿔주는 AP(Access Point)를 무료로 보내줌, 이런 장치는 RJ-45 입력, GPS 안테나가 있어 e911 위치 데이터까지 지원함, 우리 가게도 금속 벽과 계곡에 위치해 예전엔 언덕 위까지 올라가야 통화가 되었지만, 각 통신사에 요청해서 펨토셀을 설치받은 뒤론 누구든지 ISP망으로 자동 전환해서 정상 사용 가능함, MVNO까지 다 지원함, 단 펨토셀을 사용하려면 MVNO 대신 통신사 직영 서비스를 써야 할 수 있음

    • t-Mobile이 더 이상 마이크로셀이란 장비를 지원하지 않는 것 같음, 지원 페이지 참고함

    • 펨토셀도 단점이 있음, 반드시 GPS 신호가 필요해서 산악 지형에서는 작동이 힘듦, 펨토셀을 수년간 써봤는데 종종 원인 불명으로 작동이 멈추고 왜 안 되는지도 알려주지 않음

    • Verizon에서 무료 4G LTE Network Extender를 받았음, 한 가지 문제는 집을 나설 때 연결이 끊기는 현상임, 한 번은 911에 전화하다가 이동 중 신호가 끊겼고, 작동 거리를 벗어나면 다시 연결될 때까지 통화가 중단됨, 이후 Verizon이 위치 정보를 수정하도록 연락해옴

    • 대형 통신사들이 검증되지 않은 ISP에 연결된 셀타워(마이크로셀)를 아무나 운영해도 괜찮아하는 점이 의외임, 원래 브랜드 관리에 철저한 회사들인데 이런 점에선 엄청 관대함

  • 해외 로밍 중에는 집의 안드로이드폰에 SIM 카드를 보관하고 전원에 연결해두며, SMS를 API로 포워딩해주는 앱을 사용함, 모든 SMS를 이메일로 받아볼 수 있음, 몇 년간 무리 없이 이 방법을 사용 중임, 평소에도 컴퓨터로 OTP SMS를 받아 편함, MMS 수신은 안 되지만 불필요하니 상관없음

    • 이 방법을 "2FA Mule"이라고 부름, 이 방식을 4년 넘게 사용했으며 매우 잘 작동한다고 생각함, 좋은 선택임

    • 듀얼 SIM과 WiFi 콜링이 지원되는 폰이라면 방문국가에서 데이터-only eSIM을 쓰고, 기존 SIM으로 계속 SMS를 받을 수 있음

    • 나도 유사하게 집에 안드로이드폰을 두고 노트북에서 웹 메시징 서비스를 접속해서 SMS를 받았음, 요즘은 SMS가 WiFi 콜링에서도 작동해서 꼭 문제가 되진 않음

    • 안드로이드폰이 3일마다 자동 재부팅되도록 변경될 수 있다 하니, 이 방식이 곧 중단될 수 있음

    • 왜 이 방식이 로밍과 관련된 건지 모르겠음, 유럽과 그 외 여러 곳에서 로밍을 자주 했는데 SMS 수신에 아무 문제 없었음

  • 이 글은 약간 틈새 기사로, SMS 2FA 코드가 바로 셀 서비스 가입과 동시에 온 것처럼 보이지만 실제로는 2FA 등록을 먼저 마치고 바깥으로 나가야 코드가 활성화될 수 있음, TOTP도 사실 그렇게 어렵지 않음, 그냥 앱을 골라드리고 백업코드 출력만 도와드리면 별문제 없이 해결됨

  • Google Fi는 와이파이에서도 단축 번호 포함 모든 2차 인증용 SMS를 받을 수 있음, 심지어 휴대폰이 꺼져있거나 망가져 있어도 웹 브라우저로 모든 디바이스에서 수신 가능함, 이 기능을 아주 선호함, 월 20달러부터 서비스가 가능함, 예전에 산간지역에선 US Cellular와의 제휴로 서비스가 잘 됐는데, 최근엔 T-Mobile 쪽에 어느 정도 인수된 상태로 상황이 변동 중임

    • 미국 외에서 12년간 살았으며, Google Fi 도입 전까지는 SMS에 항상 문제가 있었음, 많은 은행들이 SMS 인증을 고집하는데, VOIP 가상번호는 (1) 일부 은행이 보안상 서비스 거부 (2) 기술적 이유로 SMS 수신 불가 둘 다 문제임, Google Fi는 심지어 휴대폰 서비스 없을 때도 WiFi로 우회 전송해서 잘 됨, 다만 미국 외 체류 1달 이후엔 데이터가 끊기지만, 그저 SMS/음성만 쓸 수 있어도 충분함

    • RCS 및 “messages for web” 사용이 가능한지 궁금함, 예전에 Fi 싱크를 켜야만 셀폰 오프 상태에서도 문자/음성 사용이 됐었는데, 그 경우 RCS 기능이 꺼졌음, 지금도 그런지와 어떤 URL에서 텍스트/음성 사용이 되는지 궁금함

