2단계 인증(2FA) 과정에 사용되는 QR 코드와 관련된 중요한 노출이 확인됐다. 이 취약점은 2FA 등록에 사용되는 QR 코드에 비밀 키와 사용자 식별자와 같은 민감한 정보가 포함되어 있으며, 이 정보가 제대로 보안되지 않을 경우 탈취 및 악용될 수 있다는 점에 있다.

이러한 코드들은 10년 이상 존재해왔으며, 전 세계 수백만 명의 사용자에게 영향을 미칠 수 있다. 이 취약점은 널리 알려지지 않았으나, 인지도가 높아지면 악의적인 행위자들의 주목을 받을 가능성이 크다.

악의적인 행위자들이 QR 코드에 포함된 비밀 키 정보를 얻을 수 있는 방법은 여러 가지가 있다. 데이터의 잠재적 캐시에는 QR 코드나 등록 정보가 전송되거나 저장된 이메일, 메시징 또는 클라우드 스토리지 등이 포함된다.

많은 IT 부서, 관리 서비스 제공업체(MSP), 다른 비즈니스 및 기술 전문가들이 이러한 QR 코드를 저장하거나 이메일로 전송하는 경우가 많아 이를 발견할 수 있는 위험이 있다. 공항, 카페, 공유 오피스 등 공공장소에서 화면에 표시된 QR 코드를 줌 렌즈가 있는 카메라로 간단히 촬영할 수 있다.

피해 범위

잠재적인 영향 규모는 수천만에서 수억 건의 등록에 이를 것으로 추정된다. 구글 인증 앱은 약 12년 전 QR 코드 지원을 추가하였다.

지난 10년 동안 수천만 건의 QR 코드 등록이 이루어지면서 특정 2FA 상호 작용의 디지털 지문이 저장되고 아카이브된 대규모의 ‘데이터 잔여물’이 생성되었다.

등록 과정은 원래 물리적 토큰이나 기타 장치로 전송되는 비밀 키를 안전하게 내장할 수 있는 하드웨어 보안 토큰용으로 설계되었다.

그러나 이 과정이 소프트웨어 기반 2FA 앱에 적용되었을 때 비밀 키의 안전한 교환이 제대로 유지되지 않았다. 그 결과 QR 코드를 전송하면 키가 유출될 위험이 생긴다. 공격자가 이 정보를 얻는다면 2FA 보호를 우회하는 데 사용할 수 있다. 현재 이 취약점에 대한 악용 가능성은 여전히 존재하지만, 인식 수준은 IT 전문가들 사이에서도 낮은 것으로 보인다.

해결 방안

이 위협에 대응하기 위해 사일런트 섹터(Silent Sector)는 등록 과정을 수정하여 QR 코드가 동적 일회성 URL과 쌍을 이루도록 변경하였다. 이 URL은 인증 앱이 비밀 키를 보안 서버에서 가져오도록 안내한다.

이를 통해 비밀 키는 인증 앱으로만 전송되므로 더 안전해진다. 이 수정을 실행하려면 다중 인증을 위해 QR 등록을 사용하는 기술 공급업체와 기업들은 새로운 안전한 QR 코드를 사용하여 2FA 과정에 다시 등록해야 한다.

이 방식으로 비밀 키는 이제 QR 코드에 정적으로 포함되지 않고, 동적으로 인증 앱에 안전하게 제공되므로 QR 코드만으로는 보안 데이터가 유출되는 것을 방지할 수 있다.

(*이 칼럼은 GTT KOREA의 편집 방향과 다를 수 있습니다.)