[시큐리티 Q&A] OTP, 금융보안에서 한 걸음 더 나아가라

입력 : 2016-10-26 10:12

현재 OTP 등 2차 인증은 금융 분야 인증에 주로 활용되는데요. 활용범위는 어디까지 가능한가요? 추후 확대될 여지는 있나요?

[보안뉴스 원병철 기자] OTP 인증은 이용자 측면에서 자금이체 등 금융 서비스 이용 시 주로 사용하고 있습니다. 반면 기업 내에서 OTP를 이용하는 경우는 중요 시스템에 대한 인증 강화 목적으로 사용하나 아직은 일부 제한적으로 사용하는 경우가 많은 것 같습니다. 그리고 별도의 OTP 단말을 이용하는 경우도 있지만 스마트폰에 OTP Software를 설치하는 방식(m-OTP)도 스마트폰의 보급율이 높아지면서 많이 사용하고 있습니다.

OTP의 활용 예로는 PC 로그인 시 사용하거나 서버 접근제어나 네트워크 접근제어, DB 접근제어, VPN 접속, 계정관리(IM), 데스크톱 가상화, 그룹웨어, SSO 등 OTP 솔루션과의 연동만 가능하다면 다양하게 적용이 가능합니다. 또한, 솔루션에 따라 서버 내에서의 명령어 Level까지 OTP 처리가 가능하기도 하며, Active Directory 연동, OTP 솔루션을 통해 Window Login에도 적용 가능합니다.

향후에도 OTP는 금융권을 중심으로 적용범위가 넓어지고 중요한 인증이 필요한 경우 ID/PW사용 후 2차 인증으로 사용될 가능성이 높습니다.
[문성태 한국정보보호심사원협회 이사(munnt72@hotmail.com)]
　
현재 윈도우 로그인에서는 Windows Server 2008 R2부터 IPsec VPN 용도로 사용하는 DirectAccess에서 RADIUS 기반의 OTP 인증을 제공하지만, 별도의 OTP 기기로 인증하기 위해서는 Gemalto 사의 IDConfirm 1000 제품을 이용하면 가능합니다.

Windows Server 금융 분야를 제외한 OTP 인증은 Google Authenticator를 이용해 Synology, QNAP NAS를 비롯한 Google Authenticator API를 사용한 응용프로그램이나 어플라이언스에서 사용이 가능하며, 각종 게임사에서는 고유한 OTP 인증 프로그램을 제공하고 있습니다.

그 외에도 네이버와 같은 포털사이트, 페이스북(Facebook)과 같은 SNS, 네이트온, 카카오톡과 같은 메신저, 그리고 11번가와 같은 쇼핑몰에서도 OTP 활용이 가능합니다. OTP 관련 API는 공개되어있기 때문에 경영진 또는 개발자의 의지가 있다면 확대될 여지가 충분히 있다고 생각합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
　
온라인 거래 시에 보안을 강화하기 조치로서 2차 인증은 계속 활용될 것으로 예상됩니다. 대표적인 1차 인증수단인 패스워드의 보안 취약성으로 이미 많은 사이트에서 이를 보완하기 위한 2차 인증수단을 적용하고 있으며, 1차 인증을 강화하기 위한 조치로 바이오인증 등을 적용하려는 시도가 늘어날 것은 분명합니다만 1차 인증수단만으로 완벽한 방어막을 구축하기는 어렵기 때문에 2차 인증수단의 도입·적용도 점차 확대될 것으로 예상되고 있습니다.

2차 인증수단으로는 OTP(모바일 OTP, HW OTP 등), USB 토큰(FIDO U2F 등), 브라우저 보안쿠키(이용기기 등록 등), 행위기반 바이오인증(키보드 입력패턴 분석 등) 등이 사용될 수 있는데, 2차 인증은 사용자의 이용 편의성을 훼손하지 않는 기술이 주로 사용되는 추세입니다. 예를 들어, 브라우저가 인증 장치와 연동할 수 있는 웹표준(W3C Web Authentication 등)이 개발되고 있어 사용자가 2차 인증수단의 소유증명(USB 포트에 인증장치 삽입 등)으로 웹사이트에 인증할 수 있는 방안이 준비되고 있습니다.

2차 인증은 현재도 마찬가지지만 보안이 중요한 분야, 즉, 전자금융, 전자정부, 의료/헬스케어 등 분야에서 지속적으로 활용될 것이고, 개인정보 관리의 중요성으로 개인정보를 많이 보유하여 활용하는 웹서비스에서도 사용자 로그인 시 보안 강화의 목적으로 도입이 확대될 것으로 예상됩니다.
[김수형 한국전자통신연구원(lifewsky@etri.re.kr)]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...