전자결제 기업 페이팔이 다단계 인증(MFA)에서 암호화되지 않은 SMS를 없애는 새로운 조치에 착수했다.

보안 전문가는 10년 넘게 암호화되지 않은 SMS 인증에 대해 거의 만장일치로 반대해 왔다. 반면, 기업 경영진과 고객은 편의성을 이유로 SMS 방식을 선호했다. 기업이 운영 비용을 줄이려는 압박이 커지면서, 기업 환경에서 활용되던 SMS 인증 방식을 단계적으로 축소하거나 다른 인증 수단으로 전환하는 결정이 내려질 가능성이 있다는 의미다.

페이팔은 이달 일부 고객에게 발송한 이메일을 통해 로그인 시 사용하는 MFA에서 암호화되지 않은 SMS 지원을 축소하겠다고 밝혔다. 다만 구체적인 종료 시점은 제시하지 않았고, SMS가 완전히 사라지지는 않을 것이라고 안내했다. 고객 반발을 최소화하려는 조치로 해석된다.

SMS는 오랫동안 보안 책임자의 비판 대상이었다. 통신 내용이 쉽게 가로채질 수 있고 중간자 공격에 취약하다는 점이 주된 이유다. 그 결과 구글, 마이크로소프트, 시스코, 아랍에미리트 중앙은행 등도 SMS 인증을 축소하거나 중단했다.

기업용 보안 인증 솔루션 업체 일루미넥스(IllumineX) CEO 게리 롱사인은 “인증 수단으로서의 SMS는 의회 차원에서 금지해야 할 수준”이라고 말했다.

그럼에도 SMS는 여전히 사용되고 있다. 많은 기업 경영진이 MFA 절차 변경이 고객 이탈이나 참여도 감소로 이어질 수 있는 마찰 요인으로 인식될 것을 우려하기 때문이다.

정책 보안 자문 조직 포머고브(FormerGov) 전무이사 브라이언 레빈은 “SMS 외에는 2차 인증을 사용하지 않으려는 사용자를 잃고 싶어 하지 않는다”고 말했다. 레빈은 “앱 기반 MFA가 일반적으로 SMS 기반 MFA보다 더 안전하다고 평가되지만, 모든 사용자가 앱 기반 MFA를 설정하려는 것은 아니다. 이를 필수 요건으로 만들 경우 전환율이 낮아질 가능성이 있다”고 설명했다.

접근 권한 인증 솔루션 업체 유어어테스트(YouAttest) CEO 개릿 그라젝은 이런 내부 갈등을 직접 경험했다고 밝혔다. 그라젝은 “강력한 인증 체계를 설계했고 최고정보보호책임자는 긍정적으로 평가했지만, 보안 기업은 암호화되지 않은 SMS에 대한 사용자 요청을 거절하는 데 부담을 느꼈다”고 말했다. 한 사업 부문 임원이 보안 강화가 비용 증가로 이어질 것이라고 주장했다고 덧붙였다.

그라젝은 “사업 부문과 보안 기업 간 갈등 속에 놓인 페이팔의 상황을 이해한다. 보안이 항상 우선순위를 차지하는 것은 아니다”라고 말했다.

혼선 속 엇갈린 메시지

데이터 분석 기반 리스크 관리 업체 렉시스넥시스 리스크 솔루션스(LexisNexis Risk Solutions Group) 그룹 CIO 플라비오 빌라누스트레는 페이팔이 여전히 SMS를 주요 2차 인증 수단으로 지원해 온 점이 의아했다고 밝혔다.

빌라누스트레는 “금융 서비스와 정부 기관은 충분히 안전하지 않다는 이유로 이미 SMS를 포기했고, 패스키나 유비키 같은 피싱 저항형 인증 방식으로 이동하고 있다”고 설명했다.

페이팔의 정책 변화는 이달 초 일부 고객에게 발송된 이메일을 통해 공지됐다. 이메일에는 “2026년 3월부터 로그인 MFA용 SMS 코드를 제거하기 시작하지만, 표준 보안 점검의 일부로는 계속 제공된다”고 명시됐다.

표준 보안 점검은 행동 분석을 활용해 거래 금액이나 과거 패턴과의 편차 등을 기준으로 잠재적 사기 가능성을 탐지하는 절차를 의미한다.

