SKT 가입자 인증 막는다고?…"문제는 '문자인증'이야"

문자인증, 쉽고 빠르지만 보안은 낙제점
"SKT 해킹사태로 문자인증 체계 개편해야"

신세계포인트 통합 ID는 SKT와 SKT 알뜰폰 가입자의 휴대폰인증을 중단했다. /사진=이마트 앱 캡처

SK텔레콤 유심 정보 유출로 금융권에 이어 산업계에서도 SKT 고객의 문자메시지(SMS) 인증을 중단하는 추세다. 복제 유심으로 인증 문자를 가로채 회원정보를 변경하는 등 피해가 발생할 수 있다는 우려에서다. 전문가들은 SKT 해킹 사고와는 별도로 SMS 인증 자체가 보안에 취약하다고 지적한다.

7일 유통업계에 따르면 신세계는 신세계포인트 통합 ID 서비스에서 SKT와 SKT 망을 쓰는 알뜰폰 고객의 SMS 기반 본인인증(문자인증)을 중단했다. 이름·성별·생년월일·이통사·휴대전화번호 입력 후 문자로 전송된 인증번호를 입력해 본인을 인증하는 서비스다. 이에 따라 SKT 가입자는 이마트·신세계백화점 등 9개 계열사에 회원가입·정보 변경 시 문자인증 대신 카드인증, 카카오인증을 선택해야 한다. 롯데멤버스도 지난달 30일부터 이같은 조치를 시행 중이다.

앞서 보험·캐피털사도 SKT 가입자의 문자인증을 일시 중단했다. 금융당국이 "휴대폰 본인인증, 문자메시지 인증만으로 인증이 완료되는 경우 추가 인증수단을 적용하라"고 안내한 데 따른 조처다.

━

인증문자 언제든 가로챌 수 있어…해외선 QR코드·패스키 각광

━

구글 OTP에서 인증코드를 발급한 예시. /사진=구글

전문가들은 SKT 문자인증을 중단하는 게 능사는 아니라고 지적한다. 문자인증 자체가 언제든 해킹될 위험이 커서다. 김승주 고려대 정보보호대학원 교수는 "유심 복제 외에도 너무도 많은 방법으로 문자인증을 해킹할 수 있다"며 "외국에선 수년 전부터 '문자인증으로 이용자 신원을 확인 하지 말라'고 공지했다. 이번 기회에 정부와 정치권에서 문자인증에 대한 가이드라인을 내놔야 한다"고 말했다.

미국 NIST(국립표준기술연구소)는 2016년 디지털 인증 가이드라인 개정 당시 2단계 인증(2FA)으로 문자인증을 사용하는 것에 대해 반대 의견을 냈다. 유심 교체(심 스와핑)·복제 등으로 해커가 문자를 가로챌 수 있는 데다, 휴대폰 잠금화면이나 웹 서비스에서도 인증코드 문자를 확인할 수 있어 안전성이 낮다는 판단에서다.

실제 글로벌 빅테크는 문자인증을 축소하는 추세다. 구글은 올해부터 지메일에서 문자인증을 없애고 QR코드 스캔을 도입하기로 했다. 구글 OTP(일회용 비밀번호), 마이크로소프트 인증자(Authenticator) 같은 별도 모바일 인증자 앱에서 인증코드를 발급하는 방식도 많다. 인증코드가 20~30초내 빠르게 만료되는 데다, 문자와 달리 네트워크로 전송되지 않아 탈취 위험이 적다는 평가다. 지문·안면인식이나 핀 번호로 IT(정보기술)기기에 접속하면 비밀번호 없이 로그인이 가능한 패스키도 확대되고 있다.

보안업계 관계자는 "문자인증은 개발자와 이용자 모두에 '쉽고 빠른' 인증 방법이지만 안전성은 낙제점"이라며 "최근엔 문자인증처럼 간편하면서도 보안성 높은 솔루션이 많은데 잘 알려지지 않은 것 같다. 인지도 제고가 필요하다"고 말했다.

윤지혜 기자 yoonjie@mt.co.kr