패스키를 통해 SMS 인증 비용을 절감하는 방법

1. 서론#

X의 발표에 따르면, 사기꾼들의 SMS 기반 2FA 남용에 대응하기 위해 2023년 3월 20일부터 Twitter Blue 비사용자를 대상으로 SMS 기반 이중 인증(2FA) 지원을 중단한다고 밝혔습니다. 이후 SMS 기반 인증의 다른 잠재적인 단점들에 대한 의문이 제기되고 있습니다.

일반적으로 기업들이 사용자 계정 보호를 강화하기 위해 단일 인증 및 이중 인증(2FA)으로 널리 도입하고 있음에도 불구하고, 이 인증 방식은 보안 문제 이상의 여러 단점을 수반하는 경우가 많습니다.

이 글에서는 사기 문제뿐만 아니라 비용, 안정성, 사용자 경험과 관련된 문제 등 이러한 단점들을 자세히 살펴봅니다. 이를 해결하기 위해 SMS 기반 인증 방식보다 많은 면에서 우수한 새로운 비밀번호 없는 표준 인증 방식으로 패스키를 사용할 수 있습니다.

패스키가 기존 방식을 대체할 수 있다는 점을 고려하여, 저희 Corbado는 인터넷을 안전한 공간으로 만들고 비즈니스의 막대한 SMS 관련 비용을 즉시 절감할 수 있는 플러그 앤 플레이 패스키 솔루션을 제공합니다.

2. SMS 기반 인증이란?#

SMS 기반 인증의 단점을 살펴보기 전에 기본 개념을 이해하는 것이 필수적입니다. SMS 기반 인증은 크게 두 가지 유형으로 나뉩니다.

• 단일 인증 (Single-factor authentication)
• 이중 인증 (Two-factor authentication)

전자는 SMS를 통해 전송되는 일회용 비밀번호(OTP)와 같은 방법을 포함하며, 기존 비밀번호를 대체하는 비밀번호 없는 로그인 대안을 제공합니다. 후자는 2FA 보호를 보장하기 위해 2단계 프로세스를 사용합니다. 사용자는 먼저 사용자 이름/이메일과 비밀번호로 가입/로그인한 다음, 휴대전화로 전송된 SMS 일회용 비밀번호를 통해 가입/로그인을 확인합니다.

3. SMS 기반 인증의 단점#

이 로그인 방법과 관련된 다양한 형태의 사기를 조명하여 SMS 기반 인증의 단점을 더 깊이 파헤치고, 이 인증 기술을 구현, 운영 및 유지 관리하는 데 발생하는 재정적 비용, 사용자 경험 및 안정성과 관련된 문제를 밝혀보겠습니다.

3.1 사기: SMS는 사용자 계정 해킹에 사용됩니다#

SMS는 20여 년 전에 발명되었으며 그 이후로 주요 보안 업데이트를 거의 받지 못했습니다. 이것이 SMS 사기가 심각한 문제인 이유입니다.

3.1.1 SMS 트래픽 펌핑#

SMS 기반 인증에서 사용자가 SMS를 통해 인증 코드나 링크를 요청하면 서비스 제공업체는 SMS 메시지를 통해 사용자의 휴대전화 번호로 코드나 링크를 보냅니다. SMS 트래픽 펌핑은 특정 전화번호로 원치 않는 사기성 SMS 메시지를 대량으로 전송하여 이 프로세스를 악용합니다.

SMS 트래픽 펌핑 사기의 범죄자들은 이동통신망 사업자(MNO)와 메시징 서비스 제공업체 간의 수익 공유 계약을 악용합니다. 메시징 서비스 제공업체는 메시지를 전송할 때마다 MNO에 수수료를 지불하기 때문에, 이들은 SMS 트래픽을 부풀려 자신들의 수익을 늘리는 것을 목표로 합니다. Hacker News에서 현직 Stytch 직원이 지적했듯이, MNO는 수익을 공유하며 해커와 협력합니다. 전화번호의 SMS 수신 차단(지역 권한 설정), 속도 제한 구현, 봇 탐지와 같은 특정 예방 조치가 SMS 트래픽 펌핑을 완화하는 데 도움이 될 수 있지만, 전송 프로세스의 설계 구조상 악용을 완전히 제거하는 것은 거의 불가능합니다.

