Hacker News 의견

• T-Mobile이 직원을 해고하기 위해 가짜 SMS를 보내는 것은 비윤리적이고 논란의 여지가 있음
• 최근 T-Mobile 데이터 유출로 인해 범죄자들이 직원 전화번호를 대량으로 입수하여 SIM 스와핑을 유도하는 새로운 공격 기법이 등장함
• SIM 스와핑 문제 해결을 위해서는 고객 본인 확인 절차 강화가 필요하나, 미국에는 보편적인 신분증 제도가 없어 어려움
• 전화번호가 디지털 생활의 신뢰 기반이 되는 근본적 문제가 있음. Passkey 등 OS 레벨 개선이 도움이 될 수 있음
• SMS OTP는 공격 벡터를 더 취약한 것으로 교체하는 것임에도 여전히 많이 사용되고 있음
• FCC에서 2024년 7월부터 SIM 스와핑 방지 규칙을 시행 예정이나, 내부자 공격까지 막을 수 있을지는 불확실함
• MFA에 대한 법적 정의와 표준 마련이 필요함. SMS는 2SA로 분류하고, MFA는 하드웨어 인증 방식으로 제한하는 것이 바람직함
• 통신사 고객 서비스 담당자의 낮은 급여와 강력한 권한, 취약한 접근 통제 등이 내부자 공격의 원인이 되고 있음
• SIM 문제 해결 후에도 다른 취약점을 노릴 것이므로 지속적인 보안 강화가 필요함
• 사용자가 동의한 경우에 한해, 기존 SIM이 오프라인 상태가 되어야만 새 SIM으로 변경 가능하도록 하는 방안을 고려해 볼 수 있음