  • 사용자 기대가 과도하다는 의견에 공감함, 예를 들어 라임 스쿠터를 대여할 때 VPN 세팅 오류로 인터넷이 안 돼 반납 완료 처리를 할 수 없었음, GPS상 멈춤을 감지해 추가 요금을 환불받았지만, 만약 폰 배터리가 나갔다면 곤란해질 뻔했음, 이동 중 이런 예상치 못한 경우의 대비가 필요함

    • 독일 DHL 택배 락커 신형을 사용해보면 화면이 없고 앱으로만 작동함, 블루투스와 인터넷 연결이 동시에 필요함, 락커 자체가 인터넷이 있으니 앱에서 불필요한 요구라고 생각함

  • 특정 그룹에 적대적인 요소는 항상 존재함, 2FA도 완벽한 방법이 없고 각 방식마다 다 불편함 SMS 2FA는 보안은 약하지만 제일 널리 쓰이고 복구도 쉬움 TOTP 앱류는 보안이 강하지만 기기 분실이나 변경시 복구가 어려움 Yubikey 같은 하드웨어 토큰은 비용이 들고 역시 복구 문제 존재함 가장 확실한 방법은 연방 정부가 중앙집중형 하드웨어 인증시스템을 운영하는 것이라 생각함(실제로 미국 국방부는 CaC 카드로 운영), 그러나 미국에서 이런 시스템은 프라이버시 논란과 예산 문제로 실현이 매우 어려움, SMS 2FA가 산간지역 등에 적대적이지만, 사실 모든 2FA가 완벽하지 않음

    • 인증 프라이버시는 특정 상황(예: 투표 등)에서는 중요하지만, 은행처럼 명확히 본인임을 입증하는 상황에선 프라이버시 우려가 크게 해당되지 않는다고 생각함

    • Yubikey 등은 복구가 쉽지 않아 보일 수 있지만, 여러 개를 등록해두면 하나를 잃어도 다른 키로 신규 등록해서 해결 가능함

  • Google Voice 앱을 설치하면 몇몇 2FA 서비스는 지원하지만 아닌 곳도 있음, 일부 서비스는 GV 번호를 거부함, GV는 WiFi로 SMS 수신 가능함, 셀 회사에 펨토셀 요청하면 예전엔 저렴했으나 지금은 단종됐고 2500달러까지 호가함, mightytext.net에 가입해서 컴퓨터로 SMS를 받을 수도 있는데, 이건 셀 신호가 없어도 되는지 확실하진 않음, 손가락 대신 노트북 키보드로 SMS 쓰는 게 편해서 사용함

    • USB 모뎀을 컴퓨터에 연결해서 신호가 잡히는 곳에 두고 인터넷으로 접근하는 방법도 가능함, 자신은 이를 반대로 라즈베리파이로 원격 모니터링 용도로 사용 중임, 프로토타입 땐 SMS 파싱도 했었음, 모든 사람에게 적합하진 않지만 HN답게 공유함

    • mightytext.net은 폰에 신호가 없으면 동작하지 않음, 문자 중계는 오직 캐리어만 가능함, 모든 US 캐리어에서 이런 서비스와 연동하기도 어렵고 기술적 제약도 큼, Apple의 위성 SMS 서비스만이 SMS 라우터에 직접 접근해서 중계가 가능함

    • 이 방식의 장점 중 하나는 MFA(다중 인증)로 SMS 접근을 보호할 수 있다는 점임

  • TOTP, HOTP 등은 전화번호 같은 개인식별 데이터 없이 구현 가능함, SMS는 번호가 있어야 하고, 그 번호가 당신의 개인정보와 연결되어 있으면 마케팅이나 데이터 집약에서 훨씬 큰 가치가 있음

    • 대부분 SMS 인증을 요구하는 곳은 이미 이름·주소 등 개인정보를 알고 있는 경우가 많음(예: 금융, 라이선스, 의료기관 등), 그래서 마케팅용 데이터 집합화 논란은 실제로는 별 의미가 없음, TikTok처럼 굳이 번호를 원하면 일회성 번호를 쓰거나 거부함

    • TOTP/HOTP는 “내가 이 금액을 이 상점에 결제하려는 것”처럼 WYSIWYS(보는 대로 서명) 속성을 제공하지 못함, 은행결제 등에서는 직접적인 확인이 필요함, 실제로 EU에선 WYSIWYS가 규정에 의해 요구될 수 있기 때문에, 일시적인 공백을 메우기 위해 은행 전용 앱이 필요해짐, 지금의 표준들(WebAuthN 등)만으론 부족하고, SPC 확장 등 새로운 방법과 HW 인증기가 필요하다고 생각함

  • 나 역시 시골에 살고 있어 가끔 SMS 코드가 안 오는 문제를 겪음, 어느 날은 잘 오고 어느 날은 안 와서 이유를 몰랐는데, 이 글이 그 원인을 명확하게 설명해줌, 평소 스펙트럼 서비스로 와이파이-모바일 둘 다 쓰고 있는데, 신호 세기에 따라 와이파이에 의존해 있다 보니 발생하는 현상이었음

답변달기