결과적으로 비즈니스와 서비스 제공업체는 수신 메시지 급증으로 인해 상당한 비용 부담에 직면하는 경우가 많습니다. Commsrisk에 따르면 Twitter는 SMS 트래픽 펌핑으로 인해 연간 6,000만 달러라는 엄청난 손실을 입었습니다. 또한 정상적인 사용자도 인증 코드나 링크를 받는 데 지연을 겪을 수 있습니다.

3.1.2 심 스와핑(SIM Swapping)#

이러한 유형의 사기에서 사기꾼들은 MNO 인프라의 취약점을 악용하여 피해자의 휴대전화 번호를 새 SIM 카드로 이전합니다. 이렇게 함으로써 공격자는 피해자의 전화번호를 제어할 수 있게 되며, 인증 코드나 링크를 포함하여 수신되는 SMS 메시지를 가로챌 수 있습니다. 사용자의 전화번호를 장악하면 인증 프로세스를 우회하여 다양한 플랫폼의 계정에 무단으로 접근할 수 있습니다. 심 스와핑은 탐지하기 어렵습니다. 공격자들은 종종 사회 공학적 기법(social engineering)을 사용하여 MNO 고객 지원팀을 속이고 피해자의 번호를 새 SIM 카드로 옮깁니다. 관련 사용자가 있는 기업은 대개 이를 알아차리지 못하기 때문에, 심 스와핑 공격은 일반적으로 데이터 유출, 재정적 손실, 기업 평판 손상으로 이어집니다.

3.2 비용#

SMS는 비용이 많이 들며 SMS 가격 인하를 가리키는 뚜렷한 추세는 보이지 않습니다.

3.2.1 SMS 기반 인증 구현에는 많은 비용이 듭니다#

SMS 기반 인증을 구현하는 데는 두 가지 옵션이 있습니다. 사내 시스템을 구축하고 유지 관리하거나 외부 인증 솔루션을 사용할 수 있습니다. 두 가지를 혼합하여 사용할 수도 있지만, 간편함을 위해서는 후자의 옵션이 권장됩니다. Messente 설문조사에 따르면 사내에 SMS 전용 2FA 솔루션을 구축하는 데는 쉽게 5자리 숫자의 비용이 발생할 수 있습니다. 따라서 일반적으로 더 저렴한 외부 솔루션을 선택하는 것이 더 나은 아이디어인 경우가 많습니다.

3.2.2 운영: 전송되는 모든 SMS에 최대 20센트의 비용이 발생할 수 있습니다#

사용자에게 SMS 기반 인증 메시지를 보내는 것은 매우 복잡하기 때문에 거의 모든 회사가 경험이 풍부한 제공업체와 협력합니다. 이들의 서비스에는 선택한 제공업체에 따라 다양한 트랜잭션 비용이 발생합니다. 이러한 비용은 다음과 같은 요소에 따라 달라집니다.

• 전송된 SMS 수
• SMS가 전송되는 대상 국가
• 추가 기능

일부 제공업체는 SMS를 통한 인증 성공 시 추가 요금을 청구할 수 있지만 이는 전체 가격에 포함되는 경우가 많습니다. miniOrange에 따르면, 트랜잭션 가격은 일반적으로 SMS당 0.01에서 0.20달러 사이이며, 주요 제공업체와 직접 연결된 고품질 SMS 서비스는 약 0.06달러부터 시작합니다. 디지털 제품의 사용자는 여러 국가에 위치하는 경우가 많기 때문에 다양한 SMS 요금제를 구매하면 비용이 증가합니다. 당사의 정보에 따르면, 이는 인증 메시지 전송 비용만 얼마나 빨리 치솟을 수 있는지 보여주며, 왜 선도적인 전자상거래 기업이 SMS 기반 인증에 연간 1,200만 달러의 비용을 지불하는지 설명해 줍니다. 주요 대상 국가에만 SMS 기반 인증을 제공하여 비용을 절약할 수도 있지만, 이는 빙산의 일각에 불과하며 일부 사용자에게는 사용자 경험에 부정적인 영향을 미칠 수도 있습니다.

