Virtual Phone Numbers for SMS Verification

Features

SMS 인증 프로세스: 개요

높은 수준에서 SMS 인증은 다음 단계를 따릅니다:

1. 사용자가 인증이 필요한 작업을 시작합니다.
2. 서버가 일회용 비밀번호(OTP)를 생성합니다.
3. 서버가 OTP를 SMS 게이트웨이를 통해 전송합니다.
4. SMS 게이트웨이가 이동통신사 네트워크를 통해 메시지를 라우팅합니다.
5. 메시지가 사용자의 휴대폰에 도착합니다.
6. 사용자가 OTP를 애플리케이션에 다시 입력합니다.
7. 서버가 OTP를 확인합니다.
8. 작업이 승인되거나 거부됩니다.

각 단계를 자세히 살펴보겠습니다.

1단계: 인증 트리거

SMS 인증은 신원 확인이 필요한 특정 사용자 작업에 의해 트리거됩니다:

• 계정 생성: 가입 시 전화번호 확인
• 새 장치에서 로그인: 인식되지 않은 장치 또는 위치에서 액세스할 때 신원 확인
• 비밀번호 재설정: 비밀번호 변경 전에 계정 소유자 확인
• 거래 승인: 고가치 또는 비정상적인 금융 거래 확인
• 프로필 변경: 민감한 계정 설정 수정 전에 신원 확인

애플리케이션의 백엔드 로직은 인증이 필요한지 여부를 결정합니다. 이는 일반적으로 IP 주소, 장치 지문, 지리적 위치 및 행동 패턴과 같은 요인을 평가하는 위험 평가 알고리즘을 기반으로 합니다.

위험 기반 트리거링

현대적인 플랫폼은 모든 단일 작업을 확인하지 않습니다. 대신 적응형 위험 점수를 사용합니다:

• 낮은 위험 (인식된 장치, 일반적인 위치): 인증 필요 없음
• 중간 위험 (새 장치, 동일한 국가): 이메일 인증으로 충분할 수 있음
• 높은 위험 (새 장치, 다른 국가, VPN 감지): SMS 인증 트리거됨
• 임계 위험 (금융 거래, 비밀번호 변경): SMS 인증 필수

이 위험 기반 접근 방식은 보안과 사용자 경험의 균형을 유지하여 불필요한 마찰을 줄이면서 보호를 유지합니다.

2단계: OTP 생성

인증이 트리거되면 서버는 일회용 비밀번호를 생성합니다. 이것이 암호학이 적용되는 곳입니다.

OTP 생성 방법

OTP 생성에는 두 가지 주요 방법이 있습니다:

HOTP (HMAC 기반 일회용 비밀번호)

HOTP는 RFC 4226에 정의되어 있으며 카운터 값을 기반으로 비밀번호를 생성합니다:

1. 서버에 비밀 키가 저장됩니다.
2. 카운터 값이 유지됩니다(각 OTP 요청에 따라 증가).
3. HMAC-SHA1 알고리즘은 비밀 키와 카운터를 결합합니다.
4. 결과는 사람이 읽을 수 있는 코드(일반적으로 4-8자리)로 축약됩니다.

공식: HOTP(K, C) = Truncate(HMAC-SHA1(K, C))

여기서 K는 비밀 키이고 C는 카운터 값입니다.

TOTP (시간 기반 일회용 비밀번호)

TOTP는 RFC 6238에 정의되어 있으며 SMS 인증에 더 일반적으로 사용됩니다. 카운터 대신 시간 기반 값을 사용합니다:

1. 현재 유닉스 타임스탬프는 시간 단계(일반적으로 30초)로 나눕니다.
2. 이 시간-파생 값은 HOTP 알고리즘의 카운터를 대체합니다.
3. 결과 코드는 현재 시간 단계에서만 유효합니다.

공식: TOTP(K) = HOTP(K, floor(T/X))

여기서 T는 현재 시간이고 X는 시간 단계(예: 30초)입니다.

무작위 번호 생성

많은 구현은 HOTP/TOTP를 완전히 건너뛰고 대신 암호학적으로 안전한 무작위 번호 생성기(CSPRNG)를 사용하여 코드를 생성합니다:

1. 서버는 보안 소스에서 무작위 번호를 생성합니다.
2. 번호는 4-8자리 코드로 형식화됩니다.
3. 코드는 서버의 데이터베이스에 만료 타임스탬프와 함께 저장됩니다.
4. 사용자가 코드를 제출하면 저장된 값과 비교합니다.

