컴퓨팅 문자메시지 인증은 안전하지 않다 - 최신정보

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

오매마켓

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

IT정보 컴퓨팅 문자메시지 인증은 안전하지 않다

작성자: 프리네 조회 수: 335 PC모드

그간 국내 금융계의 보안실태와 무대포식 운영과 사고발생시 전적으로 고객에게 떠넘기는 행태에

개인적으로 불만이 많았습니다. 요즘 통장하나 만들기 정말 불편하고 힘이 듭니다.

물론 취지는 이해가 가지만 매번 해결책이라고 내놓는게 오히려 불편함만 가중시키고 있으며

실제적인 성과도 크지 않다고 봅니다. 매번 털리는 개인정보에 대한 강력한 처벌이나 책임도 없고

매번 불편함만 가중시키고 있죠. 그래서 요즘 금융거래시 보안카드나 OTP와 더불어 2차 인증으로

문자서비스를 이용하는데 이게 사실상 보안에 취약하여 무방비 상태이며 다른 시스템으로 교체하지

않으면 딱히 해결책도 없다고 하는군요. 아래 원 게시물 내용을 첨부합니다.

## 혹시라도 본 내용과 관련하여 게시에 문제가 있을시 연락주시면 바로 내리도록 하겠습니다.

SS7 문자메시지 인증 취약점 악용 금융사고

인터넷뱅킹같은 온라인서비스에서 비밀번호 입력 후 전화를 이용하는 추가 인증 방식의 안전

성에 심각한 의문이 제기됐다. 외국에서 음성통화 또는 문자메시지를 동원한 '이중요소(two-

factor)' 보안을 무력화하는 계정 탈취 공격 사례가 발생했기 때문이다.

미국 지디넷은 지난 3일자 독일 일간지 쥐트도이체 차이퉁(Suddeutsche Zeitung) 보도를 인용

해, 현지에서 전화를 사용하는 이중요소인증 보안을 뚫고 온라인 금융거래 계정 탈취를 시도한

사건이 벌어졌다고 전했다.

공격자는 금융서비스 이용자에게 전달되는 문자 메시지를 가로채 그 은행 계좌를 털었다.

이중요소인증 공격 과정은 이랬다. 우선 공격자는 로그인을 위한 1차 인증에 어려움이 없었다.

이미 다른 계정 정보 유출 사고에서 확보했을 것으로 추정되는 피해자의 계정과 비밀번호를 갖고 있었다.

이어 인터넷뱅킹 로그인을 위해 전화로 통화 또는 코드를 보내 입력받는 이중요소 보안 절차도

통과했다. 이 과정에 시그널링시스템7(SS7)이라 불리는 전화 및 문자메시지 라우팅 시스템의

취약점을 악용했다. 공격자는 1천유로(약 124만4천원)쯤에 살 수 있는 장비를 썼다.

이걸로 SS7 취약점을 동원해 통화 또는 문자메시지를 가로채고 피해자 인터넷뱅킹의 계좌에

접근할 수 있는 온전한 권한을 얻었다. 그리고 계좌의 예금을 어디든 그들이 원하는 다른 계정으로

보낼 수 있었다.

미국 지디넷은 SS7의 해당 취약점은 공격자가 지구상의 거의 모든 전화를 도청해 전화와 문자

메시지를 가로채고 재연결(redirect)하는 데 쓰일 수 있는 것으로 지난 수년간 해커와 정치인들

이 경고해 온 것이라고 지적했다. 이번 사건은 해당 SS7 취약점을 시연할 목적이 아니라,

실제 공격에 악용된 것으로 확인된 첫 사례로 보인다.

SS7 취약점 공격과 같은 위협을 낮추려면 어떻게 해야 할까. 개인 이용자가 손 쓸 방법은 마땅

치 않다. 온라인서비스 제공자가 이중요소인증을 위한 네트워크의 보안성을 높일 수 있는 대안

을 고민해야 한다.

