모바일? 스마트? 안전한 금융거래 위한 OTP의 진화!

피싱 등 금융사기 증가로 OTP 이용자 급증세...다양한 OTP 선보여

[보안뉴스 김태형] OTP(One-Time Password)는 말 그대로 접속할 때마다 사용할 수 있는 1회성 비밀번호를 생성하는 것으로, 금융거래 뿐만 아니라 기타 사이트 및 인터넷 서비스에서도 이용할 수 있는 보안인증 수단이다.

각종 게임 사이트나 포털 사이트 등에서 OTP를 이용해 본인 인증 및 로그인이 가능하고, 생성기의 역할을 하는 각각의 애플리케이션도 제공된다.

이러한 OTP 거래건수 및 이용자수가 지속적으로 증가하고 있다. 금융보안연구원(원장 김광식) OTP통합인증센터의 ‘2012년 2/4분기 OTP거래관련 통계자료’에 따르면 올해 2/4분기 중 인증거래 등을 포함한 전체 거래는 151,389,596건으로 전 분기 대비 3.9% 증가했으며, 이 가운데 OTP 이용자 등록실적은 732,329건으로 27.3% 증가한 것으로 나타났다.

2012년 6월말 기준 OTP 이용자는 6,298,798명으로, 지난 2011년 6월 OTP이용자 수가 500만명을 넘어선 이후 100만명 이상 증가한 것으로 집계되고 있다.

이와 관련 심희원 금융보안연구원 인증기술팀 팀장은 “최근 피싱 등과 같은 보안사고 예방을 위해 OTP를 이용하는 전자금융 소비자가 꾸준히 증가하고 있다”며, “이와 관련 금융보안연구원은 관련 신기술 연구개발과 지속적인 홍보를 통한 OTP 이용 활성화 및 안전한 전자금융환경 조성에 노력하고 있다”고 설명했다.

또한, 그는 “특히, 몇 년 전부터는 온라인 게임 사이트에서 많이 사용하고 있는 SW 방식의 모바일 OTP를 금융권에서 사용할 수 있는 지에 대한 금융회사의 검토 요구가 많아졌다”며, “이에 지난해는 USIM 기반 모바일 OTP를 개발해 시연회를 개최하기도 했다”고 설명했다.

이러한 USIM 기반 모바일 OTP는 스마트폰에 내장되는 USIM 칩을 이용하여 안전하게 OTP를 이용할 수 있도록 하는 기술로 LG U+의 LTE 전용 USIM 칩에 내장돼 출시되고 있다. 금융보안연구원은 향후 금융회사에서 상용화하면 전자금융 이용자가 USIM OTP를 즉시 이용할 수 있도록 기반 환경을 조성해놓은 상황이다.

USIM 기반의 모바일 OTP는 IC카드에 내장되어 있는 형태이기 때문에 SW 방식의 모바일 OTP에 비해 위·변조가 어려워 안전한 금융거래가 가능한 보안매체라고 할 수 있다. 그러나 스마트폰 분실시 보안위협이 높아진다는 문제점과 함께 이통사와 금융회사와의 협력이 필요한 부분이 있어 아직까지 상용화되지 못하고 있다.

아울러 금융보안연구원은 최근 스마트카드 형태의 ‘SMART OTP’를 개발해 금융회사와 상용화 가능성에 대한 협의를 진행하고 있다. ‘SMART OTP’는 카드나 열쇠고리·팔찌 등의 형태로 USIM OTP와 동일한 보안기능의 비접촉식 IC칩을 내장해 NFC(Near Field Communication) 기능을 지원하는 스마트폰을 IC카드 리더기로 활용하는 방식이다.

심 팀장은 “이러한 모바일 OTP는 현재 대부분의 금융회사 개인고객들이 사용하고 있는 보안카드의 문제점을 해결해 줄 수 있을 것으로 전망된다”면서 “기존 하드웨어형 OTP는 소지하거나 사용상의 불편한 점이 있지만 이러한 모바일 OTP는 모바일에 IC칩 형태로 넣어 편의성과 보안성, 그리고 적용성이 편리하다. 무엇보다 보안성 측면에서 금융회사의 기준을 충족하기 때문에 상용화에 따른 보안문제는 없다”고 설명했다.

이러한 모바일 OTP의 상용화를 위해서는 여러 관련기관과의 긴밀한 협의가 선행되어야 한다. 금융권의 경우 보안카드의 대체수단으로 보안성이 높은 ‘SMART OTP’가 내년엔 본격적으로 확대될 것으로 기대하고 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)