`스마트 일회용비밀번호(OTP)` 대중화 시대가 열린다.
스마트OTP는 스마트폰과 IC카드를 이용해 일회용비밀번호를 생성하는 방법이다. 2015년 전자금융감독규정 `매체분리 원칙`이 사라지며 도입됐다. 국민, 신한, 우리은행 등 금융권은 최근 스마트OTP 도입에 속도를 낸다. 이달 말 금융결제원은 한 개 스마트OTP로 여러 은행 거래에 쓸 수 있는 연동 서비스를 시작한다.
스마트OTP는 기존 OTP를 고도화해 보안성을 높인 거래연동(Transaction Singing) OTP로 쓸 수 있다. 공인인증서 유출을 차단하는 하드웨어보안모듈(HSM) 기능도 한다. 스마트OTP가 확산이 지지부진한 기존 OTP를 대신해 보안카드를 완전 대체할 가능성도 거론된다.
금융위원회가 상반기 중 전자금융거래 시 일회용비밀번호 사용 의무를 폐지할 예정이지만 스마트OTP 도입 기관은 늘었다. 지난해 금융위가 공인인증서·키보드보안·백신 등 보안 3종 세트 의무 사용 철폐했지만 여전히 쓰인다. 신뢰성이 입증된 대체 수단 도입이 쉽지 않은 탓이다.
금융권은 기존 기술 퇴출 대신 이를 잘 활용하면서 보안성과 편리성을 높인 기술에 주목한다. 신기술을 도입해 사고나 장애가 발생하면 피해가 크기 때문이다. 스마트OTP가 주목받는 이유다. 스마트OTP는 근거리무선통신(NFC)기능이 있는 스마트폰과 IC카드로 구성된다. 기존 공인인증 인프라를 활용하면서 보안성과 편리성을 높인다.
스마트OTP는 소지가 불편하고 배터리를 교체하는 기존 OTP보다 휴대가 간편하다. 스마트폰과 지갑에 들어가는 IC카드를 소지한다. 유출 위험이 높은 보안카드를 대체하면서 일회용비밀번호로 거래 보안수준을 높인다.
일회용비밀번호가 유출돼도 불법 거래를 차단하는 거래연동 기능도 적용할 수 있다. 금융결제원은 7월 중 스마트OTP에 거래연동 기능을 넣는다.
스마트OTP는 공인인증서도 안전하게 보관하는 장치다. 모바일 뱅킹 때 공인인증서는 스마트폰 메모리 영역에 저장됐다. 최근 해커는 PC는 물론이고 스마트폰에 저장된 공인인증서까지 탈취한다. IC카드 안에 공인인증서를 저장하면 탈취 위험을 낮춘다. 스마트OTP가 보안토큰(HSM) 기능까지 하는 셈이다.
금융기관서 배포된 스마트OTP카드를 응용하면 비대면 본인확인도 간편하다. 스마트OTP를 받으려면 최초 한 번은 지점을 방문해 본인확인을 해야 한다.
금융기관은 스마트OTP를 이용한 새 상품도 만든다. KB국민은행은 신용카드 기반 스마트OTP서비스를 시작했다. KB다담카드에 스마트OTP 기능을 넣어 보안과 카드지급결제 서비스를 동시에 제공한다. 스마트OTP 카드 IC칩에 저장된 공인인증서는 유효기간도 4년이다. 매년 갱신하는 불편이 없다.
김종서 에이티솔루션즈 대표는 “액티브X를 사용하지 않아도 공인인증서 유출 문제는 계속 발생한다”며 “스마트OTP는 일회용비밀번호에 보안토큰기능까지 한 번에 제공해 현재 인터넷뱅킹 문제에 답을 제시한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com