금융당국이 공인인증서 재발급 시 신원확인 방법으로 `OTP 2번 인증` `보안카드+휴대폰SMS 인증` 방식 등의 도입을 검토 중인 것으로 알려졌다. 하지만 업계 일각에서 이 같은 인증방식이 전자금융사기(피싱)에 취약하다는 우려가 제기됐다.
23일 관련업계에 따르면 금융감독원은 공인인증서 재발급 시 신원확인 방법으로 기존 △사용자 단말기 지정 △OTP+휴대폰SMS 인증 △2채널 인증 방식과 별도로 △OTP 2번 인증 △보안카드+휴대폰SMS 인증 △고객만이 아는 2가지 이상 정보+휴대폰 SMS인증(증권권역만 해당) 등 3종의 방식을 추가로 도입하는 방안을 검토 중인 것으로 전해졌다. 이는 올해 1월 정부 관계기관 합동TF에서 `금융소비자 보호를 위한 보이스 피싱 피해방지 종합 대책`을 마련키로 한데 따른 것이다.
금융 당국은 기존 인증방식만으로는 이용자 불편이 큰데다 2채널 인증서비스에 관한 특정 업체 독점 논란을 불식하기 위해 이 같은 대안을 마련 중인 것으로 알려졌다.
이미 금감원은 금융기관에 3가지 추가 인증방식 도입에 관한 자료를 발송, 새해 5월 말까지 시스템 구축 가능 여부, 시스템 구축 불가능 시 대응 방안 등 조사에 착수한 것으로 전해졌다.
하지만 업계 일각에서 새로운 인증 방식이 전자금융사기(피싱)에 오히려 취약하다는 주장을 펴 주목된다. 2채널 인증 솔루션을 공급 중인 씽크에이티 장화철 회장은 “OTP 인증은 1채널 인증방식으로 해킹에 취약하다는게 이미 입증됐다”며 “OTP를 2번 인증한다고 해서 이런 취약점이 해결되는 것은 아니다”라고 주장했다. 그는 휴대폰 SMS 인증 등 다른 방법 역시 사후적 조치에 불과하다고 주장했다.
2채널 인증 방식 독점 논란과 관련해 장 회장은 “2채널 인증방식은 씽크에이티뿐 아니라 다른 업체에서도 솔루션을 공급하고 있으며, 실제 서비스 공급자는 기간통신사업자이기때문에 독점 주장은 별 설득력이 없다”고 반박했다. 또 2채널 인증방식은 콜백 URL SMS, 2채널 앱인증 등 여러 솔루션이 가능하다고 주장했다.
한편, 현재 공인인증서 재발급에 관한 내용은 `전자서명법 시행규칙`에 규정되어 있다. 새로운 인증방법이 도입되려면 행정안전부가 금감원 등 유관기관 협의를 거쳐 관련 규정을 개정해야 한다. 올 6월 행안부는 전자서명법 시행규칙 일부 개정령(안)을 입법예고 했는데 이안에는 3가지 새 인증방식에 관해 언급된 것이 없다.
장길수기자 ksjang@etnews.com