Here is the blog post, written specifically for My Core Pick.

SMS 코드를 버려야 할 때: SIM 스와핑을 막기 위해 인증 앱으로 전환하기

내일 아침 잠에서 깨어 휴대폰을 확인한다고 상상해 보십시오.

알림이나 이메일, 어쩌면 친구에게서 온 문자 메시지를 기대하실 겁니다.

하지만 상단 모서리에는 "서비스 없음(No Service)"이라는 문구만 보입니다.

당신은 그저 오류라고 생각합니다. 휴대폰을 재부팅 합니다. 여전히 아무것도 뜨지 않습니다.

문제를 신고하기 위해 노트북으로 이메일에 로그인하려고 시도합니다.

하지만 비밀번호가 작동하지 않습니다.

"비밀번호 찾기"를 클릭합니다. 사이트는 복구 코드가 당신의 전화번호로 전송되었다고 말합니다.

하지만 당신은 문자를 받지 못합니다. 다른 누군가가 받았습니다.

이것은 공상과학 영화의 줄거리가 아닙니다. 이것은 SIM 스와핑(SIM Swapping)의 현실이며, 놀라운 속도로 증가하고 있습니다.

수년 동안 우리는 2단계 인증(2FA)이 보안의 표준이라고 들어왔습니다.

그리고 그것은 사실입니다.

하지만 모든 2FA가 동일하게 만들어진 것은 아닙니다.

여전히 로그인 코드를 받기 위해 SMS 문자 메시지에 의존하고 있다면, 당신은 디지털 라이프의 뒷문을 활짝 열어두고 있는 셈입니다.

여기 My Core Pick에서, 우리는 당신의 디지털 도구들을 최적화하는 데 집착합니다.

오늘 우리는 왜 SMS가 고장 난 방식인지, SIM 스와핑이 실제로 무엇인지, 그리고 인증 앱(Authenticator App)을 사용하여 어떻게 계정을 잠그고 보호할 수 있는지 설명해 드리겠습니다.

침묵의 위협: SIM 스와핑이란 무엇인가?

도구를 왜 바꿔야 하는지 이해하려면, 먼저 위협에 대해 이해해야 합니다.

SIM 스와핑은 신원 도용의 한 형태입니다.

이것은 놀랍게도 기술 수준이 낮습니다(low-tech).

해커들은 당신의 휴대폰을 물리적으로 훔칠 필요가 없습니다.

그들은 당신의 기기에 악성코드를 설치할 필요도 없습니다.

그들은 단지 당신의 이동통신사를 속이기만 하면 됩니다.

공격이 작동하는 방식

공격자는 당신에 대한 약간의 정보를 수집합니다.

이것은 데이터 유출, 소셜 미디어, 또는 피싱 이메일에서 얻을 수 있습니다.

그들은 당신의 이동통신사 고객 지원 센터에 전화를 겁니다.

그들은 당신인 척 연기합니다.

그들은 휴대폰을 잃어버렸거나 새 휴대폰을 샀다며 새 SIM 카드를 활성화해야 한다고 주장합니다.

만약 고객 지원 상담원이 이 이야기에 넘어가면, 그들은 당신의 전화번호를 해커의 SIM 카드로 "이동(port)"시킵니다.

즉각적인 결과

전환이 일어나는 순간, 당신의 휴대폰은 먹통이 됩니다.

이제 해커의 휴대폰이 당신의 모든 전화와 문자를 받습니다.

그들은 즉시 당신의 은행, 이메일, 그리고 암호화폐 거래소로 갑니다.

그들은 "비밀번호 찾기"를 누릅니다.

서비스가 SMS 인증 코드를 보내면, 그것은 해커에게 곧바로 전송됩니다.

그들은 당신의 비밀번호를 변경하고 당신을 차단합니다.

이 모든 일은 몇 분 안에 일어납니다.

왜 SMS 2FA가 가장 약한 연결 고리인가

SMS가 그렇게 취약하다면 왜 여전히 옵션으로 존재하는지 궁금하실 겁니다.

정답은 편리함입니다.

누구나 전화번호가 있습니다. 누구나 문자 메시지를 읽을 줄 압니다.

하지만 SMS(Short Message Service)는 1980들에 만들어졌습니다.

이것은 민감한 금융 정보를 위한 보안 채널로 설계된 적이 없습니다.

프로토콜 문제

SMS 메시지는 일반적으로 종단간 암호화(end-to-end encrypted)가 되지 않습니다.

그것들은 가로채기가 가능한 구식 신호 프로토콜을 통해 이동합니다.

