Gmail, SMS 2FA 옵션 제거 및 QR 코드 넌센스
업데이트 날짜:2025년 2월 25일
많은 괴상한 사람들처럼 어제와 오늘 저는 Google이 Gmail 계정의 2FA(2단계 인증) 옵션에서 SMS를 제거하려는 방법에 대한 많은 뉴스를 읽었습니다. 그 자체로는 큰 일이 아닐 것입니다. 아마도 좋은 것일 수도 있습니다. 그러나 QR 코드 형태의 대체품은 놀라운 발전입니다. 저한테 물어보면 말도 안되는 소리입니다.
실제로 나는 즉시 기사를 작성해야 한다는 강박관념을 느꼈습니다. Google은 아직 이 솔루션의 구현을 발표하지 않았습니다. 사람들에게 인증 앱을 소개하는 멋진 방법일 수도 있습니다. 다시 말하지만 좋은 일입니다. 또는 보안이라는 이름으로 사람들을 Google 생태계에 더욱 종속시키려는 시도일 수도 있습니다. 아니면 완전히 다른 것. 우리는 볼 것이다. 그러나 나는 QR과 관련된 모든 것의 "이점"에 대해 언급하고 싶습니다. 시작하겠습니다.
SMS는 "안전하지 않습니다"
테크브로스가 알려드립니다. 그들은 SMS가 일반 텍스트로 전송되는 방법과 누군가가 코드를 가로챌 수 있는 방법을 알려줄 것입니다. 그리고 사용자가 모르는 사이에 합법적인 소유자의 전화번호가 일부 악당에게 이동되는 SIM 스왑 공격이 있었습니다. 그들은 이러한 고립된 사례를 임박한 파멸의 예로 사용할 것입니다.
이것이 과장된 이유는 세 가지입니다:
- SIM 교환의 피해자가 전부는 아니더라도 대부분은 유명 인사였으며 감시 및 개인 정보 보호와 관련하여 수천 가지 다른 우려 사항을 갖고 있을 가능성이 높습니다. 그 사람들은 당신도 나도 아니고 다른 임의의 농부도 아닙니다. 부자가 되지 마세요. 문제가 해결되었습니다. 아니면 SMS 기반이 아닌 2FA/MA를 선택하세요. 문제가 다시 해결되었으므로 새로운 것이 필요하지 않습니다.
- SIM 스왑 공격의 거의 모든 사례에서 초점은 중간자에 있습니다. 이 작업을 수행하려면 프로세스를 지원할 의지가 있는 직원(일명 부패한 내부자)이 필요합니다. 어떤 기술도 막대한 뇌물로 강화된 탐욕을 이길 수 없습니다.
- 이것은 주민에게 주민등록증을 발급하지 않는 국가인 미국의 문제를 부과한 것입니다. 또는 국가 ID를 사용하지 않는 다른 국가. 대부분의 장소에서는 물리적으로 어딘가에 나타나서 고유한 세부 정보가 많이 포함된 카드를 제시해야 합니다. 그런 다음에만 전화번호가 이동되거나 유사하게 됩니다. 물론 이것은 뇌물을 좋아하는 직원에게는 통하지 않습니다. 또한 SMS를 무죄로 만들지도 않습니다. 하지만 우편번호나 날짜, 생년월일과 같은 무의미한 세부정보를 '고유' 식별자로 기반으로 하는 무작위 SIM 교환 가능성은 줄어듭니다. 또한 최근 각종 유명 해킹 사례를 살펴보면, 초민감 데이터를 취급하는 통신사, 보안업체 직원까지 속여 피싱 공격을 받아 중요한 시스템에 자격 증명을 넘겨주는 경우가 SMS 기반이 아닌 2FA 및 MFA 시스템을 갖추고 있음에도 불구하고 많이 발생합니다. 다시 말하지만, 기술로는 이 문제를 해결할 수 없습니다.
누군가 이를 가로챌 수 있다면 훨씬 더 큰 문제가 발생하게 됩니다.
SMS는 간단하고 안정적입니다. 그리고 스마트폰이나 모바일 데이터를 보유해야 한다는 제약도 없습니다. SIM 카드가 있으면 거의 모든 기기에서 SMS를 받을 수 있습니다. 원한다면 2005년에 나온 휴대폰도 마찬가지입니다. 요즘은 매우 안전한 장치입니다. 특히 인터넷에 연결되어 있지 않은 경우라면 더욱 그렇습니다. 어떤 스마트폰을 사용하든 그보다 몇 배는 더 그렇습니다.