3.2.3 유지 관리: 시스템을 최신 상태로 유지하는 데 추가 비용이 발생합니다#

유지 관리 비용의 대부분은 일반적으로 트랜잭션 가격에 포함되어 있습니다. 여기에는 제공업체가 대량의 SMS를 관리하고, 다양한 MNO로의 국제 SMS 전송을 촉진하며, 필수 보안 조치를 구현하고, 규정 준수를 보장하는 데 필요한 비용이 포함됩니다. 하지만 기업 입장에서는 SMS 제공업체와의 벤더 관계 처리, 사용자 지원 제공, 다운타임 및 기술적 문제 해결을 위한 리소스 할당과 같은 추가 비용이 발생할 수 있습니다.

3.3 안정성: SMS가 분실될 수 있습니다#

SMS 기반 인증의 맥락에서 이는 SMS의 일관되고 시기적절한 전송과 전송된 인증 코드를 통한 인증 시스템의 중단 없는 접근성을 의미합니다. 현지 인프라에 따라 메시지 전송 지연, 네트워크 혼잡 및 잠재적인 시스템 다운타임으로 인해 인증 코드를 즉시 수신하지 못할 수 있습니다. 이로 인해 사용자는 불만을 느끼고 인증 프로세스에 방해를 받을 수 있습니다.

3.4 사용자 경험: 데스크톱 경험이 떨어집니다#

고려해야 할 한 가지 핵심 측면은 다양한 플랫폼에서의 사용자 친화성이 다르다는 것입니다. SMS 기반 인증은 자동 완성 기능을 통해 인증 코드를 쉽게 입력할 수 있으므로 모바일 기기에서 훌륭하게 작동합니다. 반면 데스크톱에서는 인증 코드를 수동으로 입력하기 위해 휴대전화라는 추가 기기를 사용해야 하므로 직관적이고 편리한 경험이 떨어집니다. 앞서 언급했듯이 사기 공격이 발생하거나 SMS 전송 및 인증 코드 검색에 문제가 발생하면 사용자 경험도 저하됩니다.

4. SMS 기반 인증의 대안으로서의 패스키#

지금까지 패스키는 주로 비밀번호에 대한 비밀번호 없는 대안으로만 인식되어 왔습니다.

또한 패스키는 2FA 기능을 내장하고 있으므로 비밀번호 및 모든 유형의 SMS 기반 인증을 대체할 수 있습니다. 이는 보안을 강화하고 SMS 기반 일회용 비밀번호로 인한 사용자 경험의 어려움을 방지합니다. 인증 메시지를 대체함으로써 패스키는 SMS 기반 인증의 단점을 효과적으로 제거하는 실질적인 이점을 가져옵니다.

4.1 피싱에 강한 MFA 및 강력한 보안#

가로채기 및 조작에 취약할 수 있는 SMS 기반 인증과 달리, 패스키는 공개 키 인프라(public-key infrastructure)를 사용하므로 모든 형태의 사기 공격에 대해 강력한 보호를 제공합니다. 이는 서버 침해가 발생하더라도 필수 개인 키가 기기 내의 운영 체제에 내장되어 안전하게 유지되므로 사용자 계정이 보호되도록 보장합니다. 또한, 등록된 특정 온라인 서비스와 패스키의 연결은 피싱 시도에 대한 대응책으로 작용하여 패스키를 현재 사용 가능한 가장 안전한 인증 방법으로 만듭니다.

4.2 높은 (트랜잭션) 비용 방지#

SMS 기반 인증과 마찬가지로 패스키 구현과 관련된 비용이 있습니다. 자체적으로 구현을 처리할 수도 있지만, 안전한 인증에 중점을 두다 보면 종종 전문가를 선호하게 됩니다. 이들의 전문 지식은 사내 비용의 일부에 불과하며 SMS 기반 인증 제공업체가 구현에 부과하는 비용과도 비슷합니다. 비용 관점에서 볼 때 패스키 투자의 가장 큰 장점은 로그인 및 가입을 위해 SMS를 보낼 필요가 없다는 것입니다. 대신 사용자는 Face ID나 Touch ID를 사용하여 안전하게 로그인할 수 있습니다. 이는 잠재적으로 매년 수백만 달러의 인증 비용 절감(특히 소비자 중심의 대기업의 경우)을 가져올 뿐만 아니라 SMS를 보내고 받을 때 발생할 수 있는 모든 문제를 근절합니다.

