비밀번호와 민감한 데이터를 보호할 때, 모든 이중 인증(2FA) 방법이 같은 수준의 안전성을 제공하는 것은 아닙니다. 많은 서비스가 여전히 SMS 기반 2FA를 제공하고 있지만, Psono와 같은 보안 의식이 강한 플랫폼은 WebAuthn, YubiKey, 그리고 TOTP(시간 기반 일회용 비밀번호)와 같은 더 강력한 옵션을 선호하며 SMS 기반 방법을 완전히 피하고 있습니다.
이는 단순한 선호의 문제가 아니라 강력한 보안을 위한 필수 사항입니다. SMS 기반 2FA는 심각한 취약점을 가지고 있으며, 실제 공격 사례들은 이것이 해커에게 쉬운 표적이라는 것을 증명했습니다. 이 블로그 포스트에서는 SMS 2FA가 왜 취약한지 설명하고, 그 결함을 입증하는 실제 공격 사례들을 강조할 것입니다.
🔒 SMS 기반 2FA의 취약점
SMS 기반 인증은 여러 공격 방법에 취약합니다. 여기에는 다음이 포함됩니다:
- SIM 교환(SIM Swapping) – 공격자들이 이동통신사를 속여 피해자의 전화번호를 새 SIM 카드로 전송하게 하고, 모든 SMS 코드를 가로챕니다.
- SS7 공격 – SMS 메시지를 원격으로 가로채기 위해 전 세계 신호 체계 No. 7 (SS7) 프로토콜의 결함을 악용합니다.
- 피싱 및 사회 공학 – 사용자를 속여 가짜 로그인 페이지를 통해 SMS 기반 코드를 노출하도록 유도합니다.
이러한 위험으로 인해 SMS 기반 2FA는 가장 약한 인증 형태 중 하나가 됩니다.
🛡️ Psono가 강력한 2FA를 사용하는 이유
Psono는 안전성을 최우선으로 하며, 강력한 2FA 방법만을 지원합니다. 다음과 같은 방법들이 포함됩니다:
- WebAuthn (FIDO2) – 공개 키 암호화, 생체 인식 또는 하드웨어 보안 키(예: YubiKey)를 사용합니다.
- YubiKey 및 기타 보안 키 – 직접 접근이 필요한 물리적 토큰입니다.
- TOTP (Google Authenticator, Authy 등) – SMS 대신 장치에서 생성되는 일회용 비밀번호입니다.
이 방법들은 피싱 저항성이 높고, 이동통신사에 의존하지 않으며, 원격 접수 위협을 제거하기 때문에 훨씬 더 안전합니다.
📢 SMS 2FA에 대한 실제 공격 사례
Psono가 SMS 기반 인증을 구현하지 않는 이유를 설명하기 위해, 그 약점을 이용하는 실제 공격 사례들을 소개합니다:
1. 중국의 미국 통신 시스템 표적화(SS7 악용 및 기타)
2024년 2월, FBI와 CISA는 중국 국가 지원 해커가 상업 통신 네트워크를 표적으로 삼고 있다고 공동 경고를 발표했습니다. 이러한 공격은 SMS 메시지 라우팅에 사용되는 SS7 프로토콜의 취약점을 악용한 것으로 탄생되었으며, 공격자들은 인증 메시지를 가로채어 SMS 2FA가 어떻게 체계적으로 타협될 수 있는지를 보여주었습니다.
2. Twitter (지금의 X) CEO 잭 도시의 SIM 교환 공격 (2019)
2019년, 당시 Twitter의 CEO였던 잭 도시가 SIM 교환 공격을 통해 계정이 탈취되었습니다. 해커들은 그의 이동통신사를 속여 그의 전화번호를 자신의 SIM 카드로 전환하게 했고, 이를 통해 2FA SMS 코드를 가로채어 그의 Twitter 계정에 접근할 수 있게 되었습니다.
3. 코인베이스 SIM 교환 공격 (2021) – 수천 달러 도난
2021년, 코인베이스는 고객 6,000명 이상이 거대한 SIM 교환 공격으로 자금을 잃었다고 공개했습니다. 해커들은 가로챈 SMS 코드로 비밀번호를 재설정하여 계정에 완전히 접근할 수 있었고, 암호화폐를 훔쳤습니다.
4. Reddit의 2018 데이터 유출 – SMS 2FA 실패
2018년, Reddit은 데이터 유출을 겪었으며 SMS 기반 2FA가 활성화되어 있었음에도 불구하고 해커들이 직원 계정에 접근했습니다. 공격자들은 가로챈 SMS 코드를 사용하여 인증을 우회하여, 민감한 사용자 데이터를 노출시켰습니다.
