TTESays

전화번호는 신뢰 가능한 수단인가?

Donghwi Shin

Published: 11:18, 03 Mar 2026 (Updated: 14:03, 03 Mar 2026)

Photo by Ed Hardie / Unsplash

💡

Editor Pick
- 우리의 본인인증 수단인 전화번호 기반의 인증은 안전한가?
- 해외의 경우 그 방향성을 어떻게 수립하고 있는가?

캐나다 정부가 5년 동안 추적한 SIM 보안의 구조적 의미

2026년, 캐나다 사이버 보안 센터(Cyber Centre)가 발표한 “Security considerations for SIMs (ITSAP.10.021)”는 표면적으로 SIM 스와핑 대응을 위한 기술 가이드처럼 보인다. 그러나 이 문서를 단일 위협에 대한 대응책으로만 해석하는 것은 충분하지 않다. 이는 2021년부터 축적되어 온 정책적 흐름의 종결점이며, 더 정확히는 ‘사용자 인증 구조’를 재설계하기 위한 5년간의 질문과 답변이 하나로 정리된 결과에 가깝기 때문이다.

캐나다가 지난 5년간 쌓아 올린 보안에 관한 정책 방향성 그리고 이 문서를 관통하는 질문은 단순하다.

우리는 여전히 전화번호를 신뢰의 근거로 삼아도 되는가?

통신 문제에서 인증 구조의 문제로...

문제의 출발점은 기술 보고서가 아닌 규제 기관의 문제 제기였다. 2021년 6월, Canadian Radio-television and Telecommunications Commission(CRTC)는 무단 번호 이동과 SIM 스와핑을 공식 조사 대상으로 다루기 시작했다. 통신사들에게 사기 방지 조치를 강화할 것을 요구했고, 관련 데이터를 수집하며 문제의 규모와 구조를 파악하려 했다.

The Commission is of the view that it is in the public’s interest to know that the MCs are taking the matter of unauthorized mobile telephone transfers and SIM swaps seriously and that they are actively engaged in resolving this issue.

이 결정의 의미는 작지 않았다. 번호 이동은 원래 이용자 편의를 위한 기능이다. 하지만 공격자가 피해자를 사칭해 고객센터를 설득할 수 있다면, 동일한 기능은 계정 탈취의 출발점으로 변한다. 이 순간 SIM 스와핑은 단순한 소비자 피해 사건이 아니라, 인증 인프라 전반을 흔드는 구조적 리스크로 재정의된다. 그렇다면 2021년 캐나다는 통신 편의의 문제를 보안 구조의 문제로 격상시켰다고 할 수 있다.

공격은 하나의 체인으로 작동한다

2022년 발표된 자격 증명 스터핑(Credential Stuffing) 방어 지침(ITSP.30.035)은 자격 증명 스터핑 공격을 단일 행위가 아닌 ‘연결된 또는 연결될 단계’로 설명했다. 유출된 아이디와 비밀번호는 단지 이메일 계정 탈취를 위해 사용되는 것이 아닌, 통신사 계정 접근에도 활용된다는 점을 명시했다. 결국 공격자가 유출된 계정을 활용하여 통신사에 로그인한 뒤 SIM 재발급이나 번호 이동을 요청하고, 그 결과 확보한 번호를 통해 SMS 기반 인증 코드를 가로채는 흐름을 하나의 공격 체인으로 정리했다..

Credential stuffing attacks occur when threat actors use a list of leaked combinations of usernames (often email addresses) and passwords to authenticate to a web application… Threat actors use automated bots to launch sequential login attempts to validate a credential list and identify successful combinations.

이 관점은 중요하다. SIM 스와핑이 독립된 범죄 유형이 아닌 계정 탈취의 후반부 단계로 판단한 것이다. 즉, 인증 구조가 약한 곳이 연쇄적으로 무너질 수 있다는 사실을 정부가 공식 문서에서 인정한 셈이다. 이는 SIM이라는 매체보다 인증 프로세스 설계에서 전화번호에 대한 신뢰도가 문제의 중심이라는 점을 드러낸다.

조직의 경계는 어떻게 설계되어야 하는가

같은 해 발표된 BYOD 보안 지침(ITSM.70.003)은 또 다른 면을 제시했다. 개인 기기와 업무용 데이터의 경계를 어떻게 나눌 것인가, 그리고 데이터의 민감도에 따라 인증 방식을 달리 적용해야 하는가?라는 질문을 던졌다.

이 문서는 단순히 모바일 보안을 강화하라는 요구가 아니다. 모든 계정에 동일한 인증 강도를 적용하는 것이 과연 합리적인지 묻고 있었다. 고위험 정보에 접근하는 계정에 SMS 기반 인증을 허용하는 것은 구조적으로 취약할 수 있고 언급하고 있다. 그 연장선에서 조직은 데이터의 민감도에 따라 인증 체계를 차등 설계해야 한다는 메시지를 명확히 전달한다. 결국 BYOD에 관한 컴셉의 등장으로 SIM 보안이 더 이상 통신사의 문제가 아닌, 조직의 보안 아키텍처 설계 문제로 확장되었음을 보여준다.

