"SMS에서 비밀코드를 송신하는 것은 그만두어주세요. 안전하지 않습니다"
이는 미국의 국립표준기술 연구소(NIST)가 2016년 여름 이전에 발신한 메시지의 내용이지만, 이에 대해 다양한 의견과 질문, 당황스러워하는 목소리가 나왔습니다.
첫째, NIST는 'Digital Authentication Guideline'(디지털 인증 지침)의 초안을 공개하여 일반의 의견을 모집했습니다. 이 지침의 최종 버전은 2017년 9월에 발행될 예정입니다.
지침 'Section 5.1.3.2'에서는 'Out-of-Band verifiers'(대역외 검증자)에 대해 언급하고 있습니다만, 대역외 검증자는 무엇을 의미할까
예를 들어, 사용자가 인터넷에서 은행거래를 하고, 인터넷이 주요 통신채널이었다고 합시다. 여기에서 은행이 본인확인을 위해 다른 채널을 통해 사용자에게 비밀코드를 전송한 경우 (예 : SMS 문자메시지) 이를 대역외(Out-of-Band, OOB)라고 합니다.
지침에는 이중인증이 필요한, 일정 수준의 보안을 보장하기 위해 'SMS를 사용한 OOB는 권장되지 않으며 앞으로 금지될 수 있다'고 기재되어 있습니다.
이 규격의 작성자는 블로그를 공개하고 있는데, 블로그에서는 더 간단한 표현으로, 구체적으로는 "지금은 (SMS를 OOB 채널로) 사용할 수 있지만, 곧 금지될 것입니다."라고 설명하고 있습니다.
또한, 그 이유로 "보안에 관련된 여러 조사에서, 대량의 SMS 메시지를 리디렉션 및 탈취에 성공한 사례가 늘고 있음을 보여줍니다"라고 말합니다.
우리가 생각하는 것보다 네트워크는 안전하지 않습니다. 통신 네트워크 시스템의 안전성을 낙관하는 경향이 있습니다. 네트워크 시스템은 여러 기술로 이루어져 있으며, 그중 하나인 'SS7'는 1970년대에 개발되어 현재도 당시 그대로의 형태로 다양한 통신 네트워크에서 사용되고 있습니다. 모든 시스템이 그러하듯, 가장 취약한 부분은 통신 네트워크 전체의 강도입니다.
SS7의 취약점을 이용하여 SMS 메시지 탈취는 우리가 생각하는 것보다 훨씬 쉽습니다. 이 취약성 평가를 실시하고 있는 Positive Technologies사가 조사한 'SS7 Security Report'(SS7 보안보고서)의 결과이며, 이 보고서는 "SS7 기반의 모바일 네트워크의 취약점을 이용하여, 기본적인 기술만 있는 침입자라도 위험도가 높은 공격을 수행할 수 있다"고 지적하고 있습니다.
2016년 5월 미국의 싱어송 라이터 Katy Perry가 이러한 공격의 피해를 봤으며, 범인은 그녀의 트위터 계정의 비밀번호를 재설정하여 케이티 본인을 계정으로부터 몰아내고, 그녀의 계정에서 인종차별 · 동성애 차별적인 발언을 썼습니다.
그렇다면 은행이 대역외(OOB) 통신에서 본인확인을 한다면, 어떻게 하면 좋은 것일까. NIST의 문서에서는 이에 대해 몇 가지 제안을 하고 있습니다.
"대역외(OOB) 장치는 고유 주소가 가능하여야 하며, 보조 채널을 통한 통신은 개인채널이어야 합니다."
이것은 장치의 사용자가 아니라 장치 자체를 고유하게 각각 식별하여 주소가 부여 가능해야 한다는 것을 의미합니다.
SMS 통신은 전화번호를 사용하고, 이메일은 이메일 주소를 사용합니다. 둘 다 모든 장치 또는 사용자 ID를 사용하는 일반적인 메시징 서비스(WhatsApp 등)에서 읽을 수 있습니다.