이 접근 방식은 구현하기 간단하며 많은 웹 애플리케이션에서 사용됩니다.

OTP 속성

생성 방법에 관계없이 잘 설계된 OTP에는 다음과 같은 속성이 있습니다:

• 고유: 각 코드는 이전 코드와 달라야 합니다.
• 예측 불가능: 이전 코드를 알면 미래 코드를 추측하는 데 도움이 되어서는 안 됩니다.
• 시간 제한: 코드의 유효 기간은 짧습니다(일반적으로 60-300초).
• 단일 사용: 각 코드는 한 번만 사용할 수 있습니다.
• 충분한 엔트로피: 무차별 대입 추측을 방지하기 위해 충분히 길어야 합니다(6자리 = 1,000,000개의 가능한 조합).

3단계: SMS 게이트웨이 통신

OTP를 생성한 후 서버는 SMS를 통해 전달해야 합니다. 이것이 SMS 게이트웨이가 작동하는 곳입니다.

SMS 게이트웨이란 무엇입니까?

SMS 게이트웨이는 인터넷과 이동통신사 네트워크 사이의 다리 역할을 하는 서비스입니다. 애플리케이션에서 API를 통해 메시지를 수신하고 이동통신사 인프라를 통해 SMS 메시지로 전달합니다.

서버가 게이트웨이와 통신하는 방법

애플리케이션 서버는 SMS 게이트웨이의 API에 요청을 보냅니다. 일반적인 API 요청은 다음과 같습니다:

POST /api/v1/messages
{
  "to": "+1234567890",
  "from": "VERIFY",
  "body": "Your verification code is: 847293. Valid for 5 minutes.",
  "callback_url": "https://app.example.com/sms/status"
}

게이트웨이는 메시지 ID와 상태로 응답합니다:

{
  "message_id": "msg_abc123",
  "status": "queued",
  "price": 0.0075
}

주요 SMS 게이트웨이 제공업체

여러 회사가 대규모로 SMS 게이트웨이 서비스를 제공합니다:

• Twilio: 수십억 개의 메시지를 처리하는 가장 인기 있는 서비스
• Vonage (Nexmo): 강력한 국제적 범위
• Sinch: 메시징 및 음성 서비스에 중점
• MessageBird: 유럽 기반 제공업체
• AWS SNS: 아마존의 SMS 서비스
• Plivo: 비용 효율적인 대안

이 제공업체들은 전 세계 수백 개의 이동통신사와 관계를 유지하여 사실상 모든 전화번호로 메시지를 전달할 수 있습니다.

4단계: 메시지 라우팅

SMS 게이트웨이가 메시지를 수신하면 올바른 이동통신사 네트워크로 라우팅해야 합니다. 이것이 프로세스 중 가장 복잡한 부분 중 하나입니다.

SS7 네트워크

SS7(Signaling System No. 7)은 세계 대부분의 전화 네트워크를 제어하는 프로토콜 제품군입니다. SMS가 전송될 때 SS7 네트워크를 통해 여러 구성 요소를 거칩니다:

SMSC (Short Message Service Center): SMS 메시지를 저장하고 전달하는 중앙 허브. 모든 이동통신사는 하나 이상의 SMSC를 운영합니다.

HLR (Home Location Register): 전화번호가 속한 네트워크와 가입자가 현재 위치한 곳을 알고 있는 데이터베이스.

MSC (Mobile Switching Center): 가입자의 현재 위치를 서비스하는 기지국으로 호출 및 메시지를 라우팅합니다.

라우팅 프로세스

1. SMS 게이트웨이가 집계기 또는 직접 이동통신사 연결에 메시지를 제출합니다.
2. 집계기가 HLR을 쿼리하여 대상 이동통신사를 결정합니다.
3. 메시지가 대상 이동통신사의 SMSC로 라우팅됩니다.
4. SMSC가 자신의 HLR을 쿼리하여 가입자의 현재 위치를 찾습니다.
5. SMSC가 적절한 MSC로 메시지를 전달합니다.
6. MSC가 가입자의 기지국으로 메시지를 전달합니다.
7. 기지국이 무선 주파수를 통해 휴대폰으로 메시지를 전송합니다.