미국 지디넷 보도에 따르면 SS7 기반의 어떤 네트워크는 여타 시스템보다 나을 수도 있지만,

아무도 그 취약점 자체를 없앨 수는 없다고 지적했다. 기술적인 어려움보다는 서비스 사업자가

문제를 해결하기 위해 치러야 하는 비용 부담이 큰 탓이라는 진단이다.

서비스 사업자가 고려해야 할 비용에는 단순히 시스템을 보완하는 것만이 아니라, 그로 인한

비용 증가 부담이 이용자들에게도 불가피한걸로 여겨지게끔 만드는 것도 포함됐다. 대다수 이

용자는 문자메시지를 쓰는 이중요소인증 체계를 노린 보안 위협을 저평가하고 있기 때문이다.

이용자들의 인식이 앞으로는 달라질 수도 있다. 온라인뱅킹이든, 소셜네트워크든, 이메일이든,

이제 문자메시지를 활용한 이중요소인증은 잠재적으로 위험하다는 실증적 사건이 발생한 셈이

기 때문이다.

컴퓨터과학 배경 지식을 갖춘 미국의 테드 리우 하원의원은 의회에서 이 사안에 대해 경고하며

"금융거래계정과 같이 문자기반 이중요소인증으로 보호되는 모든 계정은 연방통신위원회

(FCC)와 통신업계가 SS7 보안취약점을 철저히 고치기 전까지 잠재적으로 위험에 노출돼 있

다"며 "FCC와 통신업계는 해커가 우리 휴대전화번호만 알아내면 우리의 문자메시지와 전화 통

화를 엿들을 수 있다는 걸 알고 있다"고 말했다.

지난해 미국 국립표준기술연구소(NIST)는 문자메시지 기반 인증 수단으로써의 SS7 기술을 폐

기하도록 조언했다. 이는 구글오쎈티케이터, 오씨(Authy) 등과 같은 앱처럼 다른 형태로 수행되

는 이중요소인증만큼 보안상 안전하지 않다는 이유에서였다.

2017. 5. 9. ZDNet Korea imc@zdnet.co.kr 임민철 기자

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

엮인글 :

2017.05.09 11:29
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

2017.05.09 14:27
가입일: 2015:12.14
총 게시물수: 59
총 댓글수: 820

이것 참 안뚫리는게 없네요. 인터넷 뱅킹 안쓸 수도 없고...

2017.05.09 14:51
가입일:
총 게시물수: 1
총 댓글수: 373

큰일이네요, 안전한게 없으니...

2017.05.09 15:16
가입일: 2019:03.05
총 게시물수: 0
총 댓글수: 47

어디에나 창과 방패가 있는지라.. 보안에 헛점이 없는건 없지요.

2017.05.09 17:30
가입일:
총 게시물수: 1
총 댓글수: 382

정보 감사합니다.

2017.05.12 10:48
가입일: 2018:12.27
총 게시물수: 2
총 댓글수: 355

정보 감사합니다.

2017.05.13 09:09
가입일:
총 게시물수: 2
총 댓글수: 93

정보 감사합니다

2017.05.23 09:40
가입일:
총 게시물수: 4
총 댓글수: 373

정보 감사합니다.

