2월 17일(현지 시각), 트위터가 3월 20일 자로 트위터 블루 가입자에게만 SMS 기반 2단계 인증 제도로 사용자 계정 보안 기능을 지원할 예정이라고 공식 발표했다. 2단계 인증 제도는 사용자가 사용자 명칭과 패스워드 이외에도 숫자 코드 등 추가 요소를 함께 사용하여 계정에 접속하도록 하는 기능이다. 다수 보안 전문가는 오랫동안 사용자에게 추가 인증 코드 생성 앱을 사용하도록 권고했다. 그러나 SMS 텍스트 메시지로 접속 코드를 받는 것이 더 인기가 있다. 따라서 유료 구독 서비스에 가입하지 않은 사용자의 SMS 인증 코드 옵션 제거에 다수 보안 전문가가 의문을 제기했다.
트위터 2단계 인증 제도 변경은 일론 머스크가 2022년 10월, 트위터를 인수한 뒤 발표된 일련의 논란이 된 정책 변경 사항 중 가장 최근 발표된 사항이다. 현재 파란색 트위터 계정 인증 배지만 제공하는 트위터 블루의 월간 구독료는 안드로이드 버전과 iOS 버전 기준 11달러이며, 데스크톱 버전의 구독료는 조금 더 저렴하다. SMS 기반 2단계 인증 방식을 선택할 수 없는 사용자는 앞으로 인증 앱이나 물리적 보안 키로 2단계 인증 요소를 변경해야 한다.
트위터는 2월 17일(현지 시각), 공식 블로그에 “그동안 2단계 인증 방식이 인기를 얻었다. 하지만 안타깝게도 트위터는 휴대폰 번호 기반 2단계 인증 기능을 악의적인 공격 세력이 악용한 사례를 접한 적이 있다. 따라서 오늘 자로 트위터 블루 서비스 가입자를 제외한 사용자의 문자 메시지나 SMS 기반 2단계 계정 등록 방식을 지원하지 않는다”라고 작성했다.
2022년 7월 발표된 트위터의 보안 관련 보고서에는 활성화 사용자 중 단 2.6%만이 어떠한 형태든 2단계 인증 제도를 사용한다는 사실이 명시되었다. 2단계 인증 제도 사용자 중 약 75%는 SMS 기반 추가 인증 방식을 채택했다. 약 29%는 인증 앱을 사용했으며, 물리적 인증 키를 사용한 이는 1% 미만으로 확인됐다.
SMS 기반 2단계 인증 방식의 보안이 취약한 이유는 해커 세력이 피해자의 휴대전화 번호를 가로채거나 다른 기법을 이용해 문자를 가로챌 수 있기 때문이다. 하지만 다수 보안 전문가는 오랫동안 SMS 기반 2단계 인증 방식을 사용하는 것이 2단계 인증 방식을 아예 활성화하지 않은 것보다 훨씬 더 낫다고 강조해왔다.
애플과 구글 등 테크 업계 대기업이 갈수록 SMS 기반 2단계 인증 방식을 제거했다. 그리고 보통 수개월 혹은 수년에 걸쳐 사용자가 다른 형태의 추가 인증 방식으로 전환하도록 했다. 다수 보안 연구원은 트위터의 정책 변경 방식이 계정 추가 인증 방식 변경을 마칠 시간을 거의 주지 않은 상태에서 SMS 기반 2단계 인증 방식을 프리미엄 기능으로 전환한다는 점에서 사용자의 혼란을 유발할 가능성을 우려한다.
카네기 멜론 대학교의 실용적 프라이버시 및 보안 연구소 소장 로리 크레이너(Lorrie Cranor)는 “트위터 블로그 게시글은 문자 메시지를 이용한 2단계 인증 방식이 종종 해커 세력의 악용 수단이 된다는 점을 지적한다. 문자 기반 2단계 인증 방식의 보안이 다른 추가 인증 요소를 적용한 2단계 인증 방식보다 취약하다는 점에는 동의한다. 하지만 트위터의 2단계 인증 방식 변경 동기가 보안이었다면, 유료 구독 서비스 사용자의 보안도 유지하는 것을 원하지 않았을까? 유료 서비스만 보안이 더 취약한 옵션을 그대로 제공한다는 점이 말이 되지 않는다”라고 지적했다.
트위터는 2단계 인증 방식 변경 사항이 3월 중순 배포될 예정이라고 밝혔다. 그러나 그동안 SMS 기반 2단계 인증 방식을 사용하던 다수 트위터 사용자는 2월 17일부터 2단계 인증 방식을 아예 비활성화하거나 추가 인증 요소를 인증 앱이나 보안 키로 전환할 것을 권고하는 팝업 메시지가 등장했다고 밝혔다.