“An integral part of protecting corporate data is ensuring there is sufficient separation between your corporate data repositories and personal data…Short Message Service (SMS)/Multimedia Messaging Service (MMS)”

기술이 아니라 사람이 취약점이 되는 순간

2023년과 2024년에 발표된 지침들은 사회공학적 기법과 다중인증(MFA)을 중심으로 논의를 이어갔다. 사회공학 지침(ITSAP.00.166)은 공격자가 시스템을 해킹하는 대신 사람을 설득하며 약점을 공략할 수 있다는 점을 강조했다. 즉, 고객센터 상담원이 암호화 알고리즘보다 약할 수 있다는 것이다. 결국 공격자가 신뢰와 절차의 틈을 이용하면 번호는 이동되고, 인증은 무력화될 수 있다는 것이다.

이어 발표된 MFA 배포 지침(ITSAP.00.105)은 SMS 인증의 한계를 보다 명확히 규정했다. SMS 코드는 SIM 스와핑으로 가로챌 수 있으며, 따라서 이를 강력한 인증 수단으로 분류하기 어렵다는 점을 공식화했다.

only consider short message service (SMS) codes as an authentication factor for low-risk logins. SMS is insecure as codes are sent in unencrypted form. An increasing number of cyber attacks involves threat actors intercepting SMS codes through SIM swapping, phishing or other social engineering attacks

대신 인증 앱 기반의 일회용 코드나 FIDO2 보안 키와 같은 피싱 저항형 인증 수단을 권고하고 있다. 이는 단순한 기술 교체가 아니라, 인증의 중심을 통신망에서 암호 기반 검증 체계로 이동시키는 정책적 방향 제시로 평가할 수 있다.

2026년, 통합이라는 이름의 정리

앞서 설명한 흐름들의 결과가 정리된 것이 2026년 발표된 ITSAP.10.021이다. 이 문서는 SIM 스와핑 수법과 eSIM 환경의 위험을 정리하는 데 그치지 않는다. 개인 사용자와 조직, 그리고 통신사가 각각 어떤 통제 장치를 마련해야 하는지를 구체적으로 설명한다.

using any additional verification requirements your mobile provider offers to help protect your account; requesting your mobile provider to enable port protection or a SIM lock on your accounts, if available; enabling MFA that includes methods other than those that rely on your phone number (for example, a PIN, biometric or authentication app); keeping sensitive information related to account security questions private …

Have a clear device usage policy for what data can be handled on certain devices … enforce cellular contracts for company-owned devices that prohibit account migration without your organization’s approval; use authenticator applications that generate one-time passcodes for MFA rather than verification measures connected to the phone number … classify and label data according to sensitivity levels and clearly establish how data belonging to each level should be handled.

조직에게는 통신사 계정 보호 강화, 무단 번호 이동 금지 계약 체결, 고위험 계정에서의 SMS 인증 제한, 데이터 민감도 기반 인증 설계 등의 조치가 권고된다. 이는 기술적 조언을 넘어 거버넌스 설계에 가까운 요구다. 이제 보안은 기능의 문제가 아니라 정책과 계약, 그리고 구조의 문제라는 것을 보여주고 있는 것이다.

결론

캐나다가 5년에 걸쳐 반복적으로 던진 질문은 단순했다. 전화번호는 여전히 신뢰의 근거가 될 수 있는가? 그들은 이 질문을 정책으로 축적했고, SMS 인증을 “낮은 위험 로그인에 한정된 수단”으로 재분류하며 인증 체계를 재설계하는 방향으로 이동했다. 핵심은 SIM이 아닌, 인증의 중심을 통신망에서 암호 기반 검증 체계로 옮기는 구조적 전환이었다.

우리의 상황은 어떠한가. 우리는 여전히 회원 가입, 비밀번호 재설정, 금융 서비스 접근, 각종 플랫폼의 본인 확인 절차에서 전화번호 기반 인증에 과도하게 종속되어 있다. 전화번호는 가장 간편하고 보편적인 수단이지만, 동시에 통신사 절차와 사회공학 공격에 노출된 외부 의존 변수이기도 하다. 번호 이동이나 계정 탈취가 발생하면, 그 번호에 연결된 다수의 서비스가 연쇄적으로 영향을 받을 수 있다. 편의성과 비용 효율성이라는 장점이, 구조적 취약성이라는 그림자를 동반하는 셈이다. 물론 과거 통신사 침해사고 등으로 인해 공격자가 넘어야할 장벽이 많아 진 것은 사실이다.

앞으로 우리에게 던저야 하는 질문은 명확하다. 우리는 SMS 인증을 “기본”으로 둘 것인가, 아니면 “보조 수단”으로 재정의할 것인가. MFA, 하드웨어 보안 키(FIDO)와 같은 대안을 점진적으로 확대하고, 고위험 계정에는 전화번호 기반 인증을 제한하는 방향으로 정책을 전환해야 한다. 동시에 통신사 계정 자체에 대한 보호 수준을 강화하고, 조직 차원에서는 데이터 민감도에 따라 인증 방식을 차등 설계하는 체계를 정립해야 한다.

보안은 사건 이후에 강화되는 것이 아니라, 의존 구조를 재설계할 때 비로소 단단해진다. 캐나다의 5년은 하나의 사례일 뿐이다. 그러나 그 질문은 우리에게도 유효하다. 번호는 편리하다. 하지만 편리함이 신뢰를 보장하지는 않는다. 전화번호 중심 인증 구조를 넘어서는 전략적 전환이 필요하다.