휴대폰 번호 재사용과 관련된 개인정보보호 및 보안 위험 경고

최근 발표된 새로운 보안 연구에서는 계정 탈취, 피싱 및 스팸 공격, 피해자의 온라인 서비스 가입 등 다양하게 악용될 수 있는 휴대폰 번호 재활용과 관련된 여러 개인정보보호 및 보안 위험이 강조되었다.

샘플로 활용된 번호의 거의 66%는 인기 웹사이트에서 이전 소유자의 온라인 계정에 연결되어 있는 것으로 밝혀졌으며, 해당 번호에 연결된 계정을 복구함으로써 잠재적으로 계정 도용이 가능할 것으로 알려졌다.

해당 연구를 진행한 보안 연구원들은 “공격자들은 온라인 번호 변경 인터페이스에 표시된 사용 가능한 번호를 순환하여 이전 소유자의 온라인 계정과 관련된 번호가 있는지 확인할 수 있었다”고 밝히며 이를 통해 전화번호를 탈취하고 계정 비밀번호를 재설정할 뿐만 아니라 로그인 시 SMS를 통해 전송된 OTP를 수신할 수 있다고 경고했다.

이번 조사 결과는 미국 통신 기업인 T-Mobile 및 Verizon Wireless의 신규 가입자가 사용할 수 있는 259개의 전화번호 샘플 분석의 일부로서, 프린스턴 대학의 Kevin Lee와 정보 기술 정책 센터의 집행위원회 위원 중 한 명인 Arvind Narayanan 교수가 수행했다.

전화번호 재활용은 사용이 중단된 전화번호를 이동통신사의 다른 신규 가입자에게 재할당하는 표준적 관행으로, 美 연방통신위원회(FCC)에 따르면 미국에서는 매년 약 3,500만 개의 전화번호가 사용 중단되는 것으로 알려졌다.

이에 공격자는 두 통신사가 제공하는 온라인 인터페이스에 이러한 번호를 무작위로 입력하여 역방향 조회를 수행하고, 사용 중단된 번호를 확보하면 해당 번호를 구매하고, 해당 번호를 사용했던 피해자 계정에 성공적으로 로그인할 때 심각한 위험을 초래할 수 있다.

또한 샘플에 활용된 전화번호 중 약 100개가 과거에 데이터 유출과 관련된 이메일 주소와 관련 있는 것으로 식별되어 SMS 기반 다중 요소 인증을 우회하는 계정 도용이 허용될 수 있는 것으로 드러났다.

[출처 : 해커뉴스 / 5.5.]