공인인증서를 탈취하고 각종 금융정보를 가져가는 파밍 공격이 증가했지만 10명 중 9명은 여전히 일회용비밀번호(OTP) 대신 보안카드를 사용하는 것으로 나타났다.
18일 금융보안연구원(원장 김영린)에 따르면 OTP 이용자(3월 말 기준)는 944만3561명이다. 한국은행이 집계한 전체 인터넷뱅킹(모바일뱅킹 포함) 사용자 9549만명 중 9.8% 만이 OTP를 전자금융거래에 활용한다. OTP는 무작위로 생성되는 한 번 쓰고 버리는 비밀번호로 고정된 네 자리 숫자를 쓰는 보안카드보다 안전성이 높다.
OTP는 2008년 4월 도입된 후 6년이 지났지만 인터넷뱅킹 이용자 10명 중 1명만 사용할 정도로 보급이 저조하다. 시중은행 19곳과 증권사 35곳, 기타 9개사 총 63개 금융회사가 OTP 인증 서비스를 한다.
보안카드보다 높은 보안성에도 사용이 안 되는 것은 비용과 인식 부족 탓이다. 금융사는 보안카드보다 발급비용이 높은 OTP 보급 확대에 부담을 느낀다. 은행은 OTP를 원하는 고객에 발급 수수료를 받는다.
이렇다 보니 고객은 수수료가 없는 보안카드를 선택한다. 여기에 OTP는 보안카드보다 휴대가 불편하다. OTP는 배터리 소모로 3~5년마다 재발급을 받아야 한다.
최근 보안카드번호 전체를 요구하는 파밍이 급증했다. 공격자는 피해자 PC에 악성코드를 감염시킨 후 공인인증서를 탈취한다. 사용자가 인터넷뱅킹에 접속하기를 기다렸다 가짜 은행사이트를 띄우고 보안카드번호 전체를 입력하라고 요구한다. 보안카드번호가 유출되면 금융사기를 당할 가능성이 크다.
전자금융사기가 급증하자 금융사는 OTP를 쓰지 않는 고객의 보안등급을 낮추고 이체한도를 축소했다. 뒤늦게 OTP 무료 발급 이벤트를 열며 사용 확대를 꾀한다.
김영린 금융보안연구원장은 “국내 OTP 서비스는 다른 국가가 벤치마킹 요청을 할 정도로 기술력을 인정받고 있다”며 “보다 안전한 전자금융거래를 위한 OTP 활용을 연구할 것”이라고 말했다.
김인순기자 insoon@etnews.com