미국 표준-기술 연구소 블로그, 2단계 인증 방식에서 SMS 에는 부정적

미국 표준-기술 연구소(이하 NIST라 함) 블로그 내용을 요약하고 있는데 지디넷 코리아가 며칠 전에 보도한 것보다 구체적된 내용입니다.
다만, 읽다 보니 ‘구글 프롬프트’(Goolge Prompt)라는 용어가 나오는데 영미권에서 이 용어를 더 많이 쓰는지 모르겠지만, 한국에서는 ‘구글 OTP’ 혹은 ‘Authenticator’라는 앱을 사용한 2단계 인증 방식(2 step authentication 혹은 2 factor authentication)으로 이해하는 경우가 많습니다. 지메일 계정으로 로그인한 뒤 설정하면 되는데 이 과정에는 구글 플레이 스토어를 통해 구글 ‘Authenticator’와 ZXing의 바코드 스캐너 앱을 설치하고 나서 pc 화면을 잘 보면서 따라가면 됩니다. 구글 설명은 좀 헷갈리는데 Athenticator 앱을 처음 실행한 직후 그 화면 오른쪽 맨 위에 보이는 설정 메뉴에 계정 설정 메뉴가 있습니다. 그걸 눌러야 QR 코드 스캐닝도 할 수 있습니다.
페이스북에서 2단계 인증 방식을 사용하는 경우에도 페이스북 설정 메뉴에서 써드 파티 앱 관련 옵션을 선택하여 이 구글 OTP를 사용할 수 있습니다.
그런데, 이 앱은 기기 한 대에서만 쓸 수 있기 때문에 그 기기에서 펌웨어를 자주 업데이트(팩토리 이미지로 업데이트할 때)하거나 어떤 문제가 생겨 공장 초기화한 경우에는 난처한 상황에 빠질 수도 있기 때문에 백업 코드를 받아두는 것은 필수입니다.

이 기사 자체 내용은 대략 아래와 같습니다.

1. 모든 SMS가 모 바일 폰 기반 통신은 아니며, VoIP(SMS over VoIP) 즉 스카이프, 구글 보이스 등을 통해 SMS를 보낼 수 있다. 따라서 2단계 인증 방식에서 VoIP SMS는 제외해야 한다.

2. NIST는 여러 독립적 연구 결과에 기초해서 SMS를 제3자가 가로채거나 다른 곳으로 재전송(redirect)하는 것은 아주 쉬워서 널리 이용(악용)될 수 있다고 규정한다. 2단계 인증 방식에서 두 번째로 사용되는 SMS에는 NIST 표준 구졍,‘draft NIST Special Publication 800-63-3: Digital Authentication Guideline’에서 허용하는 다른 인증 수단의 기기 인증 메카니즘에 비해 취약하다고 규정한다.

3. 따라서 사업자(agency)들은 다른 인증 수단을 사용해야 할 것이다. NIST 권고 목록에 있는 인증 수단 중에는 ‘FIDO 얼라이언스’의 강혁한 인증 프로토콜과 ‘구굴 프롬프트’를 포함하여 다른 선택지가 여럿 있다.


NIST blog clarifies SMS deprecation in wake of media tailspin
Agency goal is two-factor authentication for all levels of security assurance, but SMS is not on preferred factor list
ZDNet | John Fontana | July 29, 2016 -- 19:51 GMT (03:51 GMT+08:00)