2FA 및 재활용 전화번호는 보안 위험입니다

이중 인증은 보안 강화를 위한 것입니다. 이 추가 단계는 스패머가 귀하의 계정에 침입하는 것을 방지해야 합니다. 하나의 접근 지점을 배우는 것만으로도 그들은 대부분 알지 못하는 추가 단계를 거쳐야 합니다. 그러나 연구자들은 2FA가 재활용된 전화번호와 관련된 보안 위험을 초래할 수 있다는 것을 발견했습니다.

재활용 전화번호가 2FA 계정을 노출시킵니다

사람들은 이사하거나 이동통신사를 변경하는 등의 이유로 가끔 전화번호를 변경합니다. 그러나 사용되지 않는 전화번호는 무한정 공급되지 않습니다. 이로 인해 버려진 전화번호는 종종 재활용됩니다. 새로운 번호를 받았을 때 이전에 그 번호와 연결된 사람에게 걸려오는 전화에 귀찮음을 느꼈을 수도 있습니다.

그것보다 더 귀찮은 일이 있을 수 있습니다. 만약 그 번호가 이전에 2FA와 연결되어 있었다면, 계정의 정보는 보안 위험에 처하게 됩니다. 이제 접근을 위해 두 가지 요소가 필요한 대신, 필요한 것은 전화번호뿐입니다.

프린스턴 대학교 연구자들은 2FA와 재활용 전화번호와 관련된 보안 위험을 발견했습니다. 연구자들이 샘플링한 250개 이상의 전화번호 중 17개가 인기 웹사이트의 계정과 연결되어 있었습니다. 샘플링된 번호는 두 개의 주요 통신사에서 사용할 수 있었습니다.

“또한, 사용 가능한 번호의 대다수는 이전 소유자에 대한 개인 식별 정보를 제공하는 사람 검색 서비스에서 검색 결과를 가져왔습니다. 게다가, 259개 중 100개의 번호는 웹에서 유출된 로그인 자격 증명과 연결되어 있어 SMS 기반 다중 인증을 무력화하는 계정 탈취를 가능하게 할 수 있습니다,”라고 연구자들은 연구에서 자세히 설명했습니다.

“우리는 또한 통신사의 온라인 인터페이스와 번호 재활용 정책에서 공격을 용이하게 할 수 있는 설계상의 약점을 발견했습니다.”

전화번호의 새로운 소유자는 인증 패스코드와 같은 보안 및 개인 정보 관련 전화 및 메시지의 대상이 됩니다. 프린스턴 연구자들은 새로운 소유자가 이 새로운 번호와 연결된 계정을 악용하도록 유도될 수 있다고 믿고 있습니다.

보안 위험 제한하기

전화번호를 변경할 때 2FA와 연결된 계정의 보안 위험을 제한하기 위해 무엇을 할 수 있을까요? 2FA로 보호된 모든 계정을 추적하는 것은 악몽이 될 것입니다.

프린스턴 연구자들은 새로운 번호로 전환할 때 이전 번호를 “주차”해야 한다고 믿습니다. 이는 주차 서비스, 모바일 가상 네트워크 운영자(MVNO) 또는 VOIP 제공업체를 통해 수행할 수 있습니다. 이렇게 하면 이전 계정의 2FA 설정을 업데이트하는 데 필요한 시간을 확보할 수 있습니다.

이러한 우려에도 불구하고 2FA는 여전히 중요한 보안 방법이라는 점을 알아두세요. Twitter 외의 다양한 소셜 네트워크에서 2FA를 설정하는 방법을 알아보려면 계속 읽어보세요. 이는 더 이상 2FA를 위해 전화번호가 필요하지 않습니다.