하지만 가장 큰 결함은 기술 자체가 아닙니다.

그것은 인적 요소입니다.

당신의 보안은 전적으로 이동통신사 대리점의 최저임금을 받는 고객 지원 상담원에게 달려 있습니다.

만약 그들이 속거나(혹은 매수당한다면), 당신의 보안은 사라집니다.

우리는 당신의 보안이 통신사의 손이 아닌, 당신의 손에 있어야 한다고 믿습니다.

그것이 우리가 전화번호를 식별 수단으로 사용하는 것에서 벗어나야 하는 이유입니다.

인증 앱(Authenticator App)의 등장: 당신의 디지털 경호원

그렇다면 대안은 무엇일까요?

정답은 인증 앱(Authenticator App)입니다.

Google Authenticator나 Microsoft Authenticator에 대해 들어보셨을 겁니다.

이 앱들은 시간 기반 일회용 비밀번호(TOTP)를 생성합니다.

복잡하게 들리지만, 사용자 경험은 실제로 SMS보다 더 빠릅니다.

작동 방식

인증 앱을 설정할 때, 웹사이트(Gmail이나 Amazon 등)에서 제공하는 QR 코드를 스캔합니다.

이것은 해당 기기와 웹사이트 사이에 비밀 연결을 설정합니다.

그러면 앱은 6자리 코드를 생성합니다.

여기서 핵심적인 차이점이 있습니다: 코드는 30초마다 바뀝니다.

코드는 당신의 기기 내에서 로컬로 생성됩니다.

이것은 통신 신호가 필요 없습니다.

와이파이(Wi-Fi)도 필요 없습니다.

당신의 전화번호가 무엇인지 상관하지 않습니다.

해커가 SIM 스와핑을 통해 당신의 전화번호를 훔쳐 가더라도, 그들은 코드를 생성할 수 없습니다.

그들이 접속하려면 잠금이 해제된 당신의 물리적인 휴대폰이 필요합니다.

이것은 엄청난 보안 업그레이드입니다.

My Core Pick: 사용하기 좋은 최고의 인증 앱

앱 스토어를 검색해 보면 수십 가지의 옵션을 찾을 수 있습니다.

어떤 것은 훌륭합니다. 어떤 것은 광고로 가득 차 있습니다.

우리는 당신의 업무 흐름에 맞는 올바른 앱을 선택할 수 있도록 가장 인기 있는 옵션들을 테스트했습니다.

1. Google Authenticator

이것은 인증 앱의 조상 격입니다.

믿을 수 없을 정도로 단순합니다.

역사적으로 가장 큰 단점은 휴대폰을 잃어버리면 코드도 잃어버린다는 것이었습니다.

하지만 Google은 최근 클라우드 동기화 기능을 추가했습니다.

Google 생태계를 깊이 사용하고 있다면, 이것은 군더더기 없는 확실한 선택입니다.

2. Microsoft Authenticator

업무용으로 Outlook이나 Office 365를 사용한다면, 이것을 선택하세요.

Microsoft 계정의 경우 "푸시" 알림을 제공합니다.

코드를 입력할 필요도 없이, 휴대폰에서 "승인"을 탭하기만 하면 됩니다.

또한 내장된 비밀번호 관리자 기능도 포함되어 있지만, 그 기능을 반드시 사용할 필요는 없습니다.

이것은 강력하고, 신뢰할 수 있으며, 기업용 수준입니다.

3. Twilio Authy

오랫동안 Authy는 기술 애호가들이 가장 좋아하는 앱이었습니다.

주요 장점은 훌륭한 멀티 디바이스 지원입니다.

휴대폰과 태블릿 모두에 설치할 수 있습니다.

휴대폰을 분실한 경우, 해당 기기의 액세스를 취소하고 태블릿을 사용할 수 있습니다.

인터페이스는 깔끔하고 사용자 친화적입니다.

거대 기술 기업들과는 별개라는 점 때문에 일부 개인정보 보호 옹호자들이 선호하기도 합니다.

4. 1Password 또는 Bitwarden

최고의 편리함을 원한다면, 사용 중인 비밀번호 관리자를 살펴보세요.

1Password나 Bitwarden 같은 프리미엄 비밀번호 관리자에는 TOTP 생성기가 내장되어 있습니다.

로그인할 때, 비밀번호 관리자가 아이디, 비밀번호, 그리고 2FA 코드를 자동으로 입력해 줍니다.

이는 매끄러운 로그인 경험을 만들어냅니다.

하지만 여기에는 보안상의 트레이드오프(trade-off)가 있습니다.

