패스키로 SMS 비용을 절감하는 방법

2023년 3월 20일부터 X(구 Twitter)가 사기꾼들의 SMS 기반 2단계 인증(2FA) 남용에 대응하여 Twitter Blue 비사용자를 대상으로 SMS 기반 2FA를 중단한다고 발표한 후, SMS 기반 인증의 다른 잠재적 단점에 대한 의문이 제기되고 있습니다.

일반적으로 기업들이 사용자의 계정 보호를 강화하기 위해 이 인증 방법(단일 인증 및 2단계 인증)을 널리 채택하고 있음에도 불구하고, 이 방법은 보안 문제 외에도 종종 더 많은 단점을 동반합니다.

이 글에서는 사기, 비용, 신뢰성, 사용자 경험과 관련된 문제 등 이러한 단점들을 살펴봅니다. 이를 해결하기 위해, SMS 기반 인증 방법과 비교하여 여러 측면에서 우수한 새로운 비밀번호 없는 표준 인증 방법으로 패스키를 사용할 수 있습니다.

패스키의 잠재적인 대체 적용 가능성에 비추어, 저희 Corbado는 인터넷을 안전한 곳으로 만들고 귀사의 막대한 SMS 관련 비용을 즉시 절감할 수 있는 플러그 앤 플레이 패스키 솔루션을 제공합니다.

SMS 기반 인증의 단점을 살펴보기 전에, 그 기본 개념을 이해하는 것이 중요합니다. SMS 기반 인증은 주로 두 가지 유형으로 구성됩니다.

• 단일 인증(Single-factor authentication)
• 2단계 인증(Two-factor authentication)

전자는 SMS를 통해 전송되는 일회용 비밀번호(OTP)와 같은 방법을 포함하며, 기존 비밀번호에 대한 비밀번호 없는 로그인 대안을 제공합니다. 후자는 2FA 보호를 보장하기 위해 2단계 프로세스를 사용합니다. 사용자는 먼저 사용자 이름/이메일과 비밀번호로 가입/로그인한 다음, SMS를 통해 휴대폰으로 전송된 일회용 비밀번호로 가입/로그인을 확인합니다.

이 로그인 방법과 관련된 다양한 형태의 사기를 조명하고, 신뢰성, 사용자 경험, 그리고 이 인증 기술의 구현, 운영, 유지 관리에 발생하는 재정적 비용 문제를 파헤쳐 보며 SMS 기반 인증의 단점을 더 깊이 살펴보겠습니다.

SMS는 20여 년 전에 발명되었고 그 이후로 주요 보안 업데이트를 받은 적이 없습니다. 이것이 바로 SMS 사기가 큰 문제인 이유입니다.

SMS 기반 인증에서 사용자가 SMS를 통해 인증 코드나 링크를 요청하면, 서비스 제공업체는 SMS 메시지를 통해 사용자의 휴대폰 번호로 코드나 링크를 보냅니다. SMS 트래픽 펌핑은 특정 전화번호로 대량의 원치 않는, 종종 사기성인 SMS 메시지를 보내는 방식으로 이 과정을 악용합니다.

SMS 트래픽 펌핑 사기의 사기꾼들은 이동통신사(MNO)와 메시징 서비스 제공업체 간의 수익 공유 계약을 악용합니다. 메시징 서비스 제공업체가 각 메시지를 전달하는 데 MNO에 수수료를 지불하므로, 이들은 SMS 트래픽을 부풀려 더 높은 수익을 창출하는 것을 목표로 합니다. 현재 Stytch 직원이 Hacker News에서 지적했듯이, MNO는 여기서 수익을 공유하며 해커와 협력합니다. SMS 수신 전화번호 비활성화(지역별 권한), 전송률 제한 구현, 봇 탐지와 같은 특정 예방 조치가 SMS 트래픽 펌핑을 완화하는 데 도움이 될 수 있지만, 전송 프로세스의 설계상 오용을 완전히 제거하는 것은 거의 불가능합니다.

결과적으로, 기업과 서비스 제공업체는 종종 수신 메시지 급증으로 인해 상당한 비용에 직면합니다. Commsrisk에 따르면 Twitter만 해도 SMS 트래픽 펌핑으로 인해 연간 6천만 달러라는 엄청난 손실을 입었습니다. 또한, 정상적인 사용자는 인증 코드나 링크를 받는 데 지연을 겪을 수 있습니다.