마케팅이나 기타 커뮤니케이션 목적으로 자주 요구되는 사용자의 전화번호를 인증하기 위해 일회용 비밀번호가 포함된 초기 SMS를 보내는 옵션은 여전히 유지됩니다. 이를 통해 SMS를 패스키와 함께 실행할 수 있습니다. 또한 SMS는 대체 방법(fallback)으로 사용할 수 있습니다. 두 시나리오와 기존 SMS 기반 인증의 주요 차이점은 로그인할 때마다 전송되는 것이 아니라 가끔만 SMS가 전송된다는 것입니다.

4.3 편리한 인증 및 향상된 사용자 경험#

휴대전화 및 데스크톱 기기를 잠금 해제하기 위한 생체 인식(예: Face ID, Touch ID, Windows Hello) 채택은 사용자들 사이에서 빠르게 보편화되었습니다. 패스키는 이제 이 친숙한 경험을 계정 잠금 해제로 확장합니다. 대부분의 휴대전화와 데스크톱 기기는 이미 패스키를 사용할 준비가 되어 있으므로 SMS 기반 인증을 일대일로 완벽하게 대체할 수 있습니다. 기기에서의 로컬 지문 또는 얼굴 스캔으로 인해 데스크톱 기반 SMS 인증에 여전히 필요한 보조 기기에 대한 요구 사항이 사라졌습니다. 이러한 실질적인 개선은 사용자 경험을 간소화하고 계정 로그인을 쉽게 만듭니다. 패스키의 또 다른 고유한 기능은 조건부 UI(Conditional UI)입니다. 이 기능은 사용자가 사용자 이름 입력 필드와 상호 작용할 때 저장된 패스키를 자동으로 제안하고 미리 채움으로써 사용자 편의성을 높입니다. 사용자 이름과 같은 자격 증명(credentials)이 이미 기기 또는 브라우저 내에 안전하게 저장되어 있고 자동으로 미리 채워지기 때문에 수동으로 검색할 필요가 없습니다.

5. Corbado가 10배 높은 패스키 도입률로 SMS 비용을 최대 90%까지 절감하는 방법#

패스키 기반 인증으로의 전환은 원활한 로그인 UX 및 더 나은(피싱에 강한) MFA만을 의미하는 것이 아닙니다. 다음 두 가지 조건이 달성되면 패스키는 상당한 SMS OTP 비용을 절약할 수 있습니다.

• 높은 패스키 도입률
• 높은 패스키 로그인율

Corbado의 패스키 기술 및 지능형 설계는 이 두 가지 측면을 모두 최적화하여 높은 SMS 비용 절감을 제공하는 데 중점을 둡니다. 저희는 기존 DIY 솔루션에 비해 최대 90%의 비용 절감과 10배 더 높은 패스키 도입률을 달성합니다. 어떻게 하는지 알아보겠습니다.

5.1 패스키 도입률 극대화#

첫 번째 단계는 사용자가 계정 설정에서 패스키를 생성할 수 있도록 하여 기존 사용자를 패스키 사용자로 전환하는 것입니다. 그러나 이것만으로는 기존 사용자 기반에서 패스키 도입률을 높이기에 충분하지 않습니다. Corbado는 몇 가지 솔루션을 제공합니다.

