- 구글OTP는 제품화된 인증솔루션이 아닙니다. 이는 여러 보안취약점을 제거한 여타 유상 솔루션에 대비하여 많은 취약점을 가지고 있을 수밖에 없고, 구글에서도 구글OTP를 실제 서비스에 적용하는 것은 위험하다라고 인터뷰 한적이 있습니다. 하지만 무상이라는 이유로 암호화폐 거래소, 게임사 등에서 2차 인증 수단으로 적용했고, 이미 여러 해킹 사례가 발생하여 피해를 입은 사용자들이 많습니다. 물론 구글에서는 어떠한 책임도 지지 않습니다.
- OTP란 기본적으로 소유형 인증수단이며, 계정과 연동된, 기존에 등록된 하나의(유일무이) 단말기에서만 OTP 난수를 발생시켜 인증서버와 비교하는 방식입니다.
가. OTP 등록 키 값 노출
OTP란 인증수단에 있어서 가장 중요한 것이 최초 등록입니다. 최초 등록시 키값을 통해 서버에 등록하게 되는데 이는 절대로 노출되어서는 안되는 가장 중요한 정보입니다. 이 키값을 알게되면 타인이 내 계정의 OTP등록이 가능하기 때문입니다. 아래 예시 참고 부탁 드립니다.
예시) 인터넷뱅킹 OTP 사용
1) 은행에서 본인확인후 하드웨어 토큰을 받아서, 사이트 로그인후 OTP 등록시 토큰의 일련번호를 입력합니다.
2) 이때 입력한 일련번호는 일련의 키값으로 변환되고 암호화됩니다. 이 암호화된 키값을 가지고 서버에 OTP를 등록합니다.
※ 이 OTP 등록 키값은 아무도 알아서는 안됩니다. 그래서 토큰을 발급한 은행에서도 알수 있는 방법이 없으며, 기술적으로는 아무도 알수 없습니다. 이렇듯 중요한 OTP 등록 키값이 구글OTP에서는 너무도 쉽게 노출됩니다. 구글OTP의 경우 간단한 숫자조합이나 QR코드로 등록과정이 이뤄지는데 숫자조합의 경우 그대로 등록 키값으로 활용될 수 있고, QR코드의 경우 QR코드 리더기로 읽으면 킷값이 평문으로 그대로 노출 됩니다. 타인이 너무도 쉽게 나의 OTP 등록 키값을 알수 있습니다.
나. 등록 키값의 중복 등록 가능
앞서 등록 키값의 중요성을 말씀 드렸고 이는 절대로 노출되어서도, 중복되어서도 안되는 값입니다. 이 키값이 중복 등록이 가능하다는 것은 킷값만 알면 타인이 얼마든지 나와 같은 OTP를 소유할 수 있다는 말입니다. OTP는 소유형 인증수단이며 이 세상에 본인만 가지고 있어야 합니다. 시중의 모든 OTP는 키값이 절대 중복 등록되지 않으나, 구글OTP는 중복등록이 가능합니다.
※ 구글OTP는 등록 키값이 노출되기도 쉬우며 중복등록이 가능하다.
다. 해킹에 대단히 취약
일반적인 상용 mOTP 인증솔루션의 경우 앱(클라이언트)과 인증서버에 여러 보안장치들이 마련되어 있습니다. 앱만 하더라도 캡쳐방지, 앱 위변조 방지 등의 기본적인 보안장치들이 들어가 있습니다. 하지만 구글OTP는 오픈소스 기반의 무상 서비스이기에 이러한 장치들이 전혀 없습니다.
* 케르베르스라는 악성코드는 이 부분을 파고들어 구글OTP에서 생성되는 OTP번호를 그대로 캡쳐하여 해커에게 전송이 가능합니다.
※ 이와 같이 구글OTP는 해킹을 방어할 어떠한 보안장치도 없습니다.
라. 구성원의 구글계정 해킹시 대비책 없음
구글이나 네이버등의 계정 해킹사례는 너무나도 많고 그 사례는 점점 더 늘어나는 추세입니다. 개인이 구글계정을 해킹당하면 해커가 그 계정의 정보나 인증수단을 변경할 수 있습니다.
※ 계정이 해킹당하면 구글OTP가 적용된 업무서비스를 일정기간 사용하지 못함.
그렇다면 어떻게 보다 더 안전한 2차 인증 시스템을 구축할 수 있을까요?
이데아텍의 i-ONE PASS를 통해 가능합니다.
i-ONE PASS는 국제전기통신연합(ITU)에서 국제표준으로 채택된 FIDO1.1 Certified를 획득한 간편인증 솔루션으로 생체인증, OTP, 보안PIN, 패턴 등 다양한 인증수단을 통합으로 제공함으로써 안전하고 간편한 인증체계 구축이 가능합니다. 또한 i-ONE PASS Web PIN은 App이 필요없이 브라우저에서 동작하는 보안PIN으로서 Non Active-X, Non EXE 환경 구축 및 공인인증서를 대체하여 간편하게 전자서명을 제공할수 있습니다.
이러한 이데아텍의 인증 솔루션 라인업은 망분리 환경, 수많은 도메인, 다양한 대고객 서비스, 분산된 인증체계 등 각각의 고객들이 가진 인증고민을 한번에 해결해 줄 수 있습니다. 어떠한 고객 환경하에서도 통합인증 체계를 구축하여 중앙관리가 가능토록 함으로써 구성원의 편의성을 증대시킴과 동시에 관리자의 업무 리소스를 줄일수 있습니다.