2017.06.01 19:04
가입일: 2017:06.01
총 게시물수: 1
총 댓글수: 89

감사합니다

List of Articles

No Image IT정보 우리은행, 디지털화폐 추진… 토종 비트코인 생기나? 최근 비트코인과 이더리움 등 가상화폐가 주목받고 있다. 이런 가운데 국내 금융권인 우리은행이 블록체인 기술을 활용한 디지털화폐를 추진하고 있다. 우리은행... 작성자: 크로커스 등록일: 2017-08-21	1501 VIEWS 2 COMMENTED
IT정보 랜섬웨어 이어 랜섬디도스까지 '기승' [아이뉴스24 성지은기자] 랜섬웨어(Ransomware)에 이어 랜섬디도스(Ransom DDoS)까지 기승을 부리고 있다. 비트코인 등 금전을 지불하지 않을 경우, 디도스 공격... 작성자: 구피 등록일: 2017-08-08	212 VIEWS 12 COMMENTED
No Image IT정보 "바다 위도 OK"…MS, 하이브리드 클라우드 국내 출시 "바다 위도 OK"…MS, 하이브리드 클라우드 국내 출시 <아이뉴스24> [아이뉴스24 김국배기자] 마이크로소프트(MS)가 하이브리드 클라우드 플랫폼 '애저 스택(Azure ... 작성자: 구피 등록일: 2017-08-08	171 VIEWS 1 COMMENTED
IT정보 스타크래프트 리마스터, 새 PC 구매 해야 하나? 지난 7월 30일에 부산 광안리에서 열린 'GG 투게더' 스타크래프트 리마스터 런칭 행사 이후 스타크래프트 리마스터를 PC방을 통해서 국내에서 가장 먼저 만나볼 ... 작성자: Shalom 등록일: 2017-08-02	511 VIEWS 14 COMMENTED
IT정보 팀킬도 무시한 AMD, 라이젠 3 1300X가 1400 보다 빠르다 AMD 라이젠 3 1300X 프로세서의 실체가 밝혀졌다. 어제 밤 주요 외신들이 라이젠 3 1300X의 성능을 검증한 벤치마크 기사를 쏟아내기 시작 하면서 10만원대 프로... 작성자: Shalom 등록일: 2017-07-28	290 VIEWS 11 COMMENTED
IT정보 갤노트8, 내달 23일 뉴욕서 공개 삼성전자는 다음달 23일(현지시간) 미국 뉴욕에서 '갤럭시 스마트폰 신제품 언팩 행사'를 개최한다고 알리는 초청장을 글로벌 미디어와 파트너들에게 21일... 작성자: 애신각라 등록일: 2017-07-21	95 VIEWS 4 COMMENTED
IT정보 인텔 CPU가 AMD 라이젠으로 둔갑, 아마존 구매 주의보 발령 http://images.kbench.com:8080/kbench/article/2017_07/k180368p1n1.jpg Home 컴퓨팅 PC 부품 CPU 주요뉴스인텔 CPU가 AMD 라이젠으로 둔갑, 아마존 구매 주... 작성자: 임모두 등록일: 2017-07-18	217 VIEWS 10 COMMENTED
IT정보 인텔도 코어 경쟁 나선다, 8세대 부터 6코어 i5 투입 예정 쿼드 코어(CPU 4개) 중심으로 데스크탑 PC 시장을 이끌어 왔던 인텔이 대대적인 전략 수정에 나섰다. 쿼드 코어 중심의 시장 정책이 무너진 지금의 상황을 반전... 작성자: Shalom 등록일: 2017-07-18	213 VIEWS 11 COMMENTED
IT정보 인공지능 합성기술 이제 인공지능을 이용한 합성도 가능하네요 정말 신기 방기한 곳입니다. 작성자: 하ㅇ룽 등록일: 2017-07-12	183 VIEWS 14 COMMENTED
IT정보 국내 인터넷이용자 10명 중 7명 인스타그램 이용 국내 인터넷 이용자 10명 중 7명이 인스타그램을 이용하는 것으로 나타났다. 미디어렙 및 광고플랫폼 기업 DMC미디어는 지난달 1~9일 만 19세 이상 59세 이하 한... 작성자: 파란하늘 등록일: 2017-07-10	143 VIEWS 9 COMMENTED
