"스마트 폰의 심 스와핑으로 개인 정보가 유출이 되어도 대안이 있느냐?"
스마트 폰의 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 스마트 폰에 꽂아 쓰는 일종의 스마트카드다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 스마트 폰 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 스마트 폰로 바꿔 꽂아도 사용할 수 있다.
본래 유심칩 인증은 가입자만 가능하기에 보안성이 높다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있다는 것이다. 이 같은 방식을 "심 스와핑(SIM Swapping)"이라 일컫습니다. 신종 해킹 위협이 된 것이죠.
누군가 유심칩을 복제할 때 문자 메시지와 전화를 대신 수신할 수 있다. 요즘엔 개인 인증을 스마트 폰로 하는 경우가 많은데 심 스와핑을 통해 이를 중간자 공격(Man-in-the-middle attack)에 악용 된다는 것이다.
중간자 공격(Man-in-the-middle attack)은 2자간의 통신에 누군가가 개입하여, 도청이나 변경을 행하는 수법으로 문자로 전송된 인증이다.
개인 정보를 최대한 온라인에 노출되지 않도록 설정하고, 2차 인증(추가 인증)을 지원하는 앱과 서비스를 사용하면 인증을 뚫기 어렵기 때문에 하나의 대책이 될 수 있다. 그리고 각종 피싱 이메일, 문자 등에 응답하지 않도록 주의를 기울이는 것이 심 스와핑을 피할 방법이 될 수 있다.
한 가지 주의해야 할 건 SMS, 이메일 등 문자 기반의 2차 인증은 사이버 범죄의 1순위로 이미 해커들이 곧잘 뚫어낸다는 것이다.
SMS, 이메일 등 문자 기반 보안 인증 장치가 아닌 별도의 보안 장치인 BaroPAM의 일회용 인증키(OTA, One-Time Authentication key)를 사용하여 2차 인증 시 한번 사용한 일회용 인증키를 인증키 생성주기에 재사용 못하게 하면 된다.
보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
보안강화를 위한 2차 인증 솔루션의 도입의 필요성 및 기대 효과 (0) | 2022.08.29 |
---|---|
유선 LAN 기반의 업무를 5G 기반 무선AP으로의 전환에 따른 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용 (0) | 2022.08.12 |
ERP/그룹웨어/전자결제/포탈/이메일 등의 애플리케이션 보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술 (0) | 2022.07.02 |
Linux/Unix 서버보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술 (0) | 2022.06.25 |
보안 강화를 위한 2차 인증의 적용방안: 추가 인증, 비밀번호 대체, 새로운 비밀번호 (0) | 2022.06.24 |