• 점진적인 자동 등록(Progressive Automatic Enrollment): 당사의 패스키 인텔리전스(passkey intelligence) 엔진은 패스키 등록 프로세스를 최적화하도록 설계되어 가능할 때마다(예: 기존 인증 방식을 통한 로그인 중) 원활하고 마찰 없는 방식으로 패스키 도입을 안내합니다. 이러한 사전 대응적 접근 방식은 사용자가 압도당하거나 혼란스러워하지 않도록 보장하여 결과적으로 이탈률을 줄이고 전반적인 도입을 증가시킵니다.
• 자동 로컬 패스키 생성: 고객이 교차 기기 인증(Cross-Device Authentication)을 통해 로그인하는 경우 현재 사용 중인 환경에서 로컬 패스키를 생성하는 옵션이 제공되어 모든 기기에서 패스키 도입을 늘립니다. 현재 데스크톱 기기에서 패스키를 생성할 수 있는 플랫폼 인증자(platform authenticator)를 제공하지 않는 상황에서는 모바일 우선 전략을 사용하여 휴대전화에 패스키를 생성할 수 있습니다.
• 자동 패스키 업그레이드: Corbado의 의사 결정 엔진은 사용자를 위한 패스키로의 자동 업그레이드를 용이하게 하여 사용자의 적극적인 참여 없이도 도입률을 크게 높입니다. 이 원활한 전환은 iOS 18+ 기기(더 많은 기능이 추가될 예정)에서 자동으로 작동하는 당사의 패스키 인텔리전스(passkey intelligence) 의사 결정 엔진에 의해 구동됩니다.

저희는 더 많은 사용자가 패스키를 쉽게 채택할 수 있도록 보장하여 자체 패스키 구현보다 10배 더 높은 도입률을 달성합니다.

5.2 패스키 로그인율 극대화#

두 번째로 중요한 단계는 가능할 때마다 패스키 로그인을 촉발하고 기존 패스키의 재사용을 적극적으로 장려하는 것입니다.

• 식별자 우선 방식(Identifier-First Approach): 식별자(예: 이메일 주소)만 묻는 것으로 로그인 프로세스를 시작한 다음 패스키 로그인이 가능한지 자동으로 판단하면 UX가 간소화되고 패스키 사용률이 높아집니다. 이 방식은 사용자가 로그인하는 데 필요한 단계를 줄여주어, 소비자가 종종 무시하는 별도의 "패스키로 로그인(Sign in with Passkey)" 버튼을 제공하는 것보다 프로세스를 더 빠르고 직관적으로 만듭니다.
• 교차 기기 인증 및 원탭 패스키 로그인(Cross-Device Authentication and One Tap Passkey Login): Corbado는 로컬 패스키를 사용할 수 없는 경우 WebAuthn 교차 기기 인증으로 자동 전환(fallback)됩니다. 또한 기기에 패스키 로그인이 기록되면 사용자 식별자 필드가 원탭 패스키 로그인(One Tap Passkey Login) 버튼으로 자동 변환되어 로그인이 훨씬 더 매끄러워집니다.

5.3 결과: SMS 비용 90% 절감, 패스키 도입률 10배 향상#

패스키 도입 및 로그인률을 극대화하기 위한 Corbado의 혁신적인 접근 방식은 DIY 접근 방식에 비해 상당한 이점을 제공합니다. 이러한 지능형 설계를 활용하여 사용자가 단순히 통합하는 것을 넘어 적극적으로 패스키를 도입하도록 하여 최대 10배 높은 도입률 및 로그인률을 달성합니다. 이러한 전환은 보안과 사용자 경험을 향상시킬 뿐만 아니라, 특히 SMS OTP 비용을 최대 90%까지 줄임으로써 상당한 비용 절감 효과를 제공합니다. 효율적이고 안전한 인증이 중요한 다가오는 패스키 시대에 Corbado는 도입과 비용 효율성 모두를 주도하는 선두주자로 돋보입니다.

6. 결론#

요약하자면, 패스키는 SMS 기반 인증의 단점을 해결하는 실용적인 솔루션을 제공합니다. 강력한 보안, 비용 효율성, 높은 사용자 경험을 제공하여 스마트한 대안이 됩니다. 생체 인식 기술과 조건부 UI(Conditional UI) 같은 사용자 친화적인 기능을 통해 패스키는 여러 플랫폼에서 보안을 매끄럽게 만들고 사용자 경험을 원활하게 합니다. 인증 방식을 개선하려는 기업에게 Corbado의 패스키 솔루션은 보안을 강화하고 비용을 절감하며 SMS 기반 인증의 문제를 뒤로하는 간단한 방법입니다. SMS OTP / 2FA 설정을 위한 맞춤형 패스키 인증 솔루션에 대해 저희에게 문의하세요.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →