해킹으로 계산식이 유출된 OTP기기가 우리나라 금융권에서 76만대나 아직 사용되고 있는 것으로 나타났다. OTP기기는 인터넷·모바일뱅킹에서 비밀번호를 생성해주는 기기다. 전산망 해킹이나 개인정보 유출과는 비교가 안 되는 대형사고를 언제든 일으킬 수 있는 사안임에도 금융회사나 당국 모두 쉬쉬하고 있다.
22일 금융감독원이 이범래 한나라당 의원실에 제출한 자료에 따르면 국내 배포된 RSA사 OTP기기 약 82만개 가운데 지난 8월 말까지 5만8000여개만 회수된 것으로 밝혀졌다. 이는 전체 배포 개수의 7.1%에 불과한 수치다.
금융회사별 회수율은 수협(0.34%), 농협(0.8%), 우정사업본부(6.9%), 기업은행(8.9%), 삼성증권(29.3%), 새마을금고(51.2%) 순으로 저조했다. 이 가운데 대형 해킹사고가 터졌던 농협은 38만개로 가장 많이 배포했지만 회수된 기기는 2955개에 머물렀다.
앞서 미국 RSA 본사는 지난 3월 17일 자사 보안 기술을 해킹 당했다. 이때 OTP기기에서 비밀번호를 만들어주는 핵심 계산식도 함께 유출된 것으로 알려졌다.
당시 금융당국은 은행·증권 등 금융사에 공문을 보내 RSA사에서 제조한 OTP기기 신규 발급과 재사용을 중단하는 조치를 내렸다. 이어 금융사가 RSA사의 OTP기기를 빠른 시일 내에 회수할 것을 당부했다.
국내에 보급돼 실제로 사용되고 있는 OTP기기는 약 540만개로 추정된다. 특히 올해 들어 농협, 현대캐피탈 등 금융권에서 개인정보 해킹 사고가 잇따르면서 금융사고 발생 우려가 높아졌지만 금융당국 조치는 미흡하다는 지적이 나오고 있다.
이범래 의원은 “전자금융사고를 예방하기 위해 해당 OTP기기를 빨리 교체하고 사용을 전면 중단해야 한다”며 “현재 사용 중인 다른 제조사의 OTP기기도 안전성 점검이 필요하다”고 말했다.
<표> 미 RSA사 OTP기기 금융회사별 출고 및 회수현황
(단위 : 개)
<용어설명>
OTP(One Time Password)=인터넷이나 모바일뱅킹을 이용할 때 비밀번호를 자동으로 만들어주는 기기. 매번 새로운 번호를 생성해 보안카드보다 안전한 수단으로 알려져 있다.
박창규기자 kyu@etnews.com