[정보보호]OTP 넘어 `거래연동 OTP` 도입 추진

관련 통계자료 다운로드 일반 OTP와 거래연동 OTP 비교

일회용비밀번호(OTP)의 보안성을 한층 강화한 ‘거래연동 OTP’ 도입이 추진된다.

금융보안연구원(원장 김영린)은 최근 주요은행과 ‘거래연동 OTP추진협의회’를 발족했다. 보이스피싱과 파밍 등 증가하는 해킹위협에서 전자금융거래 안전성을 높이기 위해서다.

현재 사용 중인 OTP는 보안카드보다 보안성이 높지만 메모리 해킹 등 날로 진화하는 사이버 위협에 노출될 위험성이 증가했다. 메모리 해킹은 인증수단을 우회해 수신자 계좌변호 등을 조작하는 최신 수법이다. 사용자가 해킹을 알아채지 못하는 경우가 많아 심각한 위협으로 꼽힌다.

금융보안연구원은 거래연동 OTP기술을 개발하고 필요시 금융권에서 즉시 사용할 수 있게 대비태세에 들어갔다. 거래연동 OTP란 수취인 계좌번호나 송금액 등 거래정보와 연계해 해당 거래에만 유효한 인증정보로 인증하는 기술이다.

거래인증 OTP 개념도
거래인증 OTP 개념도

거래연동 OTP에 받는 사람 계좌번호(123456789)와 송금액(50000)을 입력한다. 30~60초마다 새로운 비밀번호를 생성하는 기존 OTP와 달리 거래연동 OTP는 관련 정보를 기반으로 인증정보를 보여준다. 이 정보를 인터넷뱅킹 화면에 입력한다. 은행은 인증정보를 검증해 지정된 계좌번호로 송금액을 이체한다.

거래연동 OTP는 키패드와 액정화면이 부착된 전용 보안토큰으로 구성된다. 보안토큰에 내장된 키패드에 거래 정보를 입력해 거래서명값을 생성한다.

영국은 2006년, 일본 은행연합회는 2012년, 싱가포르는 2013년부터 거래연동 OTP 사용을 권고하는 등 해외에서는 이미 도입됐다.

거래연동 OTP는 보안성은 높지만 전자금융거래 적용엔 상당한 시간이 걸릴 전망이다. 거래연동 OTP가 기존 OTP보다 크기가 더 커 소지하기 힘들고 가격도 비싸 배포에 어려움이 예상된다. 금융권은 고액거래자나 한도변경, 사용자 등록변경, 수취인 계좌등록 등에 한정해 거래연동OTP 적용을 검토한다.

강우진 금융보안연구원 인증팀장은 “공격자가 PC를 제어하며 거래정보를 조작해도 인증매체가 분리된 상태에서 거래와 관련된 인증정보를 생성해 해커가 원하는 계좌로 이체가 불가능하다”고 설명했다. 강 팀장은 “주요 금융권과 함께 고도화하는 해킹에 대응하는 다양한 방법을 논의 중”이라고 덧붙였다.

일반 OTP VS 거래연동 OTP

자료:금융보안연구원

[정보보호]OTP 넘어 `거래연동 OTP` 도입 추진


김인순기자 insoon@etnews.com