QR 코드는 가난하거나 노인이 허용되지 않음을 의미합니다.
QR 코드를 스캔하려면 스마트폰이 필요할 가능성이 높습니다. 캘리포니아 사람들은 믿기 어려울 것입니다. 그러나 가난한 사람들이 존재하며 노인들도 마찬가지입니다. 이들 모두 복잡한 괴상한 스마트폰 앱을 구입할 여유가 없거나 사용할 수 없습니다.
예를 들어, 저는 다양한 활동을 승인하기 위해 QR 코드 스캐닝 기능이 있는 모바일 앱을 채택한 몇몇 은행을 알고 있습니다. 그리고 노인들이 그것을 어떻게 처리하는지 아십니까? 그들은 실제로 지점에 나타나 직원이 도움을 줄 수 있을 때까지 줄을 섭니다. 이제 기업들이 욕심을 부리고 모든 것이 해외로 이전되거나 "AI" 봇에게 넘겨지는 상황에서 스마트폰을 사용하지 않으면 서비스와 상호 작용할 가능성이 전혀 없게 됩니다. 사실상 이는 65세 이상이거나 새 기기를 사용할 만큼 부자가 아닌 사람에게는 큰 가운데 손가락입니다.
이것이 엄청난 비율의 사람들에게 영향을 미치나요? 아마도 그렇지 않을 것입니다. 하지만 이것이 임의적인 기술 결정을 기반으로 사회에서 "바람직하지 않은" 일부를 제거하기에 충분하다면 글쎄요.
QR은 "안전"합니다
테크브로스가 알려드립니다. 아니요, 그렇지 않습니다. 그들은 지금까지 가장 어리석은 "보안" 구현입니다. 해독 불가능한 픽토그램이다. 문맹자들에게는 마술적이고 신비로운 일입니다. 우리는 인간의 언어와 단어를 사용하던 것에서 기원전 3,000년처럼 상형문자를 사용하는 것으로 회귀하고 있습니다. 하지만 멍청한 사람들은 통제하기가 더 쉽고 수익도 훨씬 더 높습니다.
카메라가 필요하다는 점을 제외하면 QR 코드에는 좋은 점이 없습니다. 이 기술이 얼마나 형편없는지에 대한 최근의 두 가지 예는 다음과 같습니다. 내 Nokia X10 휴대폰에서는 시스템 업데이트로 인해 QR 스캔이 꽤 오랫동안 중단되었습니다. 네, 원해도 아무것도 스캔할 수 없었습니다. 놀랍습니다. 그렇죠. 내 Samsung A54에서는 Google Play 서비스에 EXTRA 권한을 부여하지 않으면 완전히 별도의 앱인 Google Authenticator로 QR 코드를 스캔할 수 없습니다. 사랑스럽고 디스토피아적인 스크린샷:
스캔한 다음에는 무엇을 하나요?
좋아, 이것이 구현이라고 잠시 가정해 봅시다. 그리고? 사람들은 여전히 Gmail처럼 보이고 QR 코드가 있는 피싱 사이트로 연결될 수 있습니다. 그리고 이러한 사이트는 이전과 마찬가지로 사람들을 즐겁고 사악한 웹으로 보낼 것입니다. 아마도 더 쉽게 할 수도 있습니다. 많은 유명 해킹에서 사용자는 실제와 똑같이 보이는 필드에 해당 6자리 코드를 입력하여 악당에게 실시간으로 해당 6자리 코드를 제공했습니다. 다시 말하지만, 기술은 두려움, 당황, 혼란 등과 같은 문제를 해결할 수 없습니다. 오히려 OBSCURE 기술은 이러한 감정을 고조시켜 사람들이 실수를 저지르기 쉽게 만듭니다.
