`모바일 일회용 비밀번호(mOTP)` 금융권 도입이 또 해를 넘긴다. 2년 가까이 논의만 벌이다 진전을 이루지 못했다. 도입을 원하는 시중은행이나 솔루션 업계는 금융당국이 지나치게 보수적인 자세를 취한다며 불만이다. 소비자 편의를 훨씬 높일 수 있는 데다 기술적인 문제도 해결됐기 때문이다. `공인인증서 패권 사수` 탓이라는 비판도 제기됐다.
17일 업계에 따르면 금융감독원 등 당국이 mOTP 금융권 도입에 여전히 부정적인 자세를 보여 사실상 연내 도입이 불가능할 전망이다.
mOTP는 기존의 일회용 비밀번호(OTP)를 별도 하드웨어가 아닌 휴대폰으로 구현한 기술이다. 게임 아이템 결제 등에 이미 광범위하게 쓰이는 편리한 기술이다.
은행거래 등 금융권 도입 논의는 지난 2010년 시작됐다. 금융거래 보안에 경각심이 높아져 `편리하고 안전한 보안매체` 수요가 늘어나면서다. 하지만 여전히 답보다.
은행 관계자는 “금융감독원이 사용 가능하다는 지침을 내려주기 전까지 도입할 수 없다”며 “여전히 `매체 분리` 원칙을 고수하는데다 보안성을 문제 삼고 있다”고 말했다. 금융거래 인증수단으로 쓰이려면 금감원의 `인증방법 평가위원회`에서 의결이 이뤄져야 하지만 아직 한 차례도 상정되지 못했다.
mOTP 도입 반대 논리는 전자금융감독규정 제34조의 이른바 `매체 분리` 원칙을 따른다. 스마트폰이 금융거래 매체기 때문에 같은 매체를 인증수단으로 쓰면 안 된다는 것이다. 하지만 지난해 이미 스마트폰 본체가 아닌 범용가입자식별모듈(USIM)에 mOTP 생성 프로그램을 탑재하는 기술을 금융보안연구원과 시중은행이 참여한 태스크포스(TF)에서 개발했다. 사실상 매체 분리가 이뤄졌다.
한 관계자는 “매체 분리라는 것도 해석하기 나름인데, 사실상 SMS를 통한 mOTP도 모바일 웹이나 앱을 통한 은행 거래와 분리됐다고 볼 수 있다”며 “USIM 기반 mOTP는 확연히 분리됐다고 해석할 여지가 크다”고 말했다.
인증수단인 공인인증서는 버젓이 컴퓨터나 스마트폰에 저장된 채 사용된다는 점에서 매체 분리 원칙이 형평성에 어긋난다는 지적도 있다. 지난 7월 금감원 인증방법평가위원회를 사퇴한 김기창 고려대학교 법학대학 교수는 “공인인증서는 발급과정부터 인터넷으로 이뤄져 사실상 거래매체와 완전히 결합됐다”며 “그런데도 mOTP에만 유독 엄격한 매체 분리 원칙을 들먹이는 건 기존 공인인증·OTP 단말기업체 봐주기라고 할 수밖에 없다”고 비판했다.
OTP 단말기 누적 발급건수
황태호기자 thhwang@etnews.com