#구글OTP #보안취약성 #서비스적용위험한이유 #차세대간편인증 #FIDO인증 #아이원패스 #이데아텍 #
- 구글OTP는 제품화된 인증솔루션이 아닙니다. 이는 여러 보안취약점을 제거한 여타 유상 솔루션에 대비하여 많은 취약점을 가지고 있을 수밖에 없고, 구글에서도 구글OTP를 실제 서비스에 적용하는 것은 위험하다라고 인터뷰 한적이 있습니다. 하지만 무상이라는 이유로 암호화폐 거래소, 게임사 등에서 2차 인증 수단으로 적용했고, 이미 여러 해킹 사례가 발생하여 피해를 입은 사용자들이 많습니다. 물론 구글에서는 어떠한 책임도 지지 않습니다.
- OTP란 기본적으로 소유형 인증수단이며, 계정과 연동된, 기존에 등록된 하나의(유일무이) 단말기에서만 OTP 난수를 발생시켜 인증서버와 비교하는 방식입니다.
가. OTP 등록 키 값 노출
OTP란 인증수단에 있어서 가장 중요한 것이 최초 등록입니다. 최초 등록시 키값을 통해 서버에 등록하게 되는데 이는 절대로 노출되어서는 안되는 가장 중요한 정보입니다. 이 키값을 알게되면 타인이 내 계정의 OTP등록이 가능하기 때문입니다. 아래 예시 참고 부탁 드립니다.
예시) 인터넷뱅킹 OTP 사용
1) 은행에서 본인확인후 하드웨어 토큰을 받아서, 사이트 로그인후 OTP 등록시 토큰의 일련번호를 입력합니다.
2) 이때 입력한 일련번호는 일련의 키값으로 변환되고 암호화됩니다. 이 암호화된 키값을 가지고 서버에 OTP를 등록합니다.
※ 이 OTP 등록 키값은 아무도 알아서는 안됩니다. 그래서 토큰을 발급한 은행에서도 알수 있는 방법이 없으며, 기술적으로는 아무도 알수 없습니다. 이렇듯 중요한 OTP 등록 키값이 구글OTP에서는 너무도 쉽게 노출됩니다. 구글OTP의 경우 간단한 숫자조합이나 QR코드로 등록과정이 이뤄지는데 숫자조합의 경우 그대로 등록 키값으로 활용될 수 있고, QR코드의 경우 QR코드 리더기로 읽으면 킷값이 평문으로 그대로 노출 됩니다. 타인이 너무도 쉽게 나의 OTP 등록 키값을 알수 있습니다.
나. 등록 키값의 중복 등록 가능
앞서 등록 키값의 중요성을 말씀 드렸고 이는 절대로 노출되어서도, 중복되어서도 안되는 값입니다. 이 키값이 중복 등록이 가능하다는 것은 킷값만 알면 타인이 얼마든지 나와 같은 OTP를 소유할 수 있다는 말입니다. OTP는 소유형 인증수단이며 이 세상에 본인만 가지고 있어야 합니다. 시중의 모든 OTP는 키값이 절대 중복 등록되지 않으나, 구글OTP는 중복등록이 가능합니다.
※ 구글OTP는 등록 키값이 노출되기도 쉬우며 중복등록이 가능하다.
다. 해킹에 대단히 취약
일반적인 상용 mOTP 인증솔루션의 경우 앱(클라이언트)과 인증서버에 여러 보안장치들이 마련되어 있습니다. 앱만 하더라도 캡쳐방지, 앱 위변조 방지 등의 기본적인 보안장치들이 들어가 있습니다. 하지만 구글OTP는 오픈소스 기반의 무상 서비스이기에 이러한 장치들이 전혀 없습니다.
* 케르베르스라는 악성코드는 이 부분을 파고들어 구글OTP에서 생성되는 OTP번호를 그대로 캡쳐하여 해커에게 전송이 가능합니다.
※ 이와 같이 구글OTP는 해킹을 방어할 어떠한 보안장치도 없습니다.
라. 구성원의 구글계정 해킹시 대비책 없음
구글이나 네이버등의 계정 해킹사례는 너무나도 많고 그 사례는 점점 더 늘어나는 추세입니다. 개인이 구글계정을 해킹당하면 해커가 그 계정의 정보나 인증수단을 변경할 수 있습니다.
※ 계정이 해킹당하면 구글OTP가 적용된 업무서비스를 일정기간 사용하지 못함.
그렇다면 어떻게 보다 더 안전한 2차 인증 시스템을 구축할 수 있을까요?
이데아텍의 i-ONE PASS를 통해 가능합니다.
i-ONE PASS는 국제전기통신연합(ITU)에서 국제표준으로 채택된 FIDO1.1 Certified를 획득한 간편인증 솔루션으로 생체인증, OTP, 보안PIN, 패턴 등 다양한 인증수단을 통합으로 제공함으로써 안전하고 간편한 인증체계 구축이 가능합니다. 또한 i-ONE PASS Web PIN은 App이 필요없이 브라우저에서 동작하는 보안PIN으로서 Non Active-X, Non EXE 환경 구축 및 공인인증서를 대체하여 간편하게 전자서명을 제공할수 있습니다.
이러한 이데아텍의 인증 솔루션 라인업은 망분리 환경, 수많은 도메인, 다양한 대고객 서비스, 분산된 인증체계 등 각각의 고객들이 가진 인증고민을 한번에 해결해 줄 수 있습니다. 어떠한 고객 환경하에서도 통합인증 체계를 구축하여 중앙관리가 가능토록 함으로써 구성원의 편의성을 증대시킴과 동시에 관리자의 업무 리소스를 줄일수 있습니다.
#구글OTP #보안취약성 #서비스적용위험한이유 #차세대간편인증 #FIDO인증 #아이원패스 #이데아텍 #