미국 정부는 앞으로 휴대폰 인증을 사용한 본인 확인을 더이상 이용하지 않게 될 것으로 보인다. 또한 민간 서비스 업체들도 미국 정부의 권고에 따라 휴대폰 인증 대신 다른 수단을 사용할 전망이다.
미국 국립표준기술연구소(NIST)가 최근 발표한 디지털 인증 가이드라인 시안에 의하면 휴대폰 인증은 더이상 안전하지 않으므로 앞으로 발행될 NIST 가이드라인에서 제외될 것이라고 한다. 이 가이드라인은 소프트웨어 업체들의 안전한 서비스 구축과, 미국 정부 기관들의 서비스와 소프트웨어 보안 평가에 사용되고 있으며, 급변하는 IT 기술과 환경의 특성상 지속적으로 업데이트 되고 있다.
개정판 시안에 의하면 SMS 기반 2중 인증은 가이드라인 차기 버전부터 안전하지 못한 수단으로 간주될 것이고, NIST는 기업들에게 SMS 기반 인증을 사용하지 말 것을 권고할 예정이다. 휴대폰 인증이 왜 안전하지 못한지 NIST 가이드 시안에는 직접적으로 언급되어 있지 않지만 다음 두가지를 보건대 SS7 취약점 때문임을 짐작할 수 있다.
- SMS 인증 서비스를 사용하는 업체들은 인증 코드가 휴대폰으로 정말 전송되는지 아니면 VoIP로 전송되는지 확인해야 하며,
- 공격자는 사용자로 위장해 서비스 업체에 자신의 전화번호가 변경되었다고 속일 수 있기 때문에 서비스에 등록된 휴대폰 번호 변경은 해당 휴대폰 인증을 통해서만 가능하도록 할 것
상대방 휴대폰 번호만 알면 통화를 엿듣고, SMS 메시지를 중간에서 가로채는 것이 가능하다는 건 이미 공공연한 사실이 되어버린지 오래다. 몇 년 전부터 꾸준히 위험성이 제기되어 온 SS7 취약점을 이용하면 휴대폰 통화와 문자를 가로챌 수 있으며 휴대폰 인증코드를 가로채는 경우 계정 해킹이 가능하다. 이같은 해킹은 국가 첩보기관만이 아니라 일반 해커도 가능하다는 점에서 문제는 심각하다. 이탈리아 해킹팀도 같은 서비스를 국가기관들에 제공했던 것으로 전해졌으며, 최근 들어서는 해당 서비스를 판매하는 해커들을 언더그라운드에서 자주 볼 수 있다.
NIST 가이드는 2중 인증 사용 시 SMS 인증 이외의 다른 수단 – 예를 들어 스마트폰에 인증 앱 설치 (구글 Authenticator 등), 보안키, 스마트카드 등의 다른 물리적 수단을 추천했다.