구글이 문자메시지(SMS)를 통한 인증방식을 버리고, QR코드를 활용한 새로운 인증을 도입한다. 미국 경제지 포브스의 지난 23일(현지시각) 단독보도다.
보도에 따르면 구글 대변인은 “패스키를 사용해 비밀번호를 벗어나고 싶은 것처럼, 인증을 위해 SMS 메시지를 보내는 것에서 벗어나려 한다”면서 “만연한 글로벌 SMS 남용을 줄일 것”이라고 전했다.
SMS 인증은 국내에서 가장 많이 이용되는 본인인증 방식 중 하나다. 통신사 가입자에게 일회성 비밀번호를 전송하고, 이를 이용해 본인임을 확인하는 방식이다. 우리나라에서는 핵심적인 본인인증 수단으로 이용되지만, 해외에서는 주로 2단계(2 channel) 인증 수단으로 이용된다. 해커가 이용자의 아이디와 비밀번호를 탈취했다고 해도, 이용자의 휴대폰을 확인할 수 없다면 로그인이 안 되기 때문에 보안을 한 단계 더 강화한다고 볼 수 있다.
하지만 악성코드로 인해 이용자의 디바이스 자체가 탈취되거나 분실 후 동기화, SIM 스왑, SIM 해킹 등이 되면 SMS 인증은 무용지물이 된다. 또한 SMS를 보낼 때마다 비용을 지불해야 하기 때문에 온라인 서비스 업체 입장에서는 금전적 부담도 된다. 미국 국립표준기술연구소(NIST)는 2016년 SMS 인증 사용에 대해 반대 의견을 공식 표명하기도 했다.
구글 대변인은 “해커가 통신사를 속여 누군가의 전화번호를 손에 넣을 수 있다면 SMS 보안 가치는 사라진다”고 말했다.
구글은 현재 보안과 남용제어를 위해 SMS 인증을 활용하고 있다. 현재 접속을 시도하는 이용자가 이전 사용자와 같은 지 여부를 확인하는 용도이기도 하고, 수천 개의 지메일 계정을 기계적으로 생성해 스팸메일을 대량으로 보내지 못하도록 제어하는 용도이기도 하다.
구글은 SMS 인증대신 QR코드를 활용할 방침이다. SMS 비밀번호를 입력하는 대신 화면의 QR코드를 휴대전화 카메라 앱으로 스캔하도록 했다. 이를 통해 해커가 보안코드를 탈취할 수 없도록 원천 차단하고, 통신사에 의존하는 방식을 취하지 않아 비용을 절감할 수 있다. 다만 휴대폰으로 지메일에 접속을 할 때 QR코드를 어떻게 찍어야 할지는 아직 불분명하다.
구글 대변인은 “SMS 인증은 위험의 원천”이라며 “(QR방식이) 공격자의 표면을 줄이고 악의적 활동으로부터 이용자를 보호하는 혁신적 방법”이라고 강조했다.
글. 바이라인네트워크
<심재석 기자>shimsky@byline.network
