금융권이 스마트폰 내 안전한 저장공간인 `트러스트존(Trust Zone)`을 이용한 서비스 경쟁에 나섰다.
공인인증서 의무 사용 등 규제가 사라지고 자율보안체계로 가면서 금융회사 스스로 사고 발생에 책임을 져야 한다. 금융권은 스마트폰 내에서 하드웨어적으로 안전한 금고로 여겨지는 트러스트존에 주목했다. 사용이 간편하면서 보안 수준을 올리는 환경이다.
트러스트존은 안드로이드 스마트폰 중 ARM칩을 쓰는 기기 내 독립적인 하드웨어 저장 공간이다. 모바일 프로세서 내에서 애플리케이션을 안전하게 실행한다. 대부분 안드로이드폰은 ARM칩이 장착돼 관련 기술을 적용할 수 있다. ARM이 개발한 기술로 코어텍스A 계열 CPU에 적용됐다. 트러스트존은 CPU를 신뢰와 비 신뢰 등 2개 영역으로 나눈다. 보안과 관련된 민감 정보가 신뢰 구역에서 처리돼 해커나 악성 앱을 차단한다.
금융권은 트러스트존을 활용한 무매체 일회용비밀번호(OTP)에 속도를 낸다. 향후 트러스트존에 인증서 저장 등으로 확대할 전망이다.
KEB하나은행은 트러스트존을 이용해 매체가 없는 `1Q T-OTP`를 선보였다. 기존 OTP는 신용카드나 USB저장장치 같은 형태로 항상 소지해야 한다. 1Q T-OTP는 스마트폰 트러스트존에 저장해 사용하는 방식으로 별도로 가지고 다녀야 하는 불편함이 없다. 스마트폰만 있으면 손쉽게 계좌이체 등 서비스를 이용한다. 모바일 뱅킹 인증 단계를 간편화하면서 보안도 챙긴다.
신한은행은 지난달 써니뱅크에 하드웨어 방식 보안을 적용하기 위해 `트러스트존 보안 모듈 도입 입찰 공고`를 냈다. 신한은행은 공인인증서를 대체하는 보안기법으로 트러스트존에 주목했다. 써니뱅크에 우선 도입해 안심하고 이용하는 비대면 금융 채널을 만든다.
신한카드 `폰OTP`와 삼성카드 `안심OTP` 역시 트러스트존을 이용한다. 신한카드 폰OTP는 트러스트존에 일회용 비밀번호를 생성한 후 앱 카드 비밀번호를 입력해 본인과 거래 유효성을 인증하는 서비스다. 삼성카드는 게임서비스, 환금성 상품의 모바일 결제 인증방식으로 안심OTP를 적용했다. 기존에 공인인증서와 ARS 인증을 동시에 했지만, 안심OTP를 쓰면 한 번에 인증된다. 삼성페이 역시 트러스트존 기술을 활용한다.
트러스트존 보안기술을 제공하는 트러스트오닉 오종인 지사장은 “올해 금융권이 모바일 환경에서 보안 수단으로 트러스트존 도입을 시작했다”면서 “편리하면서 보안성이 높은 기술로 활용이 더욱 증가할 것”이라고 말했다.
김인순 보안 전문기자 insoon@etnews.com