국제 라우팅

국제 메시지의 경우 프로세스가 더 복잡합니다. 메시지는 여러 이동통신사, 집계기 및 국제 게이트웨이를 거쳐 목적지까지 이동할 수 있습니다. 각 홉은 잠재적인 지연 및 실패 지점을 도입합니다.

이것이 SMS 전달 시간이 목적지 국가 및 이동통신사에 따라 1초 미만에서 몇 분까지 다양할 수 있는 이유입니다.

가상 번호 라우팅

가상 전화번호(가상 전화번호라고 함, VerifySMS.app와 같은 서비스 제공)에 메시지가 전송되면 라우팅은 약간 다른 경로를 따릅니다:

1. 메시지는 평소와 같이 이동통신사 네트워크에 진입합니다.
2. 가상 번호 제공업체는 이동통신사 또는 집계기 수준에서 메시지를 가로챕니다.
3. 물리적 장치로 전달하는 대신 메시지는 제공업체의 서버로 라우팅됩니다.
4. 제공업체는 웹 대시보드에서 메시지를 표시하거나 API를 통해 전달합니다.

이 가로채기는 가상 전화번호가 가능한 이유입니다. 메시지가 실제 SIM 카드에 도달할 필요가 없습니다.

5단계: 메시지 전달

라우팅된 후 메시지는 최종 장치(또는 가상 번호 플랫폼)로 전달되어야 합니다.

물리적 전화 전달

전통적인 물리적 전화 전달의 경우:

1. 기지국이 휴대폰에 메시지가 있음을 알립니다.
2. 휴대폰이 페이지를 확인합니다.
3. 메시지는 전용 신호 채널을 통해 전송됩니다.
4. 휴대폰이 메시지를 저장하고 사용자에게 알립니다.
5. 휴대폰이 SMSC에 전달 확인을 보냅니다.

가상 번호 전달

가상 번호의 경우:

1. 메시지는 가상 번호 제공업체의 서버에 도착합니다.
2. 제공업체의 시스템이 메시지를 처리합니다(발신자, 내용, 타임스탬프 추출).
3. 메시지는 제공업체의 데이터베이스에 저장됩니다.
4. 사용자는 대시보드, API 웹훅 또는 푸시 알림을 통해 알림을 받습니다.
5. 메시지는 사용자가 읽을 수 있도록 표시됩니다.

VerifySMS.app과 같은 서비스는 이 프로세스를 속도에 최적화하여 일반적으로 수신 후 1-5초 이내에 메시지를 사용자에게 전달합니다.

6단계: 사용자가 코드를 입력합니다.

사용자는 휴대폰 또는 가상 번호 대시보드에서 확인 코드를 읽고 애플리케이션에 입력합니다. 이 단계는 간단해 보이지만 흥미로운 기술적 고려 사항이 있습니다:

자동 채우기 및 자동 읽기

현대적인 모바일 운영 체제는 들어오는 확인 코드를 자동으로 감지할 수 있습니다:

• Android: SMS Retriever API를 사용하면 앱이 전체 SMS 권한을 요청하지 않고도 확인 코드를 자동으로 읽을 수 있습니다.
• iOS: 확인 코드용 AutoFill은 메시지의 OTP를 감지하고 키보드에서 제안합니다.

이 기능은 특정 메시지 형식을 기반으로 합니다. 메시지는 인식 가능한 패턴으로 코드를 포함해야 하며 일부 구현에는 추가 보안 기능을 위해 도메인 경계 해시가 포함됩니다.

웹 OTP API

웹 애플리케이션의 경우 웹 OTP API를 사용하면 브라우저가 들어오는 SMS 메시지에서 확인 코드를 자동으로 추출할 수 있습니다(사용자 권한 있음). 이는 확인 프로세스를 더욱 간소화합니다.

