구글 지메일, SMS 인증 방식 'QR 코드'로 바꾼다

구글이 지메일의 이중 인증(2FA) 방식으로 사용되던 SMS 메시지 기반의 6자리 인증 코드를 QR 코드로 대체할 예정이다. 로스 리첸드퍼 지메일 대변인은 24일(현지시간) 포브스와 인터뷰에서 "이번 변경은 향후 몇 달 내에 순차적으로 적용되며, 전 세계적인 SMS 남용을 줄이고 보안을 강화하기 위한 조치"라고 설명했다. 현재 구글은 SMS 코드를 활용해 지메일 계정 생성자나 소유자가 동일인인지 확인하고, 범죄자들이 스팸 및 악성 코드를 배포하기 위해 계정을 무차별 생성하지 못하도록 차단하고 있다. 하지만 SMS 인증 코드는 이중 인증을 사용하지 않는 것보다는 낫지만, 자체적인 보안 위험을 가지고 있다. 범죄자들은 사용자를 속이거나 강제로 SMS 메시지로 전송된 인증 코드를 공유하게 만들 수 있기 때문이다. 또 사용자가 인증 코드를 수신하는 기기에 즉시 접근할 수 없는 상황도 발생할 수 있다. QR 코드 인증은 최근 등장한 트래픽 펌핑(Traffic Pumping)이나 톨 사기(Toll Fraud)를 예방하는 데 도움이 될 것으로 전망된다. 구글 측은 "사기꾼들은 온라인 서비스 제공업체가 자신들이 제어하는 번호로 대량의 SMS 메시지를 보내도록 유도하고, 이러한 메시지가 전송될 때마다 비용을 청구받는 방식"이라고 설명했다. 변경이 적용되면 기존처럼 6자리 코드를 전송하는 대신 QR 코드가 화면에 표시된다. 사용자는 스마트폰의 카메라 앱을 이용해 이 QR 코드를 스캔해 인증 절차를 진행하게 된다. 이를 통해 기존의 인증 코드 공유 위험을 완전히 없애고, 통신사 측에서 발생할 수 있는 보안 위험(원치 않는 SIM 교체)도 방지할 수 있다.