전체메뉴

[애플경제 이지향 기자] 취약점이 많긴 하지만, SMS 기반 2FA, 즉 2단계 보안 인증은 여전히 사이버 보안 환경의 표준적인 방어 체계의 위상을 차지하고 있다. 보안 기능을 더욱 강화하고 신중하게 구축하기만 하면, 많은 사용자들에게 친숙하고 편리한 보안 인증 수단이 된다.

2단계 인증(2FA)은 오늘날 사이버 보안 환경의 ‘원론’적 개념이 되고 있다. 그 중에서도 SMS 기반 2단계 인증은 간편성과 접근성으로 인해 널리 사용되고 있다. 그러나 이는 취약점이 많다. 물론 비밀번호만 사용하는 것보다 계정 보안을 한층 강화해준다. 그러나 반면에 이는 SIM 스와핑, 가로채기, 소셜 엔지니어링과 같은 취약점을 야기한다.

기술 미숙한 사용자에겐 가장 편리한 대안

보안업체 세이퍼존 관계자는 “강력한 보안과, 편리한 사용자 경험 사이에서 균형을 맞추는 것은 끊임없는 과제”라며 “사용자들로선 복잡성이 증가하는 것을 꺼리다보니, (SMS 인증보다) 더 안전한 대안으로 전환하는 것을 마땅찮아 한다”고 했다. 그 때문에 “결과적으로 SMS는 특히 기술에 익숙하지 않은 사용자들에겐 여전히 대세가 되고 있다”는 것이다.

그렇다면 어떻게 하면 취약점을 줄이고 편의와 편리함도 유지하면서 SMS 2FA를 안전하게 할 수 있을까. 기업으로선 숙제가 아닐 수 없다. 이에 보안 전문가들이 대체로 의견을 같이 하는 몇 가지 방법론이 있긴 하다.

SMS 2FA은 애초 스와핑이나, 피싱, 맬웨어 등과 같은 취약점에 노출되기 쉽다. 해커들은 통신사를 속여 피해자의 번호를 새 SIM 카드로 이전하기도 한다. 또 암호화되지 않은 SMS는 악성 기지국이나 네트워크 취약점을 통해 탈취될 우려도 적잖다. 해커들은 또 사용자를 속여 코드를 유출시키거나, 악성 소프트웨어를 악용해 수신 2FA 코드를 탈취할 수도 있다.

SMS 2FA의 주요 취약점 대처 방안

이런 취약점에도 불구하고, 시스템이나 사용자 차원의 취약점을 모두 해결하는 다층적인 방어 체계와 결합하면 SMS 보안은 한층 강화된다.

보안매체 ‘해크리드’는 “우선은 통신사 보안을 강화할 필요가 있다”고 했다. 즉 “SIM 스와핑 사기는 통신사 계정의 취약점을 악용하는 경우가 많다.”면서 “사용자가 통신사 계정에 PIN을 추가하도록 권장하거나, 이메일 또는 은행 로그인처럼 통신사 계정을 신중하게 보호하도록 교육할 필요가 있다”고 권했다.

또 통신사와 협력, 기업체나 VIP 고객에게 강화된 보안을 제공해야 한다. 일부 지역에서는 번호 이전 전에 더욱 엄격한 검증을 요구함으로써 이러한 위험을 줄인다.

계정 동작을 분석함으로써 부작용없이 2FA 보안을 강화할 수 있다. 이 경우 위치 이상 유무, 기기의 지문, IP 기록, 로그인 패턴, 그리고 사용자 에이전트(브라우저 또는 기기 유형)의 갑작스러운 변경 여부 등이 분석, 평가 대상이다. 만약 “동작이 비정상적으로 보일 경우, 단계별 인증이나 수동 검토와 같은 추가 검증을 통해 대부분의 정상 사용자는 의심스러운 활동을 차단하면서 쉽게 액세스할 수 있다”는 설명이다.