7단계: 서버 확인

사용자가 코드를 제출하면 서버는 코드를 확인합니다:

확인 검사

1. 코드 일치: 제출된 코드가 생성된 OTP와 일치합니까?
2. 만료: 코드가 만료되었습니까?(일반적으로 60-300초)
3. 사용: 이 코드가 이미 사용되었습니까?(재플레이 공격 방지)
4. 시도 제한: 사용자가 최대 시도 횟수를 초과했습니까?
5. 전화번호 일치: 코드가 올바른 전화번호에 해당합니까?

속도 제한

서버는 남용을 방지하기 위해 속도 제한을 구현합니다:

• 전화번호당 시간당 최대 확인 요청 수
• 세션당 코드 제출 시도 최대 횟수
• 요청 간 지연 시간
• 분산 공격을 방지하기 위한 IP 기반 속도 제한

실패 시

확인이 실패한 경우:

• 사용자에게 다시 시도하도록 요청합니다(남은 시도 횟수가 표시됨).
• 시도 횟수가 너무 많으면 세션이 일시적으로 잠깁니다.
• 전화번호는 새로운 코드를 수신하는 데 일시적으로 차단될 수 있습니다.
• 극단적인 경우 계정이 검토 대상으로 표시될 수 있습니다.

8단계: 승인

성공적인 확인 후:

1. 서버는 전화번호를 확인된 것으로 표시합니다.
2. 사용자의 세션은 확인된 상태로 업데이트됩니다.
3. 원래 작업(계정 생성, 로그인, 거래)이 승인됩니다.
4. 사용자에게 확인이 전송됩니다.
5. 감사 로그가 보안 모니터링을 위해 업데이트됩니다.

SMS 인증의 보안 강점과 약점

강점

보편성: SMS는 기본 피처폰에서 최신 스마트폰까지 모든 휴대폰에서 작동합니다. 앱 설치가 필요 없습니다.

간단함: 사용자는 SMS를 이해합니다. 프로세스는 직관적이며 최소한의 기술 지식이 필요합니다.

소유물 요소: SMS 인증은 사용자가 특정 전화번호를 소유하고 있거나 접근할 수 있음을 확인하여 비밀번호 이외의 두 번째 요소를 추가합니다.

글로벌 도달: SMS는 전 세계적으로 거의 모든 전화번호로 전송될 수 있습니다.

약점

SS7 취약점: 1970년대에 설계된 SS7 프로토콜에는 공격자가 SMS 메시지를 가로챌 수 있는 보안 취약점이 있습니다. 정교한 공격자는 이러한 취약점을 악용하여 확인 코드를 캡처할 수 있습니다.

SIM 교체: 공격자는 이동통신사를 속여 피해자의 전화번호를 새 SIM 카드로 전송하도록 할 수 있습니다. 이를 통해 공격자는 피해자의 SMS 메시지를 수신할 수 있습니다.

악성코드: 악성 모바일 악성코드는 감염된 장치에서 SMS 메시지를 가로챕니다.

사회 공학: 공격자는 피싱 또는 사회 공학을 사용하여 사용자가 확인 코드를 공개하도록 속일 수 있습니다.

전달 신뢰성: SMS 전달은 보장되지 않습니다. 메시지는 이동통신사 혼잡, 국제 라우팅 또는 게이트웨이 처리로 인해 지연되거나 손실되거나 차단될 수 있습니다.

암호화 없음: 표준 SMS 메시지는 엔드-투-엔드 암호화되지 않습니다. 전달 체인의 여러 지점에서 잠재적으로 가로챌 수 있습니다.

SMS 인증의 현대적인 대안

SMS의 보안 약점으로 인해 몇 가지 대안이 등장했습니다:

TOTP 인증기 앱

Google Authenticator 및 Authy와 같은 앱은 장치에서 시간 기반 코드를 생성합니다. 이 코드는 네트워크를 통해 전송되지 않으므로 가로채기에 면역이 됩니다.

푸시 알림

서비스는 확인된 장치로 푸시 알림을 전송하고 사용자는 탭으로 요청을 승인하거나 거부합니다. 코드 입력보다 사용자 친화적입니다.

FIDO2/WebAuthn

하드웨어 보안 키 및 생체 인증은 가장 강력한 확인을 제공합니다. 이러한 보안 방법은 피싱에 취약하지 않으며 전화번호에 의존하지 않습니다.

이메일 기반 확인

불완전하지만 이메일 확인은 SMS의 특정 취약점(SS7, SIM 교체)을 피합니다.

