이중 요소 - SMS 코드가 약한 링크인 이유
2026년 6월 25일 · 읽은 지 3분 · 댓글
이 기사에는 제휴사 링크가 포함되어 있습니다. 이를 통해 구매하시면 추가 비용 없이 커미션을 받으실 수 있습니다.
이중 인증은 가장 효과적인 보안 업그레이드 중 하나입니다. 그러나 모든 2단계 요소가 동일한 것은 아닙니다. 그리고 가장 일반적인 버전, 즉 대부분의 서비스에서 기본적으로 사용되는 버전에는 대부분의 사람들이 알지 못하는 구체적이고 잘 문서화된 취약점이 있습니다.
이중 인증은 귀하가 알고 있는 것(비밀번호)과 가지고 있는 것(일반적으로 코드)을 요구하는 방식으로 작동합니다. 누군가가 귀하의 비밀번호를 도용하더라도 두 번째 요소 없이는 로그인할 수 없습니다. 정말 좋습니다. 문제는 "당신이 가지고 있는 것"이 무엇을 의미하는지입니다.
SMS 코드 문제
SMS 코드가 귀하의 전화번호로 전송됩니다. 귀하의 전화번호는 이동통신사에서 관리합니다. 그리고 이동통신사는 때로는 사회 공학을 통해, 때로는 직원에 대한 노골적인 뇌물 수수를 통해 공격자가 제어하는 SIM 카드로 귀하의 전화번호를 전송하도록 조작될 수 있습니다. 이를 SIM 스왑이라고 합니다.
귀하의 번호가 전송되면 "귀하의" 휴대폰으로 전송된 모든 SMS 코드는 공격자의 장치로 이동됩니다. 귀하의 비밀번호와 SMS 기반 이중 요소는 이제 그들의 것입니다. 상당한 암호화폐를 보유하고 있는 사람, 임원, 언론인 등 고가치 대상이 이러한 방식으로 정기적으로 손상됩니다.
대신 무엇을 사용해야 할까요?
인증 앱은 기기에 시간 기반 코드를 생성합니다. 전화 네트워크를 통해 전송되지 않습니다. SIM 교환이 이를 가로챌 수 없습니다. Google Authenticator 또는 Authy와 같은 앱은 이러한 방식으로 작동합니다. NordPass에는 인증자도 내장되어 있어 2FA 코드와 비밀번호가 동일한 보안 금고에 보관됩니다.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
이중 요소는 가장 약한 형태에서도 가질 가치가 있습니다. SMS 2FA는 2FA가 없는 것보다 훨씬 낫습니다. 그러나 이를 사용하려는 경우 SMS에서 인증 앱으로 업그레이드하는 데 계정당 약 2분이 걸리며 보호 격차도 상당합니다.
자주 묻는 질문
What is credential stuffing?+
크리덴셜 스터핑은 공격자가 한 번의 위반으로 노출된 이메일과 비밀번호 조합을 가져와 자동으로 다른 서비스에 대해 시도하는 것입니다. "0"인 경우 한 사이트에서 침해가 발생하면 공격자가 동일한 자격 증명을 사용하여 모든 계정에 액세스할 수 있습니다.
Is it safe to store all your passwords in one place?+
예, 평판이 좋은 password manager을 사용하는 경우입니다. 암호화된 저장소는 재사용되거나 취약한 비밀번호보다 훨씬 더 안전합니다. NordPass와 같은 비밀번호 관리자는 영지식 아키텍처를 사용합니다. 즉, 회사조차도 저장된 비밀번호를 볼 수 없습니다.
What is two-factor authentication and should I use it?+
2단계 인증(2FA)에는 비밀번호 외에 두 번째 확인 단계가 필요합니다. 일반적으로 앱의 코드입니다. SIM 스왑 공격에 취약한 SMS 코드 대신 인증 앱(Google Authenticator, Authy)을 사용하세요.
