[알아봅시다] 일회용 비밀번호(OTP)

입력: 2006-04-03 16:30 이홍석 기자

폰트

시스템 접근 때마다 새 번호 입력
해킹ㆍ정보노출 막는 사용자 인증

일회용비밀번호(OTP)는 1회에 한해 사용할 수 있는 비밀번호 시스템으로 매번 다른 비밀번호를 이용하여 사용자를 인증하는 방식입니다. 현재의 비밀번호에서 다음의 비밀번호를 유추하는 것이 굉장히 어려운 비밀번호 생성방법입니다.

일정 시간마다 전용 단말기 등에 새로운 비밀번호가 생성되어 시스템에 접근할 때마다 새로운 비밀번호를 입력해야 하기 때문에 해킹이나 사용자의 관리소홀 등으로 비밀번호가 노출되는 것을 방지할 수 있습니다. 35개의 정해진 범위에서 비밀번호를 입력하는 기존의 인쇄된 보안카드에 비해 OTP는 사용자 비밀번호가 노출되더라도 새로 생성된 비밀번호를 입력해야 하기 때문에 훨씬 강력한 보안성을 제공할 수 있습니다.

대부분의 모든 OTP 생성 알고리즘은 일방향 함수(출력 값을 통해 입력 값을 유추할 수 없는 함수)에 기반을 두고 있습니다. 거의 모든 유닉스(UNIX) 운영체제(OS)에 구현되어 있는 S/Key 시스템(RFC1760)이 그 예입니다. 이 시스템은 다음과 같은 절차를 통해서 수행됩니다.

1) 서버는 비밀 값 w를 1번, …, n번 해쉬하여 n개의 비밀번호들을 얻고 w는 삭제한다.

2) 생성된 n개의 비밀번호를 사용자에게 역순으로 출력해서 준다. 서버는 n번 해쉬한 값만을 남기고 모두 지운다.

3) 사용자는 출력된 순서대로 비밀번호를 제시한다.(즉, w를 n-1번 해쉬한 값, n-2번 해쉬한 값, …)

4) 서버는 사용자가 제시한 값을 한 번 해쉬하여 가지고 있는 값과 비교한다. 일치하면 수신한 값을 저장하고 이전 값은 삭제한다. 그리고 사용자를 인증한다.

이 절차를 통해 알 수 있는 것처럼 특정 시점에서 사용자가 전송한 비밀번호를 알고있다고 하더라도 다음에 전송할 비밀번호는 유추할 수 없습니다. 왜냐하면 다음에 전송될 비밀번호는 w를 한 번 덜 해쉬한 값인 데, 해쉬함수의 특성상 출력 값을 통해 입력 값을 유추할 수 없기 때문입니다. 게다가 현재 운용되고 있는 OTP 알고리즘들은 S/Key보다 상당히 더 복잡하게 구현되어 있습니다.

2003년에 발생한 은행 현금카드 비밀번호 유출 사고나 폰뱅킹 인출 사고를 비롯해 지난해 6월에 있었던 인터넷뱅킹 예금 인출 사건까지 전자금융거래시 본인 확인 장치에 대한 문제가 지속적으로 발생함에 따라 OTP에 대한 수요는 증가하고 있는 추세입니다. 또 날이 갈수록 전자금융거래가 증가하고 있어 OTP의 도입은 현재의 수요 이상으로 크게 늘어날 것으로 예상됩니다. 한편 정부에서도 더욱 강화된 보안을 제공하는 OTP의 필요성을 공감하고 있어 전자금융거래 안전성 강화 대책을 통해 장기적으로 OTP 도입을 권장하고 있습니다.

◇모바일(Mobile) OTP란=모바일OTP(MOTP)는 휴대전화에 탑재 가능한 일회용 비밀번호 생성 SW로 공개키기반(PKI) 솔루션 업체인 이니텍에서 개발했습니다. OTP SW가 매번 다른 비밀번호를 생성해 주기 때문에 강력한 보안성을 제공받을 수 있다는 것 외에 휴대전화에 OTP SW를 탑재함으로써 휴대전화 사용자는 언제 어디서든 사용자 인증을 할 수 있다는 장점이 있습니다.

인터넷 서비스 업체는 MOTP를 이용, 사용자에게 편리하고 강력한 사용자 인증 서비스를 제공함으로써 서비스 품질을 한 단계 높일 수 있습니다. 시간 방식과 이벤트 방식을 결합, 보안을 강화한 MOTP는 주기적으로 교체해야 하는 HW 토큰(Token)과 달리 영구적인 사용이 가능한 SW 토큰 방식이기 때문에 운영비용을 절감할 수 있으며 현재 엔씨소프트의 온라인게임 리니지에 제공되고 있다.

이홍석기자@디지털타임스

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] 일회용 비밀번호(OTP)

이 시간 핫클릭

핫 이슈!