SKT 해킹 이후 금융기관이 안내한 '앱 기반 2차 인증'의 의미
— 지문 로그인 사용 중이라도 꼭 알아야 할 보안 대책
서론: SKT 해킹 이후 금융·포털 보안 대책 강화 필요
2024년 하반기부터 발생한 SK텔레콤(SKT) 유심 해킹 사태는 단순한 통신망 보안을 넘어, 금융기관과 온라인 플랫폼 전반의 보안 체계를 강화해야 한다는 사회적 필요성으로 확산되었습니다. 특히 해커가 유심을 복제하거나 타 기기로 번호를 탈취하는 방식으로 문자 인증번호(SMS 인증)를 가로채 금융 사기를 시도한 사건들이 밝혀지면서, “문자 기반 인증은 위험하다”는 경고가 이어지고 있습니다.
이에 따라 여러 금융기관과 인터넷 서비스 업체들은 공통적으로 다음과 같은 보안 권고를 내놓고 있습니다.
“가능하다면 2차 인증 수단을 앱 기반 인증(카카오페이, PASS, OTP 등)으로 변경하십시오.”
하지만 사용자 입장에서는 “나는 지문 로그인을 쓰고 있는데, 이걸 꼭 바꿔야 하나요?”, “2차 인증이라는 게 정확히 뭔가요?”, “앱 기반 인증이 왜 더 안전한가요?” 하는 의문이 생길 수밖에 없습니다.
이번 글에서는 이러한 질문에 대해 2차 인증의 개념, 문자 인증의 취약점, 앱 기반 인증 방식의 특징, 그리고 지문 인증과의 관계를 구체적으로 설명합니다.
1. '2차 인증'이란 무엇인가요?
1. 기본 개념: 로그인 또는 거래 시 '한 번 더 확인'
2차 인증이란, 로그인을 하거나 금융 거래를 할 때, 비밀번호 외에 한 번 더 본인임을 확인하는 절차를 말합니다. 이를 흔히 MFA(Multi-Factor Authentication), 다중 인증이라고도 합니다.
2. 왜 필요한가?
비밀번호 하나만으로는 계정 도용이나 해킹에 취약할 수 있기 때문입니다.
특히 해커가 비밀번호를 알게 되더라도, 2차 인증이 없으면 접근을 막을 수 있습니다.
예시:
카카오뱅크에 로그인 → 비밀번호 입력 → 휴대폰 문자로 인증번호 입력
네이버에 로그인 → 아이디·비번 입력 → 등록된 기기에서 PUSH 알림 승인
2. 문자 인증(SMS)은 왜 위험할까요?
1. SKT 해킹의 핵심: 인증번호 탈취
이번 해킹 사태에서 주된 피해는 다음과 같은 방식으로 발생했습니다.
해커가 피해자의 개인정보와 휴대폰 번호를 확보
SKT 시스템을 통해 유심을 해커 기기로 재발급
해커가 피해자의 문자 인증번호를 수신
이를 통해 금융 계좌 비밀번호 변경, 간편결제 등록, 소액결제 실행
즉, 본인 인증을 위한 문자 메시지가 해커에게 전달되었기 때문에, 피해자가 자기도 모르게 자신의 계좌에서 돈이 빠져나가는 상황이 발생한 것입니다.
✅ 결론: 문자 인증(SMS)은 해커가 유심을 복제하거나 번호를 탈취할 경우 매우 쉽게 뚫리는 인증 수단입니다.
3. '앱 기반 인증'은 어떻게 다르며 왜 더 안전한가요?
1. 앱 기반 인증의 종류
| 인증 수단 | 설명 |
| 카카오페이 인증 | 본인 명의로 개설된 카카오 계정으로 인증 요청을 보내고, 사용자가 앱에서 직접 승인 |
| PASS 앱 인증 | 통신사 연동 인증 앱으로, 지문이나 PIN 입력 후 직접 승인 가능 |
| OTP(일회용 비밀번호) | 물리적 기기 또는 앱에서 생성되는 숫자 코드로 본인 인증 진행 |
이러한 방식들은 공통적으로 문자 메시지를 거치지 않고, 앱 내부의 안전한 채널을 통해 인증 절차가 진행됩니다.
2. 왜 더 안전한가?
문자 수신을 가로챌 수 없음 (유심 복제 무력화)
앱 내부 인증은 암호화된 보안 채널을 통해 전송됨
등록된 기기 외에는 승인 불가 (즉, 해커가 앱을 복제하더라도 승인 불가능)
✅ 결론: 앱 기반 인증은 문자 인증보다 보안성이 훨씬 높으며, 해커가 유심을 복제해도 인증 자체를 우회할 수 없습니다.
4. 질문: “저는 지문 로그인을 쓰고 있는데요, 이거면 괜찮은 거 아닌가요?”
1. 지문 로그인은 '1차 인증 수단'입니다
지문 로그인은 기기에서 앱이나 서비스에 로그인할 때 사용하는 인증 수단으로, 비밀번호를 대신하는 보안 수단입니다. 매우 안전한 방법이지만, 금융 거래나 비밀번호 재설정 등의 추가 인증 절차(2차 인증)에는 별도로 인증 방식이 사용될 수 있습니다.
즉,
지문으로 앱에 로그인했다 하더라도
이체나 설정 변경을 하려면 문자 인증 또는 앱 인증이 추가로 필요한 경우가 많습니다
2. 지문만으로는 해커의 접근을 완전히 막을 수 없습니다
만약 해커가 인증 앱이 설치된 스마트폰에 접근하거나, 유심을 복제해 문자 인증을 탈취한 경우, 지문만으로는 방어가 어렵습니다. 따라서 지문 + 앱 기반 2차 인증이 함께 사용되어야 완전한 보안 체계가 됩니다.
✅ 결론: 지문 인증은 강력하지만, 2차 인증을 앱 기반으로 설정해두는 것이 근본적인 방어책입니다.
5. 어떻게 앱 기반 인증으로 바꾸면 되나요?
1. 금융기관 앱 설정에서 변경 가능
각 은행 앱(카카오뱅크, 토스, 우리, 신한 등) 설정 > 보안센터 > 인증수단 변경
‘문자 인증’ 대신 ‘PASS 앱 인증’ 또는 ‘카카오페이 인증’ 선택
2. 포털 사이트 인증 설정도 점검
네이버, 카카오, 구글 계정 설정 > 2단계 인증 활성화
비밀번호 외에도 앱 인증, 보안 키 등을 등록
3. OTP 앱 사용
주요 은행 또는 금융사에서 제공하는 OTP 생성기 앱 다운로드
등록 후 일정 시간마다 바뀌는 숫자 코드를 인증 시 입력
결론: 지문 인증만으로는 부족하며, 2차 인증 수단을 앱 기반으로 바꾸는 것이 보안의 핵심입니다
현재 금융기관이 강조하는 “2차 인증 수단을 앱 기반 인증으로 바꾸세요”라는 말은, 문자 인증을 사용하는 환경은 해커에게 쉽게 뚫릴 수 있으니 보다 안전한 ‘앱 기반 인증 수단’을 사용하라는 권고입니다.
지문 인증만으로는 기기 내 인증에만 국한되며, 실제 거래나 비밀번호 변경 시에는 여전히 문자 인증이 사용될 수 있기 때문에, 앱 기반 2차 인증은 별도로 설정해두는 것이 필수입니다.