또 다른 가능성이 있습니다. 이것은 단지 나쁜 표현의 드라마입니다. 아마도 이는 단지 OTP 코드를 생성하는 간단한 인증 앱을 사용해야 한다는 의미일 뿐입니다. 글쎄요, 그런 옵션이 존재하므로 아무것도 하지 않거나 큰 발표를 할 이유가 없습니다. 물론 폴백이 핵심이지만 기술 회사와 그들의 반짝이고 빠르게 움직이는 말도 안되는 소리는 결코 귀찮지 않습니다(아마도 SMS는 일부 기능에 대해 여전히 존재할 것입니다). 그럼에도 불구하고 QR 코드는 무의미하고 쓸모가 없습니다. 결국 인증 앱의 QR 코드는 앱이 관련 코드를 생성할 수 있는 시드 해시일 뿐입니다. "전화로 타이핑"이 어렵기 때문에 존재합니다. 아 안돼! 나에게 강을 울려 라. 전설적인 농구 코치 Zeljko Obradovic은 다음과 같이 말했습니다. 어떤 QR 코드입니까? 이 QR코드요? 이건 농담입니다. [sic].
그리고 그것이 완전히 새로운 것이라면, 그러면 어떨까요? 하나의 전화를 하나의 계정과 연결하시겠습니까? 물론 이는 개인 정보 보호가 적다는 것을 의미합니다. 오늘날에는 Gmail을 사용하려는 경우 휴대전화에서 아무 것도 할 필요가 없습니다. 인증 앱을 사용할 수 있고 어떤 코드도 클라우드에 동기화하지 않으며 휴대폰에서 데스크톱에서 사용하는 계정과 완전히 별개의 계정을 사용하고 여러 계정을 사용할 수 있습니다. 너무 냉소적으로 말하고 싶지는 않지만 이것은 사람들이 영원히 휴대폰에서 인증하도록 강요하고 그들의 무의미한 삶을 데이터 지배자에게 넘겨줄 절호의 기회입니다.
이것이 사실이 될지는 모르겠지만 낙관할 이유가 없습니다. 지난 15년 정도를 보십시오. 모든 것에 대한 온라인 계정, 어디서나 클라우드 클라우드 넌센스, Manifest V3, 광고, 광고 "개인 정보 보호" 및 기타 쓸모없는 찌꺼기. 바보들로부터 더 많은 데이터를 수집하고 그들이 더욱 연결되고 연결되고 대기업에 의존하도록 설계된 모든 것입니다. 왜 다를까요?
제가 가진 작은 희망 중 하나는 유럽연합이 일정 수준의 개인정보 보호와 익명성을 방정식에 강요할 수 있다는 것입니다. 그러나 이것이 전 세계 모든 사람의 요구를 해결하지는 못할 것입니다. 그리고 저항과 소음이 충분하므로 SMS를 대체하는 것이 무엇이든 건전하고 유용하며 간단할 것입니다. 바랄 뿐입니다.
결론
나는 Google이 로그인을 더욱 안전하게 만들려고 노력하는 것을 개의치 않습니다. 예, 오프라인 앱에서 생성된 OTP 코드를 사용하는 2FA가 SMS보다 낫습니다. 그러나 보안 개념으로서의 QR 코드는 백만 배 더 나쁩니다. 마찬가지로, 탭은 바보를 위한 것이고, 패스키는 극도로 헌신적인 괴짜를 제외하고는 말도 안 되는 일이며, 하드웨어 키는 전문가와 유명 인사들에게 절대적으로 의미가 있습니다. 일반 사람들에게 SMS는 간단하고 신뢰할 수 있는 옵션이었으며 지금도 그렇습니다. 인증기와 유사한 앱은 좀 더 능숙하고 스마트폰을 사용할 수 있을 만큼 돈과 지식이 충분한 사람들에게 적합합니다.
SMS를 제거하는 것은 단지 기술에 관한 것이 아니라 사회에 관한 것입니다. 그것을 제거하면 방정식에서 가난한 사람과 노인이 효과적으로 제거됩니다. 그것은 재정적, 기술적 배척입니다. 하지만 그 사람들은 어쨌든 수익성이 없고 서비스에 "구독"하지도 않고 광고를 보지도 않을 테니 누가 신경쓰겠습니까? 글쎄요, 우리는 여전히 구글이 무엇을 할지 지켜봐야 합니다. 아마도 그것은 정말 현명하고 멋진 일이 될 것입니다. 아니면 전혀. 우리는 볼 것이다. 하지만 그것이 무엇이든 QR코드에 의존한다면 그것은 끔찍하고, 끔찍하고, 어리석고, 무의미할 것입니다. 이제 안녕.
건배.