Microsoft는 개인 계정에 대한 SMS 확인 코드 전송을 중단하고 비밀번호 없는 로그인을 포괄적으로 홍보합니다.solutions

Microsoft는 SMS 확인 코드 기반 인증 방법 제거를 가속화하고 있으며 Windows 11 에코시스템에서 암호 키, 인증 응용 프로그램 및 백업 이메일 주소를 통해 개인 Microsoft 계정의 보안을 보호하기 위해 "비밀번호 없는 로그인"을 적극적으로 장려하고 있습니다. Microsoft는 회사가 더 이상 개인 계정에 SMS 인증 코드를 보내지 않을 것이라고 언론에 확인했습니다. 이 조정에는 2단계 인증 프로세스뿐만 아니라 계정 검색 프로세스도 포함됩니다. 올해 초 조용히 업데이트된 지원 문서에는 Microsoft가 "개인 Microsoft 계정에 대한 인증 및 계정 복구 방법으로 SMS를 단계적으로 폐지"하고 있음이 분명하게 명시되어 있습니다.

Microsoft는 최신 보안 권고에서 SMS 기반 인증이 "사기의 주요 소스 중 하나가 되었으며" 더 이상 보안 표준을 개선하려는 장기 전략과 일치하지 않는다고 솔직하게 밝혔습니다. SMS 문자 메시지는 원래 최신 네트워크 보안 시나리오용으로 설계되지 않았습니다. 해당 콘텐츠는 셀룰러 네트워크를 통해 일반 텍스트로 전송되며 쉽게 가로채거나 도청될 수 있습니다. 또한, 점점 더 일반화되는 "SIM 카드 스왑 공격"은 SMS 인증 코드의 구조적 약점도 드러냅니다. 공격자는 운영자를 속여 피해자의 번호를 자신이 제어하는 장치로 전송하도록 하기만 하면 모든 SMS 인증 코드를 즉시 수신하고 피해자의 온라인 계정을 쉽게 탈취할 수 있습니다. Microsoft의 관점에서 이러한 위협에 대처하기 위해 SMS 시스템을 계속해서 패치하는 것은 더 이상 현실적이지 않으며, 더 실현 가능한 길은 비밀번호 없는 솔루션을 완전히 수용하는 것입니다.

새로운 전략에 따라 Microsoft는 SMS 인증 코드를 핵심인 패스 키로 대체합니다. 이 표준은 피싱에 강한 현대적인 로그인 방법으로 간주됩니다. 가로채거나 재사용할 수 있는 기존 비밀번호 및 6자리 숫자와 달리 패스 키는 인증을 위해 생체 인식 하드웨어와 장치에 내장된 로컬 PIN을 사용합니다. 사용자는 Microsoft 계정에 로그인하면 Windows Hello 얼굴 인식, 지문 인식 또는 로컬 장치 PIN을 통해 인증을 완료할 수 있습니다. 시스템은 백그라운드에서 공개 키와 개인 키 쌍을 생성합니다. 개인키는 항상 로컬 기기의 보안 칩 등 하드웨어에 저장되며, 네트워크를 통해 전송되지 않으므로 원격 피싱 공격 가능성이 거의 제거됩니다.

패스 키의 특정 구현은 "장치 바인딩" 모드를 채택하거나 클라우드 서비스를 사용하여 여러 장치 간에 동기화할 수 있습니다. 전자는 개인 키가 노트북의 TPM 보안 칩과 같은 특정 하드웨어 부분을 떠나지 않는다는 것을 의미합니다. 후자는 Apple iCloud Keychain 또는 Google Password Manager와 같은 서비스를 사용하여 사용자의 여러 터미널에 대한 키를 안전하게 동기화합니다. 마이크로소프트는 사용자가 휴대폰을 분실하더라도 신뢰할 수 있는 백업 이메일 주소와 기기 간에 동기화된 패스 키가 사전에 구성되어 있다면 계정 액세스를 비교적 안전하게 복원할 수 있다고 지적했습니다.