이 유형의 사기에서 사기꾼들은 MNO 인프라의 취약점을 악용하여 피해자의 휴대폰 번호를 새로운 SIM 카드로 이전합니다. 이를 통해 공격자는 피해자의 전화번호를 제어하게 되어 인증 코드나 링크를 포함한 수신 SMS 메시지를 가로챌 수 있습니다. 사용자의 전화번호를 제어하게 되면, 인증 프로세스를 우회하고 다양한 플랫폼에서 사용자의 계정에 무단으로 접근할 수 있습니다. SIM 스와핑은 탐지하기 어렵습니다. 공격자들은 종종 사회 공학적 기법을 사용하여 MNO 고객 지원팀을 속여 피해자의 번호를 새로운 SIM 카드로 이전하도록 유도합니다. 관련 사용자가 있는 회사는 종종 이를 인지하지 못하기 때문에, SIM 스왑 공격은 보통 데이터 유출, 재정적 손실, 회사 평판 손상으로 이어집니다.

SMS는 비용이 많이 들고, SMS 가격이 인하될 것이라는 실질적인 추세는 보이지 않습니다.

SMS 기반 인증을 구현하는 데는 두 가지 옵션이 있습니다. 자체 시스템을 구축하고 유지하거나 외부 인증 솔루션을 사용하는 것입니다. 혼합 접근도 가능하지만, 단순성을 위해 후자 옵션을 권장합니다. Messente 설문조사에 따르면, SMS 전용 2FA 솔루션을 자체 구축하는 데는 수만 달러의 비용이 쉽게 들 수 있습니다. 그래서 보통 더 저렴한 외부 솔루션을 선택하는 것이 더 나은 생각입니다.

사용자에게 SMS 기반 인증 메시지를 보내는 것은 매우 복잡하기 때문에, 거의 모든 회사가 경험 많은 제공업체를 이용합니다. 이들의 서비스에는 선택한 제공업체에 따라 달라지는 거래 비용이 발생합니다. 이러한 비용은 다음과 같은 요인에 따라 달라집니다.

• 전송된 SMS 수
• SMS가 전송되는 대상 국가
• 추가 기능

일부 제공업체는 SMS를 통한 성공적인 인증에 대해 추가 요금을 부과할 수 있지만, 이는 종종 전체 가격에 포함됩니다. miniOrange에 따르면, 거래 가격은 보통 SMS당 0.01달러에서 0.20달러 사이이며, 주요 제공업체와 직접 연결된 고품질 SMS 서비스는 약 0.06달러에서 시작합니다. 디지털 제품 사용자는 종종 다른 국가에 위치하므로, 다양한 SMS 요금제를 구매하면 비용이 증가합니다. 저희 정보에 따르면, 이는 인증 메시지 전송 비용만으로도 얼마나 빠르게 비용이 치솟을 수 있는지, 그리고 왜 SMS 기반 인증이 선도적인 전자상거래 기업에 연간 1,200만 달러의 비용을 발생시키는지 보여줍니다. 물론, 주요 대상 국가에만 SMS 기반 인증을 제공하여 비용을 절약할 수도 있지만, 이는 빙산의 일각에 불과하며 일부 사용자의 사용자 경험에도 부정적인 영향을 미칠 것입니다.

대부분의 유지보수 비용은 일반적으로 거래 가격 내에 포함됩니다. 여기에는 제공업체가 대량의 SMS를 관리하고, 다양한 MNO로의 국제 SMS 전송을 용이하게 하며, 필수 보안 조치를 구현하고, 규정을 준수할 수 있도록 하는 관련 비용이 포함됩니다. 그러나 SMS 제공업체와의 공급업체 관계 처리, 사용자 지원 제공, 다운타임 및 기술 문제 해결을 위한 리소스 할당과 같은 추가 비용이 회사에 발생할 수 있습니다.

SMS 기반 인증의 맥락에서, 이는 SMS의 일관되고 시기적절한 전달과 전송된 인증 코드를 통한 인증 시스템의 중단 없는 접근성을 의미합니다. 현지 인프라에 따라 메시지 전달 지연, 네트워크 혼잡, 잠재적인 시스템 다운타임이 인증 코드의 신속한 수신을 방해할 수 있습니다. 이는 사용자 불만을 야기하고 인증 과정을 방해할 수 있습니다.

고려해야 할 한 가지 핵심 측면은 플랫폼마다 다른 사용자 편의성입니다. SMS 기반 인증은 인증 코드 입력을 쉽게 해주는 자동 완성 기능 덕분에 모바일 기기에서 훌륭하게 작동합니다. 반면, 데스크톱에서는 인증 코드를 수동으로 입력하기 위해 추가 장치인 휴대폰을 사용해야 하므로, 덜 직관적이고 불편한 경험을 초래합니다. 앞서 언급했듯이, 사기 공격이 발생하거나 SMS 전달 및 인증 코드 검색에 문제가 발생할 때도 사용자 경험은 저하됩니다.

지금까지 패스키는 주로 비밀번호에 대한 비밀번호 없는 대안으로만 인식되었습니다.