[사진=Unsplash]
SMS 기반 2단계 인증 방식을 기본 설정에서 비활성화하지 않을 때, 어떤 일이 발생할지는 아직 확실하게 알려진 바가 없다. 트위터가 사용자에게 보낸 앱 내 메시지 내용은 SMS 기반 2단계 인증 방식을 그대로 유지하는 사용자는 3월 20일부터 계정이 정지될 것이라는 점을 암시한다. 사용자에게 전송된 알림에는 “트위터 계정 접근 권한을 잃고 싶지 않다면, 2023년 3월 19일까지 문자 메시지를 이용한 추가 인증 방식 선택을 제거해야 한다”라는 경고 내용이 작성되었다. 그러나 트위터 블로그 게시글에는 사용자가 3월 20일 이전까지 문자 메시지 기반 2단계 인증 방식을 다른 방식으로 전환하지 않는다면, 단순히 추가 인증 방식이 비활성화될 것이라고만 작성됐다. 트위터는 블로그 게시글을 통해 “2023년 3월 20일 이후 트위터 블루 구독자가 아닌 사용자가 문자 메시지를 2단계 인증 방식으로 사용하는 것을 중단할 예정이다. 3월 20일부터 문자 메시지 기반 2단계 인증 방식을 활성화한 계정의 추가 인증 방식을 비활성화할 예정이다”라고 안내했다.
트위터는 3월 20일 이후 문자 메시지 기반 2단계 인증 방식 사용 설정을 유지한 계정의 변경 사항 관련 문의에 답변하지 않았다. 2단계 인증 정책 변경이 트위터의 2단계 인증 방식 채택률 저하로 이어질 가능성과 관련한 문의에도 답변하지 않았다.
개인 신원 프라이버시 및 보안 컨설턴트인 짐 펜톤(Jim Fenton)은 “표면적으로는 사용자 안전을 훌륭하게 우려한 것처럼 들린다. 그러나 트위터 사용을 진지하게 생각하는 사용자 집단이자 트위터가 가장 중요하게 생각해야 하는 사용자 집단인 트위터 블루 가입자라면, 보안 수준이 낮은 인증 방식을 사용할 수 있다. 말이 되는 일인가?”라며, “트위터 블루 가입자가 아니라면, 패스워드 기반 인증 방식으로만 보안 계정 수준을 저하한다. 지금 트위터는 사용자의 보안 개선을 주장하면서 실제로는 반대되는 정책 변화를 적용하려 한다”라고 비판했다.
2월 17일 저녁(현지 시각), ‘트위터 인수 뉴스(T(w)itter Takeover News)’라는 트위터 계정은 트위터의 전화번호 기반 2단계 인증 방식을 악의적인 공격 세력이 악용할 가능성을 언급한 트위터 측의 발표를 반복하여 전했다. 해당 계정은 “트위터가 문자 기반 2단계 인증 방식 관련 정책을 변경했다. 이동통신사가 봇 계정을 이용해 2단계 인증 문자 메시지를 대거 생성했기 때문이다. 사기성 문자로 연간 6,000만 달러를 잃었다”라는 트윗을 게재했다. 해당 트윗 직후 일론 머스크의 트위터 계정이 “맞다”라는 답변을 작성했다.
머스크는 오랫동안 트위터 봇과의 전쟁을 선언했으나 정작 합법적인 봇과 악성 봇 구분 문제를 다루는 데 애먹었다. 반면, 2022년 11월 중순 머스크의 트위터 인수 초기 발생한 내부 혼란 도중 트위터의 문자 메시지 기반 2단계 인증 방식의 오류와 안정성 문제가 발생했다.
펜톤은 “SMS 2단계 인증 방식 제거 도입 시 이동통신사에 인증 코드를 포함한 SMS 메시지 전송 비용 소액을 결제할 필요가 없다는 점에서 점차 트위터의 비용 부담이 줄어들 것”이라고 언급했다. 그러나 뒤 이어 트위터가 아끼는 SMS 메시지 전송 비용은 매우 적은 금액일 확률이 높다고 덧붙여 전했다.
펜톤은 트위터가 ‘패스키(passkey)’라는 새로운 인증 방식 지원을 공식 발표했다면, SMS 2단계 인증 방식 제거가 타당한 변화였을 것이라는 점에 주목했다. 패스키는 테크 업계 대기업이 갈수록 패스워드 의존도를 줄일 방식으로 채택한 새로운 계정 접속 방식이다. 펜톤은 “트위터는 기본적으로 하드웨어 보안 키 구매를 요구하지 않는 새로운 인증 방식으로 대체한다고 발표했어야 한다. 그러나 트위터 블루 가입자는 그대로 문자 메시지를 추가 인증 수단으로 이용할 수 있다는 예외 조건은 타당하지 않다”라고 설명했다.
트위터의 무료 서비스 사용자 대상 문자 메시지 기반 2단계 인증 방식 제거가 적용되는 가운데, 다른 추가 인증 요소 변경이나 2단계 인증 방식 사용 중단이 트위터 사용자 계정 보안 강화라는 결과로 이어질 것인가를 두고 중대한 의문 사항으로 제기할 수 있다.
크레이너 소장은 “트위터의 2단계 인증 정책 변경이 사용자의 인증 앱 사용을 서서히 유도할 것인지 많은 사용자가 2단계 인증 방식 사용을 포기할 것인지는 알 수 없다고 생각한다. 전반적으로 2단계 인증 방식 사용을 의무화하지 않는다면, 2단계 인증 방식 채택률이 대거 증가하지 않을 것이다. 개인적으로 많은 기업이 문자 메시지 기반 2단계 인증 방식 지원 중단이 현명한 선택인가 지켜볼 것으로 생각한다”라고 전했다.
트위터의 2단계 인증 정책 변경 영향 투명성 유지와 업데이트된 통계 자료 공개 여부는 전혀 다른 차원의 또 다른 의문 사항이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202303/4580_6032_4018.jpg)
뉴스레터 신청