로그인 정보에 대한 여러 기기간 동기화를 지원하는 구글 인증기(Google Authenticator) 클라우드 백업에서 엔드투엔드 암호화(E2E)가 이뤄지지 않았다는 게 보안 연구자 조사에서 밝혀졌다. 구글은 이런 우려에 대해 향후 구글 인증기 E2E 대응을 표명했다.
구글 인증기는 2단계 인증으로 사용할 수 있는 1회용 비밀번호를 발행하는 앱이다. 타사 원타임 암호 발행 앱에선 클라우드를 통한 백업 기능이 탑재되어 있지만 구글 인증기에는 오랫동안 클라우드를 통한 백업 기능이 존재하지 않고 QR 코드를 이용한 백업 방법 밖에 준비되어 있지 않았다. 이 때문에 구글 인증기는 백업 전 기기가 손상되면 2단계 인증을 사용할 수 없게 된다는 문제가 있었다.
여기에 등장한 게 구글 계정을 통한 클라우드 동기화. 이렇게 하면 기기를 분실해도 구글 계정으로 로그인할 수 있다면 다른 기기에서 1회용 비밀번호를 확인할 수 있다.
하지만 보안 기업 연구자에 따르면 구글 인증기에서 해당 로그인 정보가 클라우드에 올라갈 때 E2E 암호화가 되지 않은 걸 발견헀다고 한다. E2E 암호화되지 않은 건 구글 인증기가 구글 서버로 보낸 데이터에 원래 권한이 없는 사용자가 접근할 수 있다는 것이다.
2요소 인증 QR코드에는 1회용 암호 생성용 키나 시드가 포함되어 있어 만일 이 키나 시드를 누군가 입수하면 같은 원타임 암호를 생성해 2요소 인증을 돌파할 수 있다. 이 때문에 구글 인증기의 클라우드 동기화를 사용해선 안 된다는 지적이다.
이에 따라 구글 측은 앞으로 구글 인증기에 E2E 암호화를 제공할 계획이라고 밝혔지만 제공 시기는 언급하지 않았다. 관련 내용은 이곳에서 확인할 수 있다.