더욱이, 패스키는 내장된 2FA 기능을 제공하므로 비밀번호 및 모든 유형의 SMS 기반 인증에 대한 대안 역할을 합니다. 이는 보안을 강화하고 SMS 기반 일회용 비밀번호로 인해 발생하는 사용자 경험 문제를 피할 수 있게 해줍니다. 인증 메시지를 대체함으로써, 패스키는 SMS 기반 인증의 단점을 효과적으로 제거하는 상당한 이점을 제공합니다.

가로채기 및 조작에 취약할 수 있는 SMS 기반 인증과 달리, 패스키는 공개 키 인프라 사용 덕분에 모든 형태의 사기 공격에 대해 강력한 보호를 제공합니다. 이는 서버 침해가 발생하더라도 필수적인 개인 키가 사용자의 장치 내 운영 체제에 안전하게 내장되어 있어 사용자 계정이 보호됨을 보장합니다. 또한, 패스키가 특정 등록된 온라인 서비스에 연결되어 있다는 점은 피싱 시도에 대한 대응책으로 작용하여, 패스키를 현재 사용 가능한 가장 안전한 인증 방법으로 만듭니다.

SMS 기반 인증과 마찬가지로, 패스키 구현에도 비용이 관련됩니다. 자체적으로 구현을 처리하는 것도 가능하지만, 안전한 인증에 집중하다 보면 종종 전문가를 선호하게 됩니다. 그들의 전문 지식은 자체 구현 비용의 일부에 불과하며, SMS 기반 인증 제공업체가 구현에 대해 청구하는 비용과 비슷합니다. 비용 관점에서 볼 때, 패스키에 투자하는 것의 중요한 이점은 로그인 및 가입을 위해 SMS를 보낼 필요가 없다는 것입니다. 대신, 사용자는 Face ID나 Touch ID를 사용하여 안전하게 로그인할 수 있습니다. 이는 연간 수백만 달러의 인증 비용을 절감할 수 있을 뿐만 아니라(특히 대규모 소비자 지향 비즈니스의 경우), SMS 송수신 시 발생할 수 있는 모든 문제를 제거합니다.

마케팅이나 기타 커뮤니케이션 목적으로 종종 필요한 사용자의 전화번호를 확인하기 위해, 일회용 비밀번호가 포함된 초기 SMS를 보내는 것은 여전히 옵션으로 남아 있습니다. 이를 통해 SMS가 패스키와 함께 실행될 수 있습니다. 또한, SMS는 대체 수단으로 사용될 수 있습니다. 두 시나리오와 기존 SMS 기반 인증의 주요 차이점은 SMS가 모든 로그인 시도마다 전송되는 것이 아니라 가끔씩만 전송된다는 것입니다.

휴대폰 및 데스크톱 장치 잠금 해제를 위한 생체 인식(예: Face ID, Touch ID, Windows Hello)의 채택은 사용자들 사이에서 빠르게 보편화되었습니다. 이제 패스키는 이 익숙한 경험을 계정 잠금 해제까지 확장합니다. 대부분의 휴대폰 및 데스크톱 장치가 이미 패스키를 지원하므로, SMS 기반 인증을 일대일로 대체할 수 있습니다. 장치의 로컬 지문 또는 얼굴 스캔을 통해, 노트북 기반 SMS 인증에 여전히 필요한 보조 장치의 필요성이 제거됩니다. 이 상당한 개선은 사용자 경험을 단순화하고 계정 로그인을 손쉽게 만듭니다. 패스키의 또 다른 독특한 기능은 Conditional UI입니다. 이 기능은 사용자가 사용자 이름 입력 필드와 상호 작용할 때 저장된 패스키를 자동으로 제안하고 미리 채워주어 사용자 편의성을 향상시킵니다. 사용자 이름은 이미 장치나 브라우저 내에 안전하게 저장되어 있고 자동으로 미리 채워지므로, 사용자 이름을 포함한 자격 증명을 수동으로 찾을 필요가 없습니다.

패스키 기반 인증으로의 전환은 더 원활한 로그인 UX와 더 나은 (피싱 방지) MFA에 관한 것만이 아닙니다. 패스키는 두 가지가 달성될 경우 상당한 SMS OTP 비용을 절감할 수 있습니다.

• 높은 패스키 채택률
• 높은 패스키 로그인율

Corbado의 패스키 기술과 지능형 설계는 이 두 가지 측면을 최적화하여 높은 SMS 비용 절감 효과를 제공하는 데 중점을 둡니다. 우리는 기존 DIY 솔루션에 비해 10배 높은 패스키 채택률로 최대 90%의 비용 절감을 달성합니다. 어떻게 가능한지 살펴보겠습니다.