왜 SMS 인증이 지속됩니까?

SMS 인증의 약점에도 불구하고 전 세계적으로 가장 널리 사용되는 2차 인증으로 남아 있는 이유는 보편적인 도달 범위 때문입니다. 모든 사람이 스마트폰 앱이나 보안 키를 가지고 있는 것은 아닙니다. 하지만 거의 모든 사람이 SMS를 수신할 수 있는 전화를 가지고 있습니다. 이 때문에 앞으로도 한동안 SMS 인증은 가장 널리 사용되는 2차 인증 방법으로 계속 사용될 것입니다.

가상 번호가 그림에 어떻게 들어맞습니까?

VerifySMS.app과 같은 서비스의 가상 전화번호는 SMS 인증 시스템에 이동통신사 라우팅 수준에서 상호 작용합니다. 합법적인 전화번호처럼 작동하여 SMS 메시지를 수신할 수 있지만 메시지는 물리적 장치 대신 웹 대시보드로 전달됩니다.

발송 애플리케이션 및 SMS 게이트웨이의 관점에서 가상 번호는 전통적인 이동통신사 번호와 구별할 수 없습니다(제공업체가 고품질 이동통신사 등급 번호를 사용하는 경우). 확인 코드는 생성, 전송, 라우팅 및 전달을 위해 기존 인프라를 통해 전달됩니다.

SMS 인증을 위해 가상 번호가 작동하는 이유는 실제 전화번호이기 때문입니다. 동일한 통신 생태계에 참여합니다. 유일한 차이점은 엔드포인트: SIM 카드 대신 서버입니다.

자주 묻는 질문

SMS 인증은 얼마나 걸립니까?

전체 프로세스는 일반적으로 코드 요청에서 전달까지 5-30초가 소요됩니다. 그러나 이동통신사 혼잡, 국제 라우팅 또는 게이트웨이 처리로 인해 지연이 발생할 수 있습니다.

일부 SMS 코드가 도착하는 데 더 오래 걸리는 이유는 무엇입니까?

지연은 일반적으로 이동통신사 혼잡, 여러 이동통신사를 통한 국제 라우팅, 발신 서비스의 속도 제한 또는 임시 네트워크 문제로 인해 발생합니다.

SMS 인증 코드를 가로챌 수 있습니까?

예, SS7 익스플로잇, SIM 교체 또는 장치 악성코드를 통해 가능합니다. 따라서 보안 전문가는 민감한 계정에 앱 기반 2FA를 권장합니다.

왜 SMS 코드가 일반적으로 6자리입니까?

6자리 숫자는 1,000,000개의 가능한 조합을 제공하며, 이는 코드의 짧은 유효 기간 내에 무차별 공격을 방지하기에 충분합니다. 속도 제한과 결합되어 적절한 보안을 제공합니다.

가상 번호가 실제 전화와 동일한 방식으로 SMS를 수신합니까?

가상 번호는 동일한 이동통신사 인프라를 통해 SMS를 수신합니다. 차이점은 메시지가 물리적 장치 대신 서버로 전달된다는 것입니다. 발신자의 관점에서는 차이가 없습니다.

결론

SMS 인증은 암호학, 통신 및 사용자 경험 디자인의 매혹적인 교차점입니다. 알려진 보안 제한 사항이 있지만 가장 보편적으로 접근할 수 있는 형태의 2차 인증으로 남아 있습니다.

SMS 인증이 작동하는 방식을 이해하면 보안과 관련하여 더 많은 정보를 바탕으로 결정을 내릴 수 있습니다. 개인 전화번호를 노출하지 않고 SMS 인증이 필요한 상황에서 VerifySMS.app과 같은 가상 번호 서비스는 신뢰할 수 있고 개인 정보를 보호하는 대안을 제공합니다.

개발자가 SMS 인증을 구현하든, 보안 전문가가 인증 옵션을 평가하든, 또는 단순히 6자리 코드 뒤의 기술을 이해하고자 하는 사용자이든, 이 지식은 디지털 세계를 더 안전하고 효과적으로 탐색할 수 있도록 힘을 실어줍니다.

---

Latest Articles

Tips, guides, and insights about virtual numbers and online privacy.

View All Articles →

FAQ

Frequently Asked Questions