🛑 SMS OTP 남용을 시작 전에 차단: 업스트림 보안 접근법

발행: 1개월 전 (2025년 12월 21일 오전 09:25 GMT+9)

7 분 소요

Source: Dev.to

위에 제공된 소스 링크 외에 번역할 텍스트가 포함되어 있지 않습니다. 번역이 필요한 전체 내용을 제공해 주시면 한국어로 번역해 드리겠습니다.

🔐 SMS‑based OTP는 어디에나 존재한다

⚠️ 이는 대규모로 가장 많이 악용되는 인증 메커니즘 중 하나입니다.

대부분의 팀은 OTP를 신뢰성 있게 전송하는 방법에 집중합니다. OTP를 전송해야 하는지 자체를 묻는 경우는 거의 없습니다. 이 글에서는 OTP 요청 자체가 실제 공격 표면인 이유와, 결정을 상류로 이동시킴으로써 보안과 비용 관리 모두를 크게 개선할 수 있는 방법을 설명합니다.

🎯 실제 문제는 SMS가 아니다

SMS 제공업체는 설계된 대로 정확히 수행합니다:

📤 메시지를 안정적으로 전달
⚡ 대량 처리량을 처리
🌍 전 세계적으로 운영

하지만 그들은 OTP 요청이 정당한지 여부를 판단하지 않습니다. SMS 제공업체는 실행만 할 뿐, 판단하지 않습니다. SMS 게이트웨이에 도달하는 모든 OTP 요청은:

유료 메시지를 트리거합니다
누가 요청했는지와 관계없이
의도와 관계없이

💣 SMS pumping: 비용 기반 서비스 거부

공격자는 시스템을 해킹할 필요가 없습니다; 대규모로 정중히 요청하기만 하면 됩니다.

봇은 다음을 할 수 있습니다:

수천 개의 OTP 요청 생성
전화번호와 IP 회전
공개 회원가입 또는 비밀번호 재설정 엔드포인트 악용

결과: 데이터 유출도, 다운타임도 없고, 폭증하는 SMS 요금만 발생합니다. 이는 기술적 DoS가 아니라 경제적 공격입니다.

🚦 왜 속도 제한만으로는 충분하지 않은가

속도 제한은 도움이 되지만 충분하지 않습니다.

❌ 서버는 보호하지만 예산은 보호하지 못합니다
❌ 분산 봇은 IP 제한을 쉽게 우회합니다
❌ 전화번호는 저렴하고 일회용입니다

속도 제한은 전송 속도는 제어하지만 정당성을 보장하지는 않습니다. 결국 전송해서는 안 되는 OTP를 보내게 됩니다.

🧠 OTP 요청은 공격 표면

취약점은 OTP 코드가 아니라, 그것을 요청할 권리입니다. 모든 OTP 요청은 기본 동작이 아니라 특권 작업으로 취급되어야 합니다.

🔄 결정을 상류로 이동하기 (Zero Trust OTP)

보다 탄력적인 아키텍처는 SMS 전송 전에 위험 분석을 도입합니다.

전통적인 흐름:

OTP request → Send SMS → Hope for the best

Zero Trust OTP 흐름:

OTP request → Risk analysis → Decision → Send SMS (or not)

🔍 OTP를 보내기 전에 무엇을 분석할 수 있나요?

단일 SMS를 보내기 전에도 다음을 평가할 수 있습니다:

📱 전화번호 유형 (모바일 vs. VOIP)
🧾 평판 및 과거 악용 신호
🌍 지리적 및 사용 패턴
⏱️ 빈도 및 행동 이상

이를 통해 다음을 할 수 있습니다:

명백히 사기성 요청 차단
의심스러운 요청에 도전(검증) 수행
정상 사용자를 원활하게 허용

🧩 실용적인 OTP 흐름 (단순화)

사용자가 OTP를 요청함
전화번호 위험을 분석
위험이 낮으면 → SMS OTP 전송
위험이 높으면 → 차단하거나 챌린지(캡차, 이메일 대체, 지연)

핵심 아이디어: SMS 전송이 자동이 아니라 조건부가 된다.

🛡️ OTPShield가 어디에 들어가는지

우리는 SMS 제공자를 호출하기 전에 전화번호 위험을 평가하는 API(OTPShield)를 사용하여 상위 의사결정 레이어를 구현했습니다. 이를 통해 우리는:

대부분의 악용 OTP 요청을 조기에 차단
불필요한 SMS 트래픽을 크게 감소
정당한 사용자에게는 사용자 경험을 그대로 유지

SMS 제공자를 교체하거나 잠금 현상이 발생하지 않으며, 단지 더 나은 결정을 내릴 수 있게 되었습니다.

📈 What we learned

🔐 OTP 보안은 전달이 아니라 결정에 관한 것이다
💰 비용 통제는 보안 기능이다
🧠 최고의 OTP는 종종 전송하지 않는 것이다
🧱 SMS 제공업체는 사기 방화벽이 되어서는 안 된다

✅ 이 접근 방식이 의미가 있을 때

The architecture is especially relevant if you have:

공개 회원가입 또는 로그인 엔드포인트
높은 OTP 볼륨
국제 트래픽
증가하는 SMS 비용
자동화된 악용에 노출

🧭 최종 생각

OTP 시스템은 SMS가 약해서 실패하는 것이 아니라—모든 요청을 똑같이 신뢰하기 때문입니다. 가정이 아니라 위험을 기준으로 OTP 흐름을 재구성하는 것이 보안과 경제성을 모두 향상시키는 가장 간단한 방법 중 하나입니다.

🔗 리소스

OTPShield RapidAPI에서