isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
PR

이중 요소 - SMS 코드가 약한 링크인 이유

2026년 6월 25일 · 읽은 지 3분 · 댓글

이 기사에는 제휴사 링크가 포함되어 있습니다. 이를 통해 구매하시면 추가 비용 없이 커미션을 받으실 수 있습니다.

이중 인증은 가장 효과적인 보안 업그레이드 중 하나입니다. 그러나 모든 2단계 요소가 동일한 것은 아닙니다. 그리고 가장 일반적인 버전, 즉 대부분의 서비스에서 기본적으로 사용되는 버전에는 대부분의 사람들이 알지 못하는 구체적이고 잘 문서화된 취약점이 있습니다.

이중 인증은 귀하가 알고 있는 것(비밀번호)과 가지고 있는 것(일반적으로 코드)을 요구하는 방식으로 작동합니다. 누군가가 귀하의 비밀번호를 도용하더라도 두 번째 요소 없이는 로그인할 수 없습니다. 정말 좋습니다. 문제는 "당신이 가지고 있는 것"이 ​​무엇을 의미하는지입니다.

SMS 코드 문제

SMS 코드가 귀하의 전화번호로 전송됩니다. 귀하의 전화번호는 이동통신사에서 관리합니다. 그리고 이동통신사는 때로는 사회 공학을 통해, 때로는 직원에 대한 노골적인 뇌물 수수를 통해 공격자가 제어하는 ​​SIM 카드로 귀하의 전화번호를 전송하도록 조작될 수 있습니다. 이를 SIM 스왑이라고 합니다.

귀하의 번호가 전송되면 "귀하의" 휴대폰으로 전송된 모든 SMS 코드는 공격자의 장치로 이동됩니다. 귀하의 비밀번호와 SMS 기반 이중 요소는 이제 그들의 것입니다. 상당한 암호화폐를 보유하고 있는 사람, 임원, 언론인 등 고가치 대상이 이러한 방식으로 정기적으로 손상됩니다.

2단계 방법 — 상대 강도
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
인증자 앱(TOTP)
Good
Real-time phishing (if attacker acts fast)
하드웨어 키(패스키)
Strong
열쇠의 물리적 도난

대신 무엇을 사용해야 할까요?

인증 앱은 기기에 시간 기반 코드를 생성합니다. 전화 네트워크를 통해 전송되지 않습니다. SIM 교환이 이를 가로챌 수 없습니다. Google Authenticator 또는 Authy와 같은 앱은 이러한 방식으로 작동합니다. NordPass에는 인증자도 내장되어 있어 2FA 코드와 비밀번호가 동일한 보안 금고에 보관됩니다.

이중 요소는 가장 약한 형태에서도 가질 가치가 있습니다. SMS 2FA는 2FA가 없는 것보다 훨씬 낫습니다. 그러나 이를 사용하려는 경우 SMS에서 인증 앱으로 업그레이드하는 데 계정당 약 2분이 걸리며 보호 격차도 상당합니다.

자주 묻는 질문

What is credential stuffing?+

크리덴셜 스터핑은 공격자가 한 번의 위반으로 노출된 이메일과 비밀번호 조합을 가져와 자동으로 다른 서비스에 대해 시도하는 것입니다. "0"인 경우 한 사이트에서 침해가 발생하면 공격자가 동일한 자격 증명을 사용하여 모든 계정에 액세스할 수 있습니다.

Is it safe to store all your passwords in one place?+

예, 평판이 좋은 password manager을 사용하는 경우입니다. 암호화된 저장소는 재사용되거나 취약한 비밀번호보다 훨씬 더 안전합니다. NordPass와 같은 비밀번호 관리자는 영지식 아키텍처를 사용합니다. 즉, 회사조차도 저장된 비밀번호를 볼 수 없습니다.

What is two-factor authentication and should I use it?+

2단계 인증(2FA)에는 비밀번호 외에 두 번째 확인 단계가 필요합니다. 일반적으로 앱의 코드입니다. SIM 스왑 공격에 취약한 SMS 코드 대신 인증 앱(Google Authenticator, Authy)을 사용하세요.

하나의 보안 저장소에 있는 비밀번호 및 2FA 코드
NordPass는 귀하의 비밀번호를 저장하고 인증 코드를 생성합니다. 하나의 앱, 하나의 마스터 비밀번호, 모든 장치에서 모든 것이 동기화됩니다.
⭐ 4.5/5 · 수백만 개의 비밀번호가 보호됩니다
Try NordPass →

Sam Feldman
Sam Feldman
"좋은 배너는 고정된 형태도 없고 고유한 의미도 없습니다."
Austin, TX · https://sams.blog/weekly
RELATED READING
아무도 생각하지 못하는 비밀번호 재앙
하나의 비밀번호를 재사용합니다. 해커들은 이를 믿고 있습니다.
일반 사람들을 위한 비밀번호 관리자 설명
부모님을 위해 제가 만든 정확한 보안 설정, 즉 실제로 작동하는 보안 설정이 곧 제공됩니다.

대부분의 사람들은 하나의 보호 계층을 가지고 있습니다. 3개가 빠졌어요.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20분 동안 시작해서 끝까지 — 그런 다음 백그라운드에서 실행됩니다. 이메일을 입력하시면 보내드리겠습니다.

문제가 발생했습니다. 다시 시도해 주세요.
참여하셨습니다. 곧 받은편지함을 확인해 보세요.
100% 기밀입니다. 언제든지 구독을 취소하세요.