;)
;)
이미지 확대보기
23일(현지시각) 포브스에 따르면 구글은 보안 강화를 위해 지메일의 이중 인증(2FA) 과정에서 사용하던 SMS 슬롯 꽁 머니를 더 이상 지원하지 않기로 했다.
로스 리첸드퍼 구글 대변인은 “패스키(passkey) 도입을 통해 비밀번호를 줄여가고 있는 것처럼 인증 절차에서도 문자메시지를 활용하는 방식에서 벗어나고자 한다”며 “전 세계적으로 확산된 SMS 남용 문제를 줄이기 위해 QR슬롯 꽁 머니를 활용할 계획”이라고 밝혔다.
현재 구글은 SMS 인증을 주로 보안 및 남용 방지 목적으로 사용하고 있다. SMS 인증은 보안 측면에서는 사용자의 신원을 확인하는 데 쓰였고 남용 방지 목적으로는 스팸 메일 및 악성슬롯 꽁 머니 유포를 위한 다량 계정 생성 등을 막는 역할을 했다.
구글은 “SMS 슬롯 꽁 머니는 피싱 공격에 쉽게 노출될 수 있으며 사용자가 문자메시지를 받을 수 없는 상황도 발생한다”고 밝혔다. 여기에다 통신사의 보안 관행에 따라 인증 슬롯 꽁 머니가 탈취될 위험성도 있다고 구글은 설명했다.
리첸드퍼는 “사기꾼들이 통신사를 속여 타인의 전화번호를 가로채는 경우 SMS 슬롯 꽁 머니의 보안 가치는 사라진다”고 말했다.
구글은 최근 몇 년간 SMS 인증 슬롯 꽁 머니를 악용한 '트래픽 펌핑(traffic pumping)' 사기 수법도 발견했다. 이는 사기범들이 특정 서비스에 다량의 인증 요청을 보내면서 자신들이 통제하는 번호로 SMS를 전송받고 이 과정에서 발생하는 트래픽 비용을 착취하는 방식이다.
새로운 인증 방식에서는 기존처럼 전화번호를 입력하고 6자리 슬롯 꽁 머니를 받는 대신에 QR슬롯 꽁 머니가 화면에 표시된다. 사용자는 스마트폰의 카메라 앱으로 이 QR슬롯 꽁 머니를 스캔해 인증을 완료하게 된다. 구글은 “이 방식은 피싱 위험을 줄이고, 통신사에 대한 의존도를 낮출 수 있다”고 설명했다.
리첸드퍼는 “SMS 슬롯 꽁 머니는 사용자 보안에 취약점을 초래하는 요인”이라며 “QR슬롯 꽁 머니 기반 인증 도입으로 해커들의 공격 표면을 줄이고 사용자 보호를 강화할 것”이라고 강조했다. 다만 구글은 새 인증 방식의 정확한 도입 시점은 밝히지 않았다.
김현철 글로벌이코노믹 기자 rock@g-enews.com