"대역외 인증자는 승인된 암호화 방법을 사용하여 검증자에 대한 인증 보안채널을 구축함으로써, 스스로를 고유하게 증명해야 합니다."
이것은 보안채널을 설정할 수 있어야 한다는 것을 의미하지만, 인터넷에서의 안전한 통신에 사용되는 프로토콜인 SSL만으로 항상 실현할 수 있는 것은 아닙니다. 메시지 수신을 위한 접속을, 등록된 장치에만 한정하고, 스푸핑 장치를 제외해야 합니다.
"사용하는 키는 해당 장치에서 사용할 수 있는 가장 안전한 스토리지에 저장해야 합니다."
이것은 최선의 저장 방법을 이용하는 방법이 각 장치에 있다는 것을 의미합니다. 사용자 고유의 암호화 계층을 추가하는 것도 한 가지 방법입니다.
"검증자에서 대역외 장치로 기밀 정보가 전송되는 경우, 이를 수신한 대역외 장치는 인증의 기밀 정보가 소유자에 의해 잠겨있는 동안 (즉 비밀번호 또는 암호를 입력해야)에는 이 정보를 장치에 표시해서는 없습니다. 그러나 인증자는 인증의 기밀 정보를 받은 사실을, 잠겨있는 장치에 통지할 수 있습니다."
일반적으로 잠겨있는 화면에도 SMS 요약이 표시되므로, 비록 휴대전화가 잠겨 있어도 SMS로 전송된 비밀코드를 볼 수 있습니다. 한편, 푸시 알림은 잠겨있는 화면에 무엇을 표시할 것인지를 제어할 수 있어, 기밀 정보를 숨길 수 있습니다.
"대역외 인증(Out-of-Band Authentication : OOBA)은 보안통신 프로토콜을 사용하여 대역외 장치를 고유하게 식별하는 스마트폰 애플리케이션과 같은 메커니즘을 사용해야 합니다."
여기에는 서드파티 앱에 의존하지 않고 직접 모바일 앱에 포함된 보안 계층과 안전한 통신 계층이 필요합니다.
이처럼 NIST가 제안하는 체제를 실현하기 위한 방법을 검토해야 합니다. 현재 당연하게 본인확인을 위한 2단계인증에 SMS가 이용되고 있지만, 체제의 재검토를 재촉당하는 날은 멀지 않았습니다.
출처 참조 번역
NISTが警告、SMSでの二段階認証が危険な理由
https://japan.zdnet.com/article/35095393/
NISTが警告、SMSでの二段階認証が危険な理由
「SMSでシークレットコードを送信するのはやめてください。安全ではありません。」これは、あのアメリカ国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、こ��
japan.zdnet.com
'IT' 카테고리의 다른 글
| 세계 최초로 화면에 카메라 구멍이 없는 '언더 디스플레이 카메라' 기술을 탑재한 스마트폰 'Axon 20 5G'를 ZTE가 발표 (0) | 2020.08.18 |
|---|---|
| 개인이 사망하면 AdSense 계정은 어떻게 될까? (0) | 2020.08.18 |
| Chrome에 저장된 비밀번호를 사이트별로 확인하는 방법. CSV 형식으로 내보낼 수도 있다! (0) | 2020.08.18 |
| 스마트폰에서 특정 웹페이지를 볼 수 없는 경우의 대처 방법 (0) | 2020.08.17 |
| 집 주소가 적힌 메일을 클릭하면 PC에 있는 데이터가 잠겨버려 몸값을 요구받는 피싱이 등장 (0) | 2020.08.16 |
| 익명 통신시스템 'Tor'를 사용하는데 알아야 할 7가지 (0) | 2020.08.16 |
| Tor에서 봇넷 피해와 NSA의 암호화 키 돌파의 위험성이 판명 (0) | 2020.08.16 |
| 몸값을 지불하지 않고도 'CryptoLocker'에 암호화된 파일을 무료로 복원할 수 있는 인터넷 서비스가 등장 (0) | 2020.08.15 |
