Phishing 및 SIM-swap 방지를 위한 SMS 인증 폐지 및 Passkey 전환

Context

기존 SMS 기반의 Authentication 및 Recovery 체계가 가진 보안 취약점 노출. Phishing 공격과 SIM-swap 공격으로 인한 계정 탈취 리스크가 임계점에 도달한 상황.

Technical Solution

• SMS 인증 방식을 완전히 대체하는 Passwordless 아키텍처로의 전환
• FIDO 표준 기반의 Passkey 도입을 통한 생체 인식 및 기기 기반 인증 체계 구축
• Verified Email을 통한 보조 복구 경로 확보로 단일 장애점 제거
• 2025년부터 신규 계정에 대해 Passwordless 설정을 Default 값으로 강제하는 정책 적용
• 다중 기기 환경의 동기화를 위한 Synchronization Tool 및 Password Manager 연동 가이드 제공

Key Takeaway

사용자 편의성보다 보안 무결성이 우선되는 인증 설계에서는 Shared Secret 기반의 SMS보다 공개키 암호화 기반의 Passkey가 적합한 대안임.