전화번호 기반 일회용 비밀번호 인증 시스템

초록

본 논문은 비밀번호 도난 및 재사용 공격에 대응하기 위해, 사용자의 휴대전화 번호를 활용한 2단계 인증 방식을 제안한다. 장기 비밀번호와 전화통신 서비스를 결합해 각 로그인 시마다 일회용 비밀번호(OTP)를 생성함으로써, 피싱·키로깅·멀웨어 등 기존 위협에 대한 저항성을 높인다. 또한 비밀번호 재사용을 방지하는 정책을 통합하여 전반적인 인증 보안을 강화한다.

상세 분석

이 논문은 기존 비밀번호 기반 인증 체계가 갖는 근본적인 취약점을 지적하고, 특히 비밀번호 도난과 재사용이 결합될 때 발생하는 연쇄적인 보안 위협을 상세히 분석한다. 저자는 먼저 비밀번호가 인간의 기억 한계에 의해 쉽게 추측되거나 재사용될 수밖에 없는 현실을 지적하고, 이러한 현상이 피싱, 키로깅, 악성코드 등 다양한 공격 벡터와 결합될 경우 공격자가 다수의 서비스에 동시에 접근할 수 있는 ‘크리덴셜 스터핑’ 상황을 초래한다는 점을 강조한다.

제안된 방안은 두 가지 핵심 요소로 구성된다. 첫 번째는 장기 비밀번호와 사용자의 고유 전화번호를 결합해 OTP를 생성하는 메커니즘이다. 사용자는 등록 단계에서 본인 확인을 위해 전화번호를 제공하고, 인증 서버는 통신 사업자와 연동해 SMS 혹은 음성통화를 통해 일회용 코드를 전달한다. 이때 장기 비밀번호는 OTP 생성 알고리즘의 시드 역할을 하며, 매 로그인 시마다 서로 다른 OTP가 산출된다. 따라서 공격자가 장기 비밀번호만 입수하더라도, 실시간으로 전송되는 OTP 없이는 인증을 통과할 수 없게 된다.

두 번째 요소는 비밀번호 재사용 방지 정책이다. 시스템은 각 웹사이트마다 사용자에게 고유한 ‘사이트 식별자’를 할당하고, 장기 비밀번호와 이 식별자를 결합해 사이트별 OTP 파라미터를 다르게 설정한다. 결과적으로 동일한 장기 비밀번호를 사용하더라도, 서로 다른 사이트에서는 서로 다른 OTP가 생성되므로 재사용 공격이 무력화된다. 또한, 복구 단계에서 전화번호 기반 인증을 활용함으로써, 비밀번호 초기화 과정 자체가 공격에 노출될 위험을 크게 감소시킨다.

기술적 구현 측면에서는 기존 OTP 표준(TOTP, HOTP)과 호환 가능하도록 설계했으며, 통신 사업자 API를 이용한 SMS/음성 전송 모듈을 추가한다. 서버 측에서는 사용자 별 비밀키와 전화번호 매핑 정보를 안전하게 저장하기 위해 하드웨어 보안 모듈(HSM)이나 키 관리 서비스(KMS)를 활용한다. 또한, OTP 유효 기간을 짧게 설정하고, 연속된 실패 시도에 대한 계정 잠금 메커니즘을 도입해 무차별 대입 공격을 방어한다.

보안 분석 결과, 제안된 시스템은 피싱 공격에 대해 ‘동일 세션 내 OTP 재사용 방지’와 ‘전화번호 기반 2차 인증’으로 강력한 방어선을 제공한다. 키로깅에 대해서는 장기 비밀번호가 노출되더라도 OTP 없이는 인증이 불가능하므로 실효성을 갖는다. 다만, SMS 전송 지연이나 통신 장애가 인증 성공률에 영향을 미칠 수 있으며, 전화번호 자체가 탈취당할 경우 보안이 약화될 위험이 존재한다. 이를 보완하기 위해서는 푸시 알림 기반 인증이나 보안 토큰과의 다중 채널 결합이 필요하다.

전반적으로 이 논문은 비밀번호 재사용 문제와 OTP 기반 2단계 인증을 통합함으로써, 기존 인증 체계의 가장 큰 약점인 ‘정적 비밀’에 대한 의존성을 크게 낮춘다. 실용적인 구현 방안과 보안·사용성 간의 균형을 고려한 설계가 돋보이며, 향후 모바일 기반 인증 인프라와 연계한 확장 가능성도 제시하고 있다.