비밀번호와 2FA 코드를 같은 바구니(비밀번호 관리자)에 보관한다면, 기술적으로는 단일 요소 인증으로 축소시키는 셈입니다.

가치가 높은 타겟(은행 업무 등)의 경우, 2FA 코드를 별도의 앱에 보관하는 것을 추천합니다.

일반 계정(Netflix나 Reddit 등)의 경우, 비밀번호 관리자를 사용하는 것은 완벽히 괜찮으며 매우 편리합니다.

전환하는 방법 (계정이 잠기지 않게 하면서)

SMS에서 앱으로 전환하는 것은 벅차게 느껴질 수 있습니다.

계정이 잠겨버릴까 봐 걱정될 수도 있습니다.

우리는 이 과정을 고통 없이 진행할 수 있는 간단한 워크플로우를 가지고 있습니다.

하루에 모든 계정을 다 하려고 하지 마세요.

"핵심 3가지"부터 시작하세요: 이메일, 은행, 그리고 비밀번호 관리자입니다.

1단계: 로그인 및 위치 찾기

서비스(예: Google 계정)에 로그인합니다.

보안 설정으로 이동합니다.

"2단계 인증" 또는 "Two-Factor Authentication"을 찾으세요.

2단계: SMS를 제거하기 '전'에 앱 추가하기

아직 전화번호를 삭제하지 마십시오.

"인증 앱 설정(Set up Authenticator App)" 옵션을 선택합니다.

화면에 QR 코드가 나타날 것입니다.

휴대폰에서 선택한 앱을 열고 "+" 버튼을 누르세요.

화면을 스캔합니다.

3단계: 확인 및 테스트

웹사이트는 앱이 작동하는지 확인하기 위해 휴대폰에 표시된 6자리 코드를 입력하라고 요청할 것입니다.

확인되면, 로그아웃했다가 다시 로그인해 보세요.

모든 것이 원활하게 작동하는지 확인하기 위해 앱 코드를 사용해 봅니다.

4단계: 정리 작업

앱이 작동하는 것을 확인했다면, 설정으로 돌아갑니다.

사이트에서 허용하는 경우 2FA 수단에서 전화번호를 제거하십시오.

일부 은행은 전화번호를 유지하도록 강제하지만, 제거할 수 있다면 그렇게 하십시오.

이렇게 하면 SIM이 스와핑되더라도, 해커가 문자로 코드를 요청할 방법이 없어집니다.

모두가 잊어버리는 중요한 단계: 백업 코드

인증 앱에는 한 가지 큰 위험이 있습니다.

휴대폰을 바다에 빠뜨리면 어떻게 될까요?

코드가 기기에서 생성되기 때문에, 계정이 잠길 수 있습니다.

이것이 백업 코드(Backup Codes)(또는 복구 코드)가 필수적인 이유입니다.

열쇠 인쇄하기

웹사이트에서 2FA를 설정할 때, 거의 항상 8~10개의 "백업 코드" 목록을 보여줄 것입니다.

그들은 이 코드를 인쇄하거나 저장하라고 말할 것입니다.

이 화면을 무시하지 마십시오.

이것들은 일회용 마스터키입니다.

휴대폰을 분실했을 때, 이 코드 중 하나를 사용하여 계정에 접속하고 새 휴대폰을 설정할 수 있습니다.

보관 전략

이 코드들을 인쇄하세요.

집 안의 물리적인 폴더나 내화 금고에 보관하십시오.

또는 암호화된 비밀번호 관리자 내의 보안 메모로 저장하십시오.

스크린샷만 찍어서 바탕화면에 남겨두지 마십시오.

이 코드들을 집 열쇠처럼 다루십시오.

결론: 오늘 바로 통제권을 가지세요

우리는 디지털 신원이 물리적 신원만큼이나 중요한 시대에 살고 있습니다.

보안을 위해 SMS 문자 메시지에 의존하는 것은 현관문을 잠그고 열쇠를 매트 아래에 두는 것과 같습니다.

정직한 사람은 막을 수 있겠지만, 그것을 찾고 있는 범죄자는 막을 수 없습니다.

인증 앱으로의 전환은 계정당 몇 분밖에 걸리지 않습니다.

하지만 마음의 평화는 영원합니다.

당신은 더 이상 당신을 보호해 줄 이동통신사에 의존하지 않게 됩니다.

당신 자신의 보안을 스스로 통제하기 시작하는 것입니다.

위의 목록에서 앱을 하나 고르세요.

오늘 주 이메일 계정부터 시작하십시오.

전환하세요.

미래의 당신(그리고 당신의 은행 계좌)이 고마워할 것입니다.