그러나 그라젝은 사기 탐지 상황에서 SMS를 유지하는 결정이 적절한지 의문을 제기했다. 시스템이 잠재적 문제를 감지했다면 더 높은 수준의 인증을 요구하는 것이 일반적이라는 설명이다.

이메일에 따르면 3월부터 SMS 제거가 시작될 예정이지만 전체 전환 일정은 공개되지 않았다. 전 세계 약 4억 3,900만 명의 개인 및 기업 고객을 대상으로 단계적으로 안내할 것으로 보인다. 고객 반응을 고려해 유연성을 확보하려는 전략으로 풀이된다. 페이팔은 공식 논평을 하지 않았다.

페이팔은 이메일에서 인증 앱이나 FIDO2 보안 키 사용을 권고했다. 그러나 보안 키 사용자에게 장치를 USB 슬롯에 연결하라고 안내한 부분은 혼선을 낳았다. 다수의 모바일 기기는 NFC 또는 전용 커넥터를 사용하며, 상당수 사용자가 모바일 환경에서 페이팔을 이용하고 있기 때문이다.

또한 계정 보안 설정에서 2단계 인증을 업데이트하라고 안내했지만, 해당 시점의 보안 페이지에는 직접 변경 경로가 제공되지 않았다.

고객 지원은 MFA를 비활성화한 뒤 다시 활성화하는 방법을 제시했다. 해당 절차를 통해 변경은 가능했다. 추가 확인 결과 ‘새 장치 추가’ 메뉴를 통해서도 MFA 방식을 변경할 수 있었다.

무어 인사이트 앤 스트래티지 수석 애널리스트 멜로디 브루는 일부 제한적 상황에서는 SMS가 여전히 활용될 수 있지만, 페이팔이 상반된 메시지를 내고 있다고 평가했다.

브루는 “SMS가 충분히 안전하지 않다고 직접적으로 선언하는 대신 충격을 완화하려는 접근으로 보인다. 본인 확인 수단으로는 제한하면서도 특정 상황에서는 유지하는 방식”이라고 말했다. “금융 서비스 분야는 새로운 보안 기준에 맞춰야 하며, SMS에 계속 의존하기는 어렵다”고 분석했다.

SMS의 재무적 비용도 중요한 변수로 지목된다.

브루는 SMS 인증 축소 배경으로 비용 절감을 언급했다. SMS 발송에는 직접 비용이 발생하지만, FIDO2 보안 키나 인증 앱 사용은 메시지 발송 비용이 들지 않는다.

개별 SMS 비용은 낮은 편이다. 예를 들어 아마존웹서비스는 메시지당 극히 낮은 요금을 부과한다. 그러나 페이팔이 연간 약 250억 건의 거래를 처리한다는 점을 고려하면 누적 비용은 상당할 수 있다.

브루는 공격자가 페이팔 시스템을 반복적으로 시험해 수백만 건의 SMS 코드 발송을 유도할 수 있다고 설명했다. 수익성에 민감한 환경에서 불필요한 메시지 발송을 줄이는 것은 운영비 절감 효과로 이어질 수 있다.

사이버보안 컨설팅 업체 액셀리전스 CEO 저스틴 그레이스는 SMS 인증의 주요 위험 요소로 심 교체 사기와 심 탈취 공격 증가를 지적했다. 그레이스는 “페이팔은 가장 많이 사칭되고 스팸에 악용되는 이메일 브랜드 중 하나”라고 말했다.

전 월마트 사이버보안·리스크·컴플라이언스 책임자 스티븐 에릭 피셔도 SMS의 인증 취약성에 동의했다. 피셔는 SMS를 “매우 낮은 수준의 보호 장치”라고 평가했다. 다만 인증 앱에 대해서도 신중한 입장을 보였다.

피셔는 “인증 앱은 SMS보다 약간 나은 수준에 불과하다. 각 방식은 고유한 취약점을 갖고 있다”고 말했다. 또한, 보안 관점에서 가장 우수한 선택지는 FIDO2이지만, 장치 비용과 등록·사용 과정의 부담 때문에 최종 사용자 채택 속도는 제한될 수 있다고 분석했다.

dl-itworldkorea@foundryco.com