당신의 계정이 생각보다 위험할 수 있습니다, SMS 2FA 의 진짜 위험
안녕하십니까, 오늘 말씀드릴 내용은 많은 IT 전문가들이 걱정하고 있는 보안 이슈입니다. 온라인에서 활동하면서 우리는 모두 2 단계 인증이라는 단어를 들어보셨을 것입니다. 단순히 비밀번호만 기억하는 게 아니라, 휴대폰으로 온 문자메시지로 코드를 확인하는 방식이 그 대표적인 예입니다. 편리함 때문에 널리 쓰였지만, 최근 전문가들이 경고하는 바처럼 이 방식은 생각보다 큰 위험을 내포하고 있습니다.
이 기사는 ‘호우 투 기크’의 닉 레위스 편집자가 기고한 내용으로, 그는 20 년간 컴퓨터를 다루며 수많은 DIY 를 해온 베테랑입니다. 그의 말을 믿으셔도 무방합니다. 왜냐하면 스마트폰 기반의 보안 방식이 완벽하지 않다고 경고했기 때문입니다. 가장 먼저 알아야 할 점은 바로 ‘SIM 스왑’ 공격입니다. 통신사의 시스템을 이용하여 타인의 전화번호를 내 것으로 만드는 것이 바로 그 방법입니다. 해커는 목표한 사람의 생년월일이나 주소를 알기 위해 소셜 네트워킹이나 과거의 정보를 수집합니다. 이후 통신사 고객센터에 연락하여 “실수로 SIM 카드가 분실되었습니다”라고 거짓말을 하면, 번호를 자신의 카드로 변경하게 됩니다.
만약 이게 성공하면, 그분은 더 이상 피해자일 수 없습니다. 그분은 이제 모든 문자 기반의 인증 코드를 받기 시작합니다. 즉, 은행, 이메일, SNS 등 어디서든 문자로 인증 코드가 오면, 그 코드는 해커의 손으로 들어갑니다. 기술적으로 아무리 방어를 강화시켜도, 인간을 속이는 것은 결국 취약점을 남깁니다. 이것이 가장 큰 문제입니다. 또 다른 문제는 ‘스미싱’입니다. 스미싱은 문자 기반 피싱을 의미합니다. 공격자들은 사용자들이 SMS 에 익숙하다는 것을 악용합니다. 진짜 서비스처럼 생긴 위장 링크를 보내면, 우리는 “보안 체크를 위해 로그인하세요”라고 해서 링크를 클릭합니다. 그 링크는 정체를 숨긴 위장 사이트이므로, 입력한 이메일 주소와 비밀번호는 곧바로 유출됩니다. 우리는 보안에 대해 무의식적으로 취약해집니다. 이는 사용자의 심리적 약점을 공격한 사례입니다.
그렇다면 우리는 어떤 대안을 사용할까요? 가장 확실한 방법은 ‘인증자 앱’입니다. 구글 인증자 앱이나 오토디, 그리고 마이크로소프트 인증자를 사용하는 것이 좋습니다. 이들은 서버에서 토큰을 보내는 대신, 내부 알고리즘에 따라 30 초마다 고유한 코드를 생성합니다. 이 코드는 해커의 서버와 무관하므로, SMS 도둑질로부터 자유로워집니다. 물론 앱에도 보안이 필요하므로, 앱 비밀번호를 설정하는 것도 잊지 마세요. 비밀번호 관리 도구, 예를 들어 비트와든을 사용할 때 제공하는 인증 기능을 활용하는 것도 하나의 방법입니다. 만약 지금도 SMS 만 쓸 수밖에 없는 상황이라면, 통신사 설정에서 ‘SIM 스왑 방지’ 기능을 켜보시는 건 어떨까요? 추가적인 인증 수단을 마련해 두세요. 하드웨어 보안 키 (YubiKey 등) 도 고려해 볼 만합니다. 보안은 단순히 비밀번호를 잘 만드는 것보다, 공격자가 접근하기 어려운 경로를 만드는 데서 시작합니다. 오늘 기사가 여러분의 계정에 더 큰 보안을 줬길 바랍니다.
보안 설정을 확인하는 습관이 필요합니다. 매일 서비스별로 2 단계 인증을 켜두는 것은 좋지만, 모든 설정이 완벽해지지 않기 때문입니다. 원문에서 지적하듯이, 지금의 보안 환경은 과거와는 많이 달라져 있습니다. 해킹 기술 또한 급속도로 발전하며, 우리가 알지도 못하는 사이에 공격에 노출될 수 있습니다. 따라서 편함이라는 이름하에 SMS 인증을 그대로 두는 것은 리스크를 감수하는 것과 같습니다. 조금 더 안전한 대안을 찾아 적극적으로 전환해 보시는 것이 좋습니다. 예를 들어 이메일 주소나 앱 코드를 사용하여 이중 보안을 구성할 수도 있습니다. 특히 중요 계정인 금융이나 클라우드 계정은 절대 SMS 에 의존하지 말아야 합니다. 통신사의 고객센터에 전화하여 추가 보안 조치를 문의하고, 하드웨어 키를 사용한다면 더욱 견고한 방어를 갖출 수 있습니다.
결국 중요한 것은 기술적 해결책뿐만 아니라, 사용자의 경각심입니다. 매일 사용하다 보면 편하게 SMS 를 누르는 경우가 많지만, 조금만이라도 더 안전한 방법을 찾아야 합니다. 이 글을 통해 여러분들의 계정이 안전한 지 한 번 더 점검해 보시고, 더 안전한 인증 수단을 선택하시기를 바랍니다. 함께 더 안전한 온라인 생활을 만들어 가시길 바랍니다.
마지막으로, 인증자 앱 설치 후에도 정기적으로 백업 코드를 관리하는 습관을 들이세요. 앱이 기기 변경 시에 문제가 생길 수 있으므로, 백업 코드는 안전한 곳에 저장해 두는 것이 좋습니다. 이를 통해 예상치 못한 상황에서도 계정에 접속할 수 있게 됩니다. 오늘 하루 하루, 작은 보안 습관이 큰 위험으로부터 우리가 지켜줄 수 있습니다.
이 글은 How-To Geek의 기사를 바탕으로 작성되었습니다.
