이중요소인증(2FA) 로그인 시 일회용 비밀번호(OTP)를 전달하는 단문메시지서비스(SMS) 형식을 표준화하자는 제안이 나왔다.
SMS로 전달된 OTP가 전송 요청한 웹사이트에만 자동 입력되는 표준 양식을 수립해 신뢰성을 높이자는 것이 이번 제안의 목표다.
이번 제안을 주도한 것은 웹 브라우저 '사파리'와 앱 스토어, 메일, 맥OS와 iOS 등 애플의 핵심 서비스에 사용되는 웹 브라우저 엔진 '웹킷'을 개발하는 엔지니어들이다.
이들은 지난달 29일 새로운 OTP SMS 표준 양식을 개발자 커뮤니티인 깃허브에 제안했다. 첫째줄엔 사용자에게 필요한 정보를 제공하기 위해 OTP와 OTP를 발행한 사이트를 안내해준다. 둘째줄엔 OTP 발행 사이트의 URL과 OTP 앞에 #을 붙였다. 앱과 브라우저는 둘째줄에 입력된 URL과 동일한 사이트에서만 OTP를 자동으로 추출, 로그인을 시도하는 식이다.
관련기사
- 호주 통신사, 휴대번호 제공 시 2단계 인증 의무화2020.02.03
- 미국 FBI "다중인증도 해킹될 수 있다"2020.02.03
- "이란 해커, 미국 대선 관계자 이메일 해킹 시도"2020.02.03
- 구글플레이에 국내 군사기밀 노린 악성 앱 유포됐었다2020.02.03
표준화를 제안한 애플 웹킷 소속 엔지니어뿐만 아니라 구글 웹 브라우저 '크로미움' 엔지니어들도 이번 제안에 동참하기로 했다. 모질라 파이어폭스 측은 어떤 입장인지 확인되지 않았다.
SMS는 대중적인 2FA 인증 수단이다. 지난해 보안 컨설팅 전문 업체 포네몬인스티튜트의 패스워드 및 인증 보안 활동 보고서를 발표했다. 보고서에 따르면 미국, 영국, 독일, 프랑스 지역 IT·IT 보안 실무자 1천761명을 대상으로 조사한 결과, 일상에서 SMS를 2FA 수단으로 사용한다고 응답한 비중은 27%를 기록, 모바일 인증 앱 다음으로 높게 나타났다.