코드 유효 기간을 단축하거나, 시도 횟수를 제한하는 것도 방법이다. 흔히 보면 코드 유효 기간을 너무 길게 설정하거나 무제한 시도를 허용하는 경우가 많다. 이러한 유효 기간을 줄이면 노출을 줄일 수 있다. 예를 들어 코드 유효 기간을 30~60초로 제한하거나, 재인증을 하기 전에 잘못된 입력을 제한하는 것도 필요하다. 또한 코드 재사용을 방지하는 것도 한 방법이다.

사용자들을 대상으로 한 피싱 보안교육도 중요하다. AI 이상 행위 탐지 시스템 전문업체인 ‘파르고스’의 한 관계자는 “인간의 실수는 여전히 가장 큰 취약점 중 하나”라며 “강력한 보안 기능이 있더라도, 사용자가 ‘사기’임을 인지하지 못하면 코드를 포기할 수 있다.”고 경계했다. 그는 평소 개인정보접속기록 관리에 관한 자사의 경험에 비춰 “기업체들은 보안 인식 프로그램에 피싱 교육을 반드시 포함하고, 사용자에게 SMS 코드를 절대 공유하지 않도록 상기시킬 필요가 있다”고 강조했다.

‘국제보안엑스포’ 등에도 매번 관련 제품을 출시하고 있다는 이 관계자는 또 “URL 확인 방법을 숙지토록 하고, 의심스러운 접속이나 움직임을 적극 신고도록 하는게 중요하다”고 했다. 특히 “사용자들이 고객 서비스 과정에서 의심스러운 징후를 확인, 점검하도록 안내하고, 피해를 입기 전에 소셜 엔지니어링을 인식할 수 있도록 해야 한다”고 강조했다.

새롭게 향상된 전송기술이나 암호화도 도움이 된다. RCS(Rich Communication Services)의 경우는 암호화를 제공하지만 아직은 많이 도입이 안 된 상황이다. 또한 암호화된 메시징도 필요하다. 일부 금융기관 등은 안전한 모바일 앱을 통해 코드를 제공함으로써 이동통신사에 대한 의존도를 줄인다. 이 경우 생체 인식이나 ‘푸시’ 알림을 통합, 추가적인 인증 계층을 추가하기도 한다.

상황에 맞게 탄력적인 사용할 필요

SMS 2FA를 상황에 맞게 사용하는 것도 중요하다. SMS 기반 2FA는 획일적인 적용보단, 적응형 인증으로 저위험 작업에만 사용하거나, 때로는 더 강력한 인증 방식을 요구할 수도 있다. 즉, 비밀번호 재설정이나, 고가의 거래, 관리자 변경 등엔 더욱 강력한 보안 인증을 요구해야 한다. 또한 인증 세분화는 편의성을 유지하면서 보안을 강화한다.

SMS 2FA는 결코 이를 없애는게 능사가 아니다. 그 보단 사용자 편의를 존중하면서 취약점을 최소화하는 것이다. 사용자에게 복잡한 모델을 너무 적극적으로 강요하면 오히려 이를 기피할 수도 있다.

보안매체 ‘사이버시큐리티 인사이더’는 “SMS 2FA를 최적화하는 동시에 더욱 강력하고 상황 인식적인 대안을 제공하면, 장기적으론 사용자 편의와 시스템 복원력 간의 균형을 훨씬 더 효과적으로 유지할 수 있다”면서 “그런 선택권을 사용자에게 제공하면 접근성을 유지하면서 보안 태세를 한층 강화할 수 있을 것”으로 기대했다.

이 매체는 특히 “SMS 마케팅 소프트웨어와 같은 보조 서비스는 ‘메시지 가로채기’ 위험을 방지하기 위해 인증 시스템에서 분리해야 한다”면서 “인증 세분화는 보안이나 고객 커뮤니케이션을 위한 독립적인 메시징 경로를 유지하는 데 도움이 된다”고 강조했다.