해커 까막눈 만드는 OTP, 금융사 채택 임박

관련 통계자료 다운로드 TZ OTP 적용 사례 비교

해커가 접근할 수 없는 보안화면이 적용된 일회용비밀번호생성기(OTP)가 세계 최초 개발됐다. 이 기술은 현재 금융권과 상용화 논의가 진행 중이다. 삼성전자 갤럭시노트4에 채택된 이 기술은 다수의 금융사가 도입을 위한 테스트를 벌이고 있어 핀테크 융합모델 1호를 눈앞에 두고 있다. 최근 열린 금감원 주최 기술진단포럼에서도 소개돼 보안성을 입증 받았다.

해커의 접근이 불가능한 보안화면이 적용된 OTP가 개발됐다. TZ OTP 적용 사례 비교
해커의 접근이 불가능한 보안화면이 적용된 OTP가 개발됐다. TZ OTP 적용 사례 비교

인터페이(대표 김근묵)는 보안실행환경 기술인 트러스트오닉(Trustonic)사의 티베이스를 이용한 ‘TZ OTP’ 개발을 완료하고 다수 금융사와 테스트를 진행 중이라고 25일 밝혔다.

티베이스 기술은 ARM 계열의 애플리케이션 프로세서(AP)가 탑재된 모든 스마트폰에 이미 적용됐고 단말기 수는 3억대에 이른다. 국내는 삼성전자 단말 일부 기종에서 사용할 수 있으며 타 단말에서는 해당 기술을 활성화하는 업데이트 작업이 곧 추진된다.

TZ OTP의 핵심은 보안실행환경(TEE:Trusted Execution Environments) 기술이다.

모바일 CPU(AP)를 일반 영역과 보안 영역으로 나눈 하드웨어 보안 기술로 현재 ARM사 계열의 AP에서 동작한다. 스마트폰에 대한 공격이 소프트웨어 취약점을 악용하기 때문에 하드웨어 중심으로 해킹을 차단한 원리다.

이 기술은 금융보안연구원과 60여개 금융사가 올해 도입 예정인 근거리무선통신 기반 스마트 OTP보다 앞선 기술력을 확보했다는 평가다. 기존 OTP와 NFC OTP 모두 스마트폰 외 별도의 매체를 소지해야 한다. 반면 TZ OTP는 스마트폰의 보안 영역에 설치하기 때문에 별도의 매체가 필요 없다.

메모리해킹 공격 방어도 용이하다. 메모리해킹 공격은 OTP값을 생성하기 위해 계좌번호, 이체금액 등을 OTP에 한 번 더 입력하는 거래연동 방식으로 방어한다.

김근묵 사장은 “TZ OTP는 카드 등 결제 분야까지 확장이 가능하다”며 “기존 사용자 프로세스를 그대로 유지하는 백엔드 보안 형태로 적용을 검토 중”이라고 말했다.

오는 4월 금융 보안프로그램 의무 설치 조항이 삭제되면 금융사들은 고객에게 OTP를 권장할 수밖에 없어 인터페이 기술 채택이 급물살을 탈 전망이다.

김 사장은 “TZ OTP와 부인방지 기술을 결합해 공인인증서에 준하는 인증 서비스를 개발 중”이라고 말했다.

길재식기자 osolgil@etnews.com