보안 이론의 관점에서 볼 때 취약한 SMS 인증 코드를 버리고 생체 인식 암호화 패스 키로 전환하려는 Microsoft의 움직임은 올바른 방향의 업그레이드이며 전체 업계의 "암호 해독"이라는 일반적인 추세에도 부합합니다. 발표에서 마이크로소프트는 회사가 "보안 표준을 높이기 위해 최선을 다하고 있다"고 강조했으며 인증의 미래는 "비밀번호가 없고 안전하며 사용자 친화적"이어야 한다고 믿습니다. 기사 작성자는 또한 Microsoft Edge, Microsoft Password Manager 및 Microsoft Authenticator 응용 프로그램을 적외선 카메라가 장착된 Windows Hello 안면 인식과 결합하여 일상적으로 사용할 때 암호 없이 개인 계정에 로그인하는 경험이 "정말 우수"하고 작업이 더 원활하다고 언급했습니다.

그러나 비밀번호가 없는 이상적으로 보이는 이 미래는 헤비 유저와 특정 기술 시나리오에서는 원활하지 않을 수 있습니다. 저자는 Windows 참가자로서 자신의 작업 프로세스를 예로 들어 다양한 시스템 버전과 소프트웨어 환경을 테스트하기 위해 많은 수의 가상 머신을 생성, 구성 및 관리해야 하는 경우가 많다는 점을 지적합니다. 이러한 격리된 가상 머신 환경에서는 물리적 생체인식 하드웨어를 사용할 수 없는 경우가 많고 보안 키에 항상 액세스할 수 있는 것은 아니기 때문에 패스키 로그인 경험이 크게 "삭제"됩니다. 가상 머신에서 PIN을 통해 암호 키를 사용하여 Microsoft 계정에 로그인하려고 하면 오류 메시지가 반복적으로 표시되고 로그인 프로세스를 성공적으로 완료할 수 없습니다.

고도로 기술적이지만 상대적으로 일반적인 엣지 시나리오에서 문자 메시지 확인 코드 수신을 요청하는 것은 한때 간단하고 안정적인 "최후의 수단 솔루션"이었습니다. 비밀번호와 SMS 인증코드의 조합은 사람들의 마음속에 깊이 뿌리내렸으며, 6자리 문자열은 전 세계 사용자의 일상 업무에서 거의 가장 자연스러운 보안 단계 중 하나가 되었습니다. 저자는 수년 동안 형성된 이러한 습관을 진정으로 바꾸려면 신기술이 더 안전해야 할 뿐만 아니라 거의 모든 시나리오에서 "무분별하게" 작동할 수 있어야 한다고 믿습니다. 그렇지 않으면 중요한 순간에 사용자를 쉽게 문제에 빠뜨릴 수 있습니다.

Microsoft는 최근 보안 방향의 이러한 변화에 맞춰 설치 환경과 계정 정책을 조정했습니다. 예를 들어, Microsoft가 향후 Windows 11 설치 프로세스에서 Microsoft 계정에 로그인해야 하는 요구 사항을 제거하여 특정 설정 단계에서 사용자가 온라인으로 로그인할 필요성을 줄일 수 있다는 징후가 있습니다. 한편, 회사는 모든 개인 계정 사용자에게 시스템 팝업을 통해 적극적으로 메시지를 표시하여 가능한 한 빨리 패스 키를 구성하고 백업 이메일 주소를 확인하도록 권장할 것입니다. 일반적인 프롬프트에는 "얼굴, 지문 또는 PIN으로 더 빠르게 로그인"이 포함됩니다.

SMS 인증코드라는 '편리하지만 취약한' 도구를 잃어버리면 단기적으로는 일부 사용자들에게 불편함과 불만을 안겨줄 것으로 예상된다. 그러나 마이크로소프트의 성명에서는 이는 현대의 보안 위협에 대처하기 위해 치러야 할 대가로 간주되며, 윈도우 11 생태계의 전반적인 보안 방어선을 강화하기 위한 핵심 단계이기도 하다. 패스 키와 비밀번호 없는 솔루션이 더욱 대중화됨에 따라 계정 보안의 기본 논리는 "비밀번호 기억"에서 "본인임을 증명"하는 것으로 바뀌고 있으며 이러한 마이그레이션은 이미 Microsoft 시스템에서 완전히 시작되었습니다.