`모바일 OTP` 금융권에도 도입…보안위협 대상이던 휴대폰이 `보안도구` 된다

모바일 OTP 시스템 구조(자료=금융보안연구원)
모바일 OTP 시스템 구조(자료=금융보안연구원)

 모바일 일회용비밀번호(OTP)가 게임·포털 업계를 넘어 금융 서비스에도 도입된다. 그동안 보안 위협 대상으로 여겨졌던 휴대폰이 금융거래 안전까지 지켜주는 유용한 보안도구가 되는 셈이다.

 20일 업계와 금융보안연구원 등에 따르면 범용가입자식별모듈(USIM) 기반 모바일 OTP가 금융권에서 연내 상용화될 예정이다. 모바일 OTP가 상용화되면 현재 520만여명이 사용하는 기존 OTP 토큰을 휴대폰이 대체할 전망이다.

 금융보안연구원 관계자는 “유심 기반 모바일 OTP는 보수적인 금융권에서도 사용할 수 있을 만큼 보안성이 탁월하다”며 “금융감독원에 상용화를 위한 제도 개선 요청을 준비 중”이라고 말했다. 연구원은 지난 3월 LG유플러스와 모바일 OTP 도입을 위한 협약을 맺었으며 SK텔레콤, KT 등과도 협력할 계획이다.

 모바일 OTP는 해킹 위협이 특히 높은 게임 업계에 일찌감치 도입됐다. 지난 2006년 초 엔씨소프트를 시작으로 대부분 게임업체가 가상기기나 애플리케이션 방식 모바일 OTP를 도입하고 이를 사용할 것을 권장하고 있다.

 모바일 OTP 솔루션을 공급하는 모빌리언스 변을경 과장은 “게임 분야는 아이템을 탈취하기 위한 해킹 위협이 높아 수년 전부터 많은 업체가 모바일 OTP로 보안을 강화했다”고 말했다.

 금융권에서도 모바일 OTP 도입을 요구하는 목소리가 높았지만 전자금융감독규정에 명시된 ‘매체 분리의 원칙’에 발목이 잡혀 있었다. 매체 분리의 원칙은 서비스를 이용하는 기기와 OTP용 기기가 달라야 한다는 규정으로, 통상 인터넷뱅킹과 모바일뱅킹을 한꺼번에 신청하기 때문에 VM이나 앱 방식으로 모바일 OTP를 설치하게 되면 규정 위반이 된다.

 현재 금융권에선 모바일 OTP 대신 하드웨어 방식 OTP 토큰을 사용하고 있다. 예전에 널리 쓰이던 ‘삐삐’와 유사하게 생긴 단말기나 카드 형태로, 거래 시마다 일회용 비밀번호를 액정에 표시해준다. 사용자가 늘어가고 있지만 별도로 기기를 휴대해야 한다는 점에서 모바일 OTP에 비해 편의성이 크게 떨어진다.

 휴대폰에 내장할 수 있는 유심 기반 모바일 OTP는 편리할 뿐더러 다른 방식에 비해 보안성이 훨씬 높기 때문에 매체 분리 원칙에 어긋난다고 하더라도 보안등급을 하향조정하는 등 제도 개선으로 충분히 도입할 수 있다는 설명이다.

 금융보안연구원은 ‘모바일 OTP 보안성 분석서’에서 “유심 기반 모바일 OTP는 생성키가 유심 내에 저장돼 복제 및 침해에도 안전하고 기존 하드웨어 OTP와 동일한 수준의 보안성 유지가 가능하다”고 밝혔다.

 

 일회용 비밀번호(One Time Password·OTP)=로그인 세션이나 통신에 접속할 때 매번 변경되는 단 한 번만 사용 가능한 비밀번호. 일반적인 고정 비밀번호가 수집에 의한 재사용 공격에 취약한 반면에 일회용 비밀번호는 매번 비밀번호가 변경 수집한 비밀번호를 사용할 수 없게 되기 때문에 보안성이 높다.

황태호기자 thhwang@etnews.com