피드로 돌아가기
Dev.toSecurity
원문 읽기
SMS Pumping 방지를 위한 Mobile-Originated iMessage 2FA 전환
SMS Pumping Is Draining Your 2FA Budget — and Mobile-Originated iMessage 2FA Fixes It
AI 요약
Context
기업이 SMS 코드를 발송하는 A2P(Application-to-Person) 구조의 취약점을 악용한 SMS Pumping 공격으로 인한 비용 손실 발생. 발신 기반 과금 체계와 국가별 상이한 Carrier Surcharge로 인해 예측 불가능한 비용 구조와 보안 취약성 노출.
Technical Solution
- Outbound 메시지 발송 구조를 User-to-Business 형태의 Mobile-Originated(MO) 방식으로 전환하여 과금 주체 변경
- iMessage Deep Link를 통한 코드 사전 입력으로 사용자 UX 저해를 최소화한 Reverse 2FA 플로우 설계
- Apple ID 기반의 End-to-End Encryption을 활용해 기존 SMS Sender ID Spoofing 및 SIM-swap 공격 원천 차단
- Inbound Message Webhook과 서버 측 코드 매칭 로직을 통한 검증 프로세스 단순화
- A2P 10DLC 및 DUNS 등록 과정 제거를 통한 인프라 프로비저닝 오버헤드 최적화
실천 포인트
- 2FA 비용이 예측 불가능하게 급증하는 경우 AIT(Artificially Inflated Traffic) 가능성 검토 - 발신 기반 인증에서 수신 기반 인증(Reverse Verification)으로의 전환 가능성 분석 - 단순 SMS 대신 E2E 암호화가 지원되는 플랫폼 기반의 인증 채널 도입 검토 - 국가별 Carrier Surcharge가 높은 서비스의 경우 A2P 의존도 낮추는 전략 수립