🚀 2FA의 미래: SMS를 넘어
만약 여전히 SMS 기반 2FA를 사용 중이라면, WebAuthn, YubiKey 또는 TOTP 기반 인증과 같은 더 강력한 대안으로 전환할 시기입니다. Psono의 보안에 대한 헌신은 SMS 기반 인증을 제공하지 않는 이유이기도 합니다.
안전을 유지하고 싶으십니까? 하드웨어 보안 키, TOTP 앱 또는 생체 인증을 사용하고, SMS 기반 인증에만 의존하지 마십시오.
계정을 올바르게 보호하십시오—SMS 2FA를 버리십시오!
이중 인증(2FA)에 대한 자주 묻는 질문
이중 인증(2FA)란 무엇이며 왜 중요한가요?
이중 인증(2FA)은 계정 접근을 허용하기 전에 두 가지 인증 형태를 요구하는 추가 보안 계층입니다. 단순히 비밀번호만 사용하는 것이 아니라, 다음의 두 번째 요소가 필요합니다:
- 인증자 앱의 일회용 코드(TOTP)
- 하드웨어 보안 키(예: YubiKey, Titan 보안 키)
- 생체 인증(지문, 얼굴 인식)
이 방법은 해커가 비밀번호를 얻더라도 무단 접근의 위험을 크게 줄여줍니다.
가장 강력한 유형의 2FA는 무엇인가요?
가장 안전한 두 번째 요소는 피싱 저항성이 높고 쉽게 가로챌 수 없는 것들입니다. 여기에는 다음이 포함됩니다:
- ✅ FIDO2/WebAuthn 보안 키(예: YubiKey, Titan 보안 키)
- ✅ TOTP 기반 인증 앱(Google Authenticator, Authy, Aegis)
- ✅ 패스키(생체 인식이나 하드웨어 보안 키를 사용하는 비밀번호 없는 인증)
피해야 할 약한 방법:
- ❌ SMS 기반 2FA – SIM 교환 공격과 SS7 취약점에 취약
- ❌ 이메일 기반 2FA – 이메일이 해킹될 경우 취약
SMS 기반 2FA가 안전하지 않은 이유는 무엇인가요?
SMS 기반 2FA는 여러 공격 방법에 취약합니다:
- SIM 교환 공격 – 해커가 이동통신사를 속여 전화번호를 자신의 SIM 카드로 전환하여 2FA 코드를 받습니다.
- SS7 취약점 악용 – 공격자가 통신 인프라의 취약점을 악용하여 SMS 메시지를 가로챕니다.
- 피싱 공격 – 가짜 웹사이트가 사용자를 속여 SMS 코드를 입력하도록 유도합니다.
🔹 더 나은 대안: 하드웨어 보안 키나 TOTP 앱을 SMS 2FA 대신 사용하세요.
두 번째 인증 요소(예: 전화기, YubiKey)를 잃어버리면 어떻게 되나요?
두 번째 인증 요소를 잃어버린 경우, 계정을 복구하는 방법은 다음과 같습니다:
- 백업 코드 사용 – 많은 서비스가 2FA 설정 시 일회용 백업 코드를 제공합니다. 이를 안전하게 보관하세요.
- 백업 장치 사용 – 일부 인증자 앱은 여러 장치에서 TOTP 코드를 저장할 수 있게 합니다.
- 지원팀에 연락 – 일부 서비스는 계정 복구를 제공하지만, 시간이 오래 걸릴 수 있으며 신원 확인이 필요합니다.
- 두 번째 하드웨어 키 사용 – 서비스가 지원하는 경우, 여러 개의 보안 키(기본 키 + 백업)를 등록하세요.
🔹 팁: 항상 여러 인증 방법을 설정하여 하나가 실패할 경우 대비하세요.
해커가 2FA를 우회할 수 있나요?
2FA가 보안을 크게 향상시키지만, 일부 방법은 고급 공격에 의해 우회될 수 있습니다:
🚨 일반적인 공격 방법:
- 피싱 공격 – 가짜 로그인 페이지가 사용자로 하여금 비밀번호와 2FA 코드를 입력하게끔 유도합니다.
- 중간자 공격 (MitM) – 보안이 취약한 네트워크에서 인증 토큰을 가로챕니다.
- SIM 교환 – SMS 코드를 공격자의 전화로 전송되게 합니다.
✅ 예방 방법:
- 피싱 저항성 인증 사용(WebAuthn, 패스키, 보안 키).
- 장치 결속 인증 활성화(토큰이 원격으로 재사용되지 않도록).
- 의심스러운 로그인 페이지 주의 – 자격 증명을 입력하기 전에 항상 URL를 확인하세요.