IT정보 공공 웹사이트에서 액티브X 사라진다 공공 웹사이트에서 액티브X 사라진다 2020년까지 공공 분야 모든 웹사이트에서 액티브X가 사라진다. 국정기획자문위원회는 "내년부터 3년간 연차적으로 액티브X... 작성자: Op 등록일: 2017-07-06	146 VIEWS 12 COMMENTED
IT정보 넷플렉스 플레이어랜섬웨어 경고!!! 어제 날짜로 올라온 옥자 악녀 넷플렉스 토렌트 파일에 넷플렉스 플레이어 다운 유도 주소 포함 txt 파일이 들어잇는데 다행히 mkv는 눌러도 재생만 안될뿐 랜섬... 작성자: 카니발 등록일: 2017-06-28	689 VIEWS 16 COMMENTED
IT정보 페트야 랜섬웨어, 돈 내도 암호 못 푼다 페트야 랜섬웨어, 돈 내도 암호 못 푼다 페트야(Petya)'라는 이름으로 알려진 랜섬웨어에 감염당했더라도 비트코인을 지불하면 안 된다. 사이버범죄를 부추길 수 ... 작성자: Op 등록일: 2017-06-28	331 VIEWS 9 COMMENTED
IT정보 랜섬웨어 또 확산…이번엔 부팅까지 차단 랜섬웨어 또 확산…이번엔 부팅까지 차단 워너크라이에 이어 또다른 랜섬웨어가 창궐했다. 컴퓨터 시스템을 망가뜨리고 비트코인을 요구하는데, 파일을 암호화하는... 작성자: Op 등록일: 2017-06-28	316 VIEWS 11 COMMENTED
IT정보 섬웨어 피해, 해커에게 돈 안내고 복원 못할까 KISA, 암호키 복원기술 실증 선행연구 시작…"글로벌 피해지원 프로젝트 참여도 추진" (지디넷코리아=임민철 기자)최근 대형 랜섬웨어 사고 피해 사례가 나오면서 ... 작성자: 파란하늘 등록일: 2017-06-15	773 VIEWS 26 COMMENTED
IT정보 [울지않는 벌새님 블로그]Erebus 랜섬웨어 피해를 당한 국내 웹 호스팅 업체 소식 (2017.6.10) 파일을 암호화하여 금전을 요구하는 수많은 랜섬웨어(Ransomware) 중에서는 잠시 나타났다가 사라지는 경우도 있지만 RaaS(Ransomware-as-a-Service) 형태로 조... 작성자: Soundofsol 등록일: 2017-06-12	674 VIEWS 20 COMMENTED
No Image IT정보 'http'와 'https' 글자 하나 차이에 차단 자체가 불가능한 시스템 방송통신심의위원회가 운영하는 불법·유해정보 사이트 차단 페이지가 제 기능을 발휘하지 못하고 있다. 단순히 사이트 주소에 's' 한 글자만 추가했을 뿐인데도 ... 작성자: 태공 등록일: 2017-06-05	842 VIEWS 21 COMMENTED
IT정보 ARM, 인공지능 개발 최적화 CPU 코어 발표 영국 반도체 설계자산(IP) 업체 ARM이 인공지능(AI) 개발에 최적화된 차세대 중앙처리장치(CPU) 코어를 공개했다. ARM은 지난 3월 발표한 다이내믹(DynamIQ) 기... 작성자: 단비 등록일: 2017-05-29	409 VIEWS 14 COMMENTED
No Image IT정보 컴퓨팅 문자메시지 인증은 안전하지 않다 그간 국내 금융계의 보안실태와 무대포식 운영과 사고발생시 전적으로 고객에게 떠넘기는 행태에 개인적으로 불만이 많았습니다. 요즘 통장하나 만들기 정말 불... 작성자: 프리네 등록일: 2017-05-09	335 VIEWS 9 COMMENTED
IT정보 스마트폰 지문 인식, 쉽게 뚫린다. 지문을 이용한 생체 인증으로 스마트폰의 보안을 지키는 것은 안전하지 않다는 연구 결과가 나왔다. 미국 뉴욕대 탠돈공대 컴퓨터과학과 나시르 메몬 교수팀이 취... 작성자: 파란하늘 등록일: 2017-05-08	412 VIEWS 15 COMMENTED