Hacker News 의견

• SMS 인증 코드의 불편함에 대한 불만

  • 이전에는 TOTP 코드를 1Password가 자동으로 채워주었지만, 이제는 SMS 인증으로 인해 국제 로밍 비용을 지불하거나 SMS 전달을 설정해야 함.
  • 전화번호를 모든 회사에 제공하는 대신 인증 앱을 SMS와 연동해야 한다는 주장.
  • 전화번호를 계정에 연결하는 것은 다음과 같은 이유로 나쁨: 전화 분실/도난, 국가 이동, SMS 공격, 전화번호 재사용, 유료 전화 플랜 유지 필요.

• Payoneer의 SMS 문제에 대한 경험담

  • 아르헨티나 Movistar 사용자를 대상으로 한 Payoneer의 SMS 인증 문제가 있었으나, 해커뉴스에서 주목받지 못함.
  • 공격자가 Movistar 고객에게 2FA를 보내는 SMS 게이트웨이를 해킹하여 Payoneer 사용자의 이메일을 알아내고 비밀번호를 변경해 돈을 송금함.
  • 페이스북, 트위터 등도 같은 SMS 게이트웨이를 사용하여 비용을 절감하기 때문에 주의가 필요함.

• 전화번호 분실 시 로그인 문제

  • 전화번호를 잃어버린 경우, 구글 계정에 로그인할 수 없는 문제가 발생함.

• SMS 인증의 불편함과 TOTP의 편리함 비교

  • SMS 인증은 전화를 찾아야 하는 번거로움이 있으나, TOTP는 KeePassXC에 코드를 저장하여 더 편리함.

• SMS 인증의 사용자 경험(UX)에 대한 찬성 의견

  • SMS 로그인과 계정 복구가 좋은 사용자 경험을 제공하며, 통신사가 보안을 강화해야 함.

• Google Voice 번호 사용 제한에 대한 불만

  • 일부 회사들이 Google Voice 번호를 인증에 사용할 수 없다고 주장하거나 유효하지 않은 전화번호로 간주함.

• SMS 인증의 필요성과 통신사의 역할

  • 일반 사용자에게 앱 설치를 요구하는 것은 큰 부담이며, SMS는 일반 사용자에게 유일한 실질적인 해결책임.
  • SIM 스와핑을 어렵게 만들어야 한다는 주장.

• SMS 인증의 목적과 기업의 입장

  • SMS 인증은 계정 소유 증명과 비합법 사용자의 계정 생성 제한이라는 두 가지 목적에 효과적임.
  • 기업은 휴대폰 회사에 KYC(Know Your Customer) 과정을 아웃소싱함으로써 최적의 보안 솔루션을 제공하지 않음.

• SMS 인증에 대한 비판과 범죄자에 대한 책임 전가 문제

  • 비판자들은 SMS 인증을 사용하는 기업을 비난하지만, 실제로는 범죄자가 책임져야 함.
  • SIM 스와핑 공격에 대한 책임은 범죄자에게 있음.