7월 거래연동 OTP 시대 열린다

올해 전자금융거래 보안성을 한 단계 업그레이드한 ‘거래연동 일회용비밀번호(OTP)’ 서비스 시대가 열린다.

금융결제원은 7월 거래에 특화한 일회용비밀번호를 생성하는 거래연동(Transaction Singing) OTP 서비스를 시작한다. 현재 사용 중인 OTP는 거래마다 새 비밀번호를 사용해 보안카드보다 안전성이 높지만 메모리 해킹 등 날로 진화하는 사이버 위협에 노출된다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

거래연동 OTP는 수취인 계좌번호(123456789)나 송금액(50000) 등 거래 정보와 연계해 해당 거래만 유효한 정보로 인증하는 기술이다. 기존 OTP는 30~60초마다 새로운 비밀번호를 생성하는데 거래연동 OTP는 관련 정보를 이용해 비밀번호를 생성한다. 유럽과 싱가포르 등 금융권이 먼저 도입했다. 메모리 해킹 등 현재 알려진 사이버 공격기술에 대응한다.

거래인증 OTP 개념도(자료:금융보안원)
거래인증 OTP 개념도(자료:금융보안원)

금결원에 따르면 OTP 발급건수는 1534만개로 약 53억건 누적 거래가 발생했다.

지난해부터 메모리 해킹 위협이 높아지며 거래연동 OTP에 관심이 커졌다. 가장 큰 걸림돌은 기존 OTP보다 비싼 거래연동 OTP 단말기 보급 비용이었다. 이 문제는 지난해 ‘스마트 OTP’가 도입되며 해결됐다. 스마트 OTP란 스마트폰과 IC카드를 이용해 일회용 비밀번호를 생성하는 방법이다. 2015년 전자금융감독규정 ‘매체분리 원칙’이 사라지며 도입됐다.

미래테크놀러지가 내놓은 `NFC OTP`(자료:미래테크놀러지)
미래테크놀러지가 내놓은 `NFC OTP`(자료:미래테크놀러지)

스마트 OTP는 별도 OTP 발생기보다 소지가 간편하다. 스마트폰과 IC카드를 이용해 배터리 방전 제약이 없으며 OTP 발생기보다 가격이 30~50% 저렴하다. 거래연동 기능을 소프트웨어로 구현한다.

스마트 OTP는 IC형과 TEE형으로 구분된다. IC형은 NFC, 유심(USIM), SD카드 방식이 포함된다. NFC를 지원하는 스마트폰과 금융사가 발급한 IC 카드를 접촉해 일회용 비밀번호를 발생한다. 스마트폰에 내장된 유심이나 SD카드에 OTP 기능을 내장한 제품도 있다. 스마트폰 애플리케이션프로세서(AP) 내 트러스트존이라 불리는 보안영역에 OTP 기능을 구현하기도 한다.

신한은행은 스마트OTP를 도입했다.(자료:신한은행)
신한은행은 스마트OTP를 도입했다.(자료:신한은행)

금결원은 3월까지 스마트 OTP 1단계 서비스를 진행한다. A은행에서 등록한 스마트 OTP를 B은행에서도 쓸 수 있는 서비스다. 현재 국민·신한·우리·농협과 일부 증권사가 스마트 OTP를 도입했다. 3월 말 전체 금융회사에서 스마트 OTP를 쓸 수 있다.

금결원은 7월 스마트 OTP에 거래연동 기능을 추가한다. 계좌이체 때 해당 거래 정보를 이용해 일회용 비밀번호를 생성해 인증한다.

에이티솔루션즈이 개발한 스마트 OTP. 국민은행에서 스마트 OTP로 쓴다.(자료:에이티솔루션즈)
에이티솔루션즈이 개발한 스마트 OTP. 국민은행에서 스마트 OTP로 쓴다.(자료:에이티솔루션즈)

금결원은 거래연동 OTP를 핀테크 활성화 요소기술로 확산한다. 해외는 위험이 낮은 거래는 비밀번호 간편결제를 쓴다. 위험이 큰 거래는 거래연동 OTP를 적용한다.

심희원 금융결제원 차장은 “스마트 OTP가 도입되면서 비용 때문에 채택을 주저했던 금융권이 거래연동 OTP 서비스에 관심이 높다”며 “기존 OTP보다 저렴하면서 보안성을 높일 수 있어 서비스가 확대될 것”이라고 말했다.

<일반 OTP와 거래연동 OTP 비교>


일반 OTP와 거래연동 OTP 비교


김인순 보안 전문기자 insoon@etnews.com