자, 현대 보안 문화에 대한 이상한 점을 하나 알려드릴게요.
지난 10년 동안 비밀번호 복구를 "안전하게" 만드는 데 공을 들였잖아요?
- 전화번호 인증 ✅
- 이메일 인증 ✅
- 비밀번호 관리자의 백업 코드 ✅
- 구식 보안 질문(웃음)
그런데도:
- SMS 인증 코드는 유심 교체로 유출될 수 있어요
- 기본 기기가 해킹당하면 이메일도 유출될 수 있어요
- 백업 코드를 잃어버리거나 잊어버릴 수 있어요
- OSINT 공격에 취약한 보안 질문에 대한 답이 LinkedIn 프로필에서 제공될 수 있어요
사용자를 돕기 위해 설계된 복구 절차가 이제 전체 보안 모델에서 가장 취약한 부분이 되었어요
기존의 모든 인증 수단이 무너진 상황에서 "본인임을 증명하는 것"은 정말 어렵다는 걸 알게 됐죠 🔺
