문자메시지(SMS)를 이용한 2단계 본인인증 방식이 미국 표준기관의 가이드라인에서 퇴출된다.
27일(현지시간) 미국 지디넷에 따르면 미국 국립표준기술원(NIST)은 ‘디지털 인증 가이드라인’ 차기버전에 SMS를 이용한 대역외(OOB) 인증을 반대하며, 향후 허용하지 않을 것이란 문구를 삽입했다.
OOB란 ID와 암호 입력 외에 휴대폰 등 외부 망을 통해 추가 본인확인절차를 요구하는 것이다. 최근 급속도로 확산된 휴대폰 본인인증이 해당된다. 가이드라인은 자세한 내용을 밝히지 않았다. SMS 기반 인증 메시지를 공격자가 중간에 가로챌 수 있다는 우려를 담은 것으로 보인다.
NIST는 “만약 SMS를 사용하는 본인인증이 공용 이동통신망으로 보내질 경우 관리책임자는 이동통신망을 사용하는 전화번호인지, VoIP나 기타 소프트웨어 서비스인지 확인할 필요가 있다”고 밝혔다.
NIST는 “일부 VoIP 전화서비스는 문자메시지와 음성전화를 물리적 기기없이 전송할 수 있으므로, OOB 인증에 사용되지 않아야 한다”고 설명했다.
또한, 이메일이나 또다른 형태로 인스턴트 메시지를 받을 수 있는 수단이 존재하며, 특정 기기의 소유를 입증하기 힘들다는 점도 밝혔다. 스마트폰 잠금화면으로 인증 메시지를 미리보기 할 수 없게 해야 한다고 덧붙였다.
관련기사
- 라온시큐어, 신한 앱카드 지문인증결제 공급2016.07.27
- 파운더스게이트, 삼성SDS와 생체인증 솔루션 마케팅 제휴2016.07.27
- 美주요 은행들, 비번 대신 지문-얼굴인식 도입2016.07.27
- ‘귀’에 꽂기만 하면 1초만에 생체인증...정확도 99%2016.07.27
NIST는 가이드라인 초안에 보안을 확보한 애플리케이션 기반 인증이나 생체정보인증 등을 사용할 수 있다고 명시했다.
NIST 가이드라인은 법적 구속력을 갖지 않는다. 하지만, IT업계는 NIST 가이드라인을 기반으로 보안, 인증 등의 방침을 만든다. NIST 가이드라인 차기버전은 3년 내 개정된다.