주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서

스마트 폰의 심 스와핑으로 인하여 중간자 공격의 대안은 바로 2차인증 체계를 적용

누리아이티 2022. 8. 2. 09:02

"스마트 폰의 심 스와핑으로 개인 정보가 유출이 되어도 대안이 있느냐?"

 


스마트 폰의 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 스마트 폰에 꽂아 쓰는 일종의 스마트카드다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 스마트 폰 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 스마트 폰로 바꿔 꽂아도 사용할 수 있다.

본래 유심칩 인증은 가입자만 가능하기에 보안성이 높다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있다는 것이다. 이 같은 방식을 "심 스와핑(SIM Swapping)"이라 일컫습니다. 신종 해킹 위협이 된 것이죠.

 


누군가 유심칩을 복제할 때 문자 메시지와 전화를 대신 수신할 수 있다. 요즘엔 개인 인증을 스마트 폰로 하는 경우가 많은데 심 스와핑을 통해 이를 중간자 공격(Man-in-the-middle attack)에 악용 된다는 것이다. 

중간자 공격(Man-in-the-middle attack)은 2자간의 통신에 누군가가 개입하여, 도청이나 변경을 행하는 수법으로 문자로 전송된 인증이다. 

개인 정보를 최대한 온라인에 노출되지 않도록 설정하고, 2차 인증(추가 인증)을 지원하는 앱과 서비스를 사용하면 인증을 뚫기 어렵기 때문에 하나의 대책이 될 수 있다. 그리고 각종 피싱 이메일, 문자 등에 응답하지 않도록 주의를 기울이는 것이 심 스와핑을 피할 방법이 될 수 있다.

 


한 가지 주의해야 할 건 SMS, 이메일 등 문자 기반의 2차 인증은 사이버 범죄의 1순위로 이미 해커들이 곧잘 뚫어낸다는 것이다. 

 


구글 OTP 인증기와 같이 문자 기반 보안 인증 장치가 아닌 별도의 보안 장치인 BaroPAM의 일회용 인증키(OTA, One-Time Authentication key)를 사용하여 2차 인증 시 한번 사용한 일회용 인증키를 인증키 생성주기에 재사용 못하게 하면 된다.

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.