SMS 기반 인증 코드에는 오랫동안 심각한 보안 결함이 있었습니다. 일반적인 악의적인 악용 방법에는 SIM 카드 교체 하이재킹 또는 의사 기지국 하이재킹이 포함됩니다. 이러한 방법은 특정 휴대폰 번호를 제어한 후 수신된 인증 코드를 사용하여 계정에 로그인할 수 있습니다.
현재 일부 플랫폼에서는 점차 SMS 인증 코드를 포기하고 Passkey, TOTP(시간 기반 일회성 인증 코드), MFA(다단계 인증) 등 보다 안전한 인증 방법을 사용하고 있습니다.
이제 Google은 Gmail 사서함의 SMS 인증 코드를 대체하기 위해 MFA 인증 방법 채택을 준비하고 있습니다. 앞으로는 Gmail에 로그인할 때 SMS 확인이 더 이상 지원되지 않습니다. 사용자는 인증을 위해 코드를 스캔하려면 Google 앱을 사용해야 합니다.
구글의 공식 대변인은 이렇게 말했습니다.
비밀번호 대신 패스키를 사용하고 싶은 것보다 더 이상 인증을 위해 문자 메시지를 보내고 싶지 않습니다. SMS 인증 코드에는 보안 문제가 많이 있습니다. SMS 확인 코드는 피싱될 수 있으며, 사람들이 항상 확인 코드를 수신한 장치에 액세스할 수 있는 것은 아니며, SMS 확인 코드는 사용자 이동통신사의 보안 조치에 의존합니다.
사기꾼이 교환원을 통해 쉽게 누군가의 전화번호를 알아낼 수 있다면(예: 이전 SEC 계정을 도난당한 경우) 문자 메시지의 보안은 존재하지 않습니다. 스캔 인증에 QR 코드를 사용하면 전 세계적으로 만연한 문자 메시지 남용의 영향을 줄일 수 있습니다.
인증을 위해 QR 코드 스캔을 사용하면 Gmail 사용자가 속아서 해커와 보안 코드를 공유하는 피싱 위험을 줄일 수 있다고 Google은 말했습니다. 결국 사용자는 인증 중에 코드를 적극적으로 스캔해야 하므로 공유할 디지털 인증 코드가 전혀 없습니다.
또한 Google은 SMS 인증코드가 사용자에게 큰 위험 요인이라고 밝혔으며, Google은 공격 범위를 줄이고 악의적인 활동으로부터 사용자를 보호할 수 있는 혁신적인 방법을 도입하게 된 것을 기쁘게 생각합니다.