이중요소인증이 안전해 보이지만 결함이 있습니다. 누군가 비밀번호를 건드리면 계정 정보를 보호하지만, 해커가 악용할 수 있는 뒷문이 있습니다. 이중요소인증을 피해 데이터에 도달할 수 있는 방법이 수없이 많으며, 그렇기 때문에 비트코인 거래에 쓰기에는 100% 안전하지 않습니다. 사실 보안이 완벽한 인터넷 서비스는 없습니다. 모든 이가 어떤 방식으로든 해커의 목표가 될 수 있습니다.
이중요소인증은 쉽게 해킹당할 수 있습니다. 여러가지 방법 중 일부를 나열했습니다.
악성 앱 (트로이 목마)
일회용 비밀번호(OTP) 목록이나 기기(도난당하거나 분실된 핸드폰) 자체를 거침
"중개업자" (해커가 원하는 웹사이트와 사용자 사이에 들어옴)
실시간 피싱(피싱업자가 일회용 비밀번호를 물어본 다음 즉각 사용함, 피싱업자가 기술 지원팀인척 위장 또는 사용자인척 위장하여 기술 지원팀으로부터 접속 허가를 받음)
일부 관련 웹사이트를 거침(예를 들어 핸드폰 통신사업자 웹사이트)
지난 몇 년간 거래 또는 계정이 해킹당하는 사례가 여러 건 있었습니다. 개개인뿐만 아니라 병원 등 기관도 목표가 되었습니다. 미 연방통상위원회(Federal Trade Commission)가 이러한 유형의 사건을 1000건이 넘도록 접수받았으며, 2016년 초반에는 이런 계정이 목표가 된 ID 도용 사건이 2500건이 넘도록 접수되었습니다.
작년에 사람들의 휴대폰 번호만으로 계정에 침투한 비트코인 거래 사기가 최소 여러 건 발생했습니다. 초기 비트코인 사용자 중 한 명이었던 제레드 켄나(Jered Kenna)는 2016년 8월 비밀번호가 변경된 것을 발견했습니다. 무슨 일이 일어난 걸까요? ID가 도용당했고 핸드폰 번호가 T-Mobile에서 다른 통신업체로 변경되었습니다. 해커는 이후 변경된 번호를 Google Voice와 연결했습니다. 불과 몇 초만에 해커가 켄나 계정에 전부 접속할 수 있게 되었으며 동시에 켄나의 접속을 차단했습니다. 그 날 켄나는 수백만 달러에 달하는 비트코인을 잃었습니다.
켄나 이외에 마찬가지 계정 침투 대상이 된 명망 있는 전문가들 모두 핸드폰 통신업체가 이 허점을 해결해야 한다고 말했으며, 그렇지 않으면 향후 피해자 수가 수백 명이나 수천 명에 이르를 것이라고 예견했습니다.
위의 관점을 모두 감안할 때 이중요소인증이 위의 사이버 공격에는 그다지 안전하지 않은 방법이라고 결론을 내려도 무방합니다. 하지만 사람들이 계정에 접근하지 못하도록 방지하는 데에는 좋은 방법입니다.