첫 번째 단계는 기존 사용자가 계정 설정에서 패스키를 생성할 수 있도록 하여 패스키 사용자로 전환하는 것입니다. 그러나 이것만으로는 기존 사용자 기반의 패스키 채택률을 높이기에 충분하지 않습니다. Corbado는 여러 솔루션을 제공합니다.

• 점진적 자동 등록(Progressive Automatic Enrollment): 저희 패스키 인텔리전스 엔진은 패스키 등록 프로세스를 최적화하도록 설계되어, 가능한 경우(예: 기존 인증 방식으로 로그인하는 동안) 사용자가 원활하고 마찰 없는 방식으로 패스키를 채택하도록 안내합니다. 이 선제적인 접근 방식은 사용자가 압도되거나 혼란스러워하지 않도록 보장하여 이탈률을 줄이고 전반적인 채택률을 높입니다.
• 자동 로컬 패스키 생성: 고객이 교차 기기 인증(Cross-Device Authentication)을 통해 로그인하면, 현재 사용 중인 환경에서 로컬 패스키를 생성할 수 있는 옵션이 제공되어 모든 기기에서 패스키 채택률을 높입니다. 현재 데스크톱 기기가 패스키를 생성할 플랫폼 인증자를 제공하지 않는 상황에서는, 모바일 우선 전략을 사용하여 휴대폰에서 패스키를 생성할 수 있습니다.
• 자동 패스키 업그레이드: Corbado의 의사 결정 엔진은 사용자를 위한 패스키로의 자동 업그레이드를 용이하게 하여, 사용자의 적극적인 참여 없이도 채택률을 크게 높입니다. 이 원활한 전환은 iOS 18 이상 기기에서 자동으로 작동하는 저희 패스키 인텔리전스 의사 결정 엔진에 의해 구동됩니다(더 많은 기기 지원 예정).

우리는 더 많은 사용자가 손쉽게 패스키를 채택하도록 보장하여, 자체 제작 패스키 구현보다 10배 높은 채택률을 달성합니다.

두 번째 중요한 단계는 가능할 때마다 패스키 로그인을 유도하고 기존 패스키의 재사용을 적극적으로 장려하는 것입니다.

• 식별자 우선 접근 방식(Identifier-First Approach): 식별자(예: 이메일 주소)만 요청하여 로그인 프로세스를 시작한 다음 패스키 로그인이 가능한지 자동으로 결정하면 UX가 단순화되고 더 높은 패스키 사용을 장려합니다. 이 방법은 사용자가 로그인하는 데 필요한 단계를 줄여, 소비자들이 자주 무시하는 별도의 "패스키로 로그인" 버튼을 제공하는 것보다 프로세스를 더 빠르고 직관적으로 만듭니다.
• 교차 기기 인증 및 원탭 패스키 로그인: Corbado는 로컬 패스키가 없을 때 자동으로 WebAuthn 교차 기기 인증으로 대체됩니다. 또한, 기기에서 패스키 로그인이 기록되면 사용자 식별자 필드가 자동으로 원탭 패스키 로그인 버튼으로 변환되어 로그인이 더욱 원활해집니다.

Corbado의 패스키 채택 및 로그인율 극대화에 대한 혁신적인 접근 방식은 DIY 접근 방식에 비해 상당한 이점을 제공합니다. 이 지능형 설계를 활용하여, 우리는 사용자가 패스키를 통합할 뿐만 아니라 적극적으로 채택하도록 보장하여 최대 10배 높은 채택 및 로그인율을 달성합니다. 이러한 전환은 보안과 사용자 경험을 향상시킬 뿐만 아니라, 특히 SMS OTP 비용을 최대 90%까지 줄여 상당한 비용 절감 효과를 제공합니다. 효율적이고 안전한 인증이 중요한 다가오는 패스키 시대에, Corbado는 채택과 비용 효율성을 모두 주도하는 선두 주자로 자리매김하고 있습니다.

요약하자면, 패스키는 SMS 기반 인증의 단점을 해결하기 위한 실용적인 솔루션을 제공합니다. 강력한 보안, 비용 효율성, 높은 사용자 경험을 제공하여 현명한 대체재가 됩니다. 생체 인식 기술과 Conditional UI와 같은 사용자 친화적인 기능을 통해 패스키는 보안을 원활하게 하고 플랫폼 전반에서 부드러운 사용자 경험을 제공합니다. 인증 수준을 한 단계 높이고자 하는 기업에게 Corbado의 패스키 솔루션은 보안을 강화하고, 비용을 절감하며, SMS 기반 인증의 과제를 뒤로하고 나아갈 수 있는 간단한 방법입니다. 귀사의 SMS OTP / 2FA 설정을 위한 맞춤형 패스키 인증 솔루션에 대해 문의해 주세요.