인터넷뱅킹같은 온라인서비스에서 비밀번호 입력 후 전화를 이용하는 추가 인증 방식의 안전성에 심각한 의문이 제기됐다. 외국에서 음성통화 또는 문자메시지를 동원한 '이중요소(two-factor)' 보안을 무력화하는 계정 탈취 공격 사례가 발생했기 때문이다.
미국 지디넷은 지난 3일자 독일 일간지 쥐트도이체 차이퉁(Suddeutsche Zeitung) 보도를 인용해, 현지에서 전화를 사용하는 이중요소인증 보안을 뚫고 온라인 금융거래 계정 탈취를 시도한 사건이 벌어졌다고 전했다.
공격자는 금융서비스 이용자에게 전달되는 문자 메시지를 가로채 그 은행 계좌를 털었다.
공격 과정은 이랬다. 우선 공격자는 로그인을 위한 1차 인증에 어려움이 없었다. 이미 다른 계정 정보 유출 사고에서 확보했을 것으로 추정되는 피해자의 계정과 비밀번호를 갖고 있었다.
이어 인터넷뱅킹 로그인을 위해 전화로 통화 또는 코드를 보내 입력받는 이중요소 보안 절차도 통과했다. 이 과정에 시그널링시스템7(SS7)이라 불리는 전화 및 문자메시지 라우팅 시스템의 취약점을 악용했다.
공격자는 1천유로(약 124만4천원)쯤에 살 수 있는 장비를 썼다. 이걸로 SS7 취약점을 동원해 통화 또는 문자메시지를 가로채고 피해자 인터넷뱅킹의 계좌에 접근할 수 있는 온전한 권한을 얻었다. 그리고 계좌의 예금을 어디든 그들이 원하는 다른 계정으로 보낼 수 있었다.
미국 지디넷은 SS7의 해당 취약점은 공격자가 지구상의 거의 모든 전화를 도청해 전화와 문자메시지를 가로채고 재연결(redirect)하는 데 쓰일 수 있는 것으로 지난 수년간 해커와 정치인들이 경고해 온 것이라고 지적했다.
이번 사건은 해당 SS7 취약점을 시연할 목적이 아니라, 실제 공격에 악용된 것으로 확인된 첫 사례로 보인다.
SS7 취약점 공격과 같은 위협을 낮추려면 어떻게 해야 할까. 개인 이용자가 손 쓸 방법은 마땅치 않다. 온라인서비스 제공자가 이중요소인증을 위한 네트워크의 보안성을 높일 수 있는 대안을 고민해야 한다.
미국 지디넷 보도에 따르면 SS7 기반의 어떤 네트워크는 여타 시스템보다 나을 수도 있지만, 아무도 그 취약점 자체를 없앨 수는 없다고 지적했다. 기술적인 어려움보다는 서비스 사업자가 문제를 해결하기 위해 치러야 하는 비용 부담이 큰 탓이라는 진단이다.
서비스 사업자가 고려해야 할 비용에는 단순히 시스템을 보완하는 것만이 아니라, 그로 인한 비용 증가 부담이 이용자들에게도 불가피한걸로 여겨지게끔 만드는 것도 포함됐다. 대다수 이용자는 문자메시지를 쓰는 이중요소인증 체계를 노린 보안 위협을 저평가하고 있기 때문이다.
이용자들의 인식이 앞으로는 달라질 수도 있다. 온라인뱅킹이든, 소셜네트워크든, 이메일이든, 이제 문자메시지를 활용한 이중요소인증은 잠재적으로 위험하다는 실증적 사건이 발생한 셈이기 때문이다.
관련기사
- 킴닷컴, 트위터 이중요소인증 특허권 주장2017.05.08
- MS, 이중요소인증 도입2017.05.08
- 온라인 게임 결제인증, "5월부터 강화"2017.05.08
- LGU+ 와이파이 접속 실명인증 폐지2017.05.08
컴퓨터과학 배경 지식을 갖춘 미국의 테드 리우 하원의원은 의회에서 이 사안에 대해 경고하며 "금융거래계정과 같이 문자기반 이중요소인증으로 보호되는 모든 계정은 연방통신위원회(FCC)와 통신업계가 SS7 보안취약점을 철저히 고치기 전까지 잠재적으로 위험에 노출돼 있다"며 "FCC와 통신업계는 해커가 우리 휴대전화번호만 알아내면 우리의 문자메시지와 전화 통화를 엿들을 수 있다는 걸 알고 있다"고 말했다.
지난해 미국 국립표준기술연구소(NIST)는 문자메시지 기반 인증 수단으로써의 SS7 기술을 폐기하도록 조언했다. 이는 구글오쎈티케이터, 오씨(Authy) 등과 같은 앱처럼 다른 형태로 수행되는 이중요소인증만큼 보안상 안전하지 않다는 이유에서였다.
