새 보안인증 ‘스마트OTP’ 이런 위험성이…

‘스마트폰+IC카드’편리성에도 악성코드·분실 등 보안성 떨어져

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


금융권에서 새로운 보안인증 수단으로 '스마트 일회용비밀번호생성기(OTP)'가 급부상하고 있다. 특히 시중 은행들이 스마트 OTP를 속속 신규 보안매체로 채택하고 있어 기존 OTP를 빠르게 대체해 나갈 것으로 전망된다. 하지만 스마트 OTP는 스마트폰 화면으로 비밀번호를 구동하는 과정에서 탈취 가능성과 분실 위험성 등이 있어 기존 OTP에 비해 오히려 보안성이 떨어질 수 있다는 지적도 나온다.

5일 금융권에 따르면 최근 전자금융감독규정 개정에 따라 상반기 중 집적회로(IC) 카드를 스마트폰에 대면 일회용 비밀번호가 생성되는 스마트 OTP가 본격 상용화될 예정이다. 기존 규정에는 전자금융거래 수단(컴퓨터·스마트폰)과 본인 인증수단(보안카드, OTP)을 분리·보관해야한다고 명시돼 있었으나, 개정된 규정은 이를 삭제한 것이다.

이에 따라 KB국민은행이 이미 상반기 중 스마트 OTP 도입을 확정 지었으며 신한은행, 하나은행 등 다수의 시중 은행이 스마트 OTP 도입을 적극 검토하고 있다. 또 은행계 카드사인 우리카드도 상반기 중 스마트OTP를 도입할 예정이다.

스마트 OTP는 계좌이체 등 인터넷뱅킹 시 본인 확인을 할 수 있는 인증 수단이다. 일회용 비밀번호 생성 기능이 추가된 IC카드를 스마트폰에 갖다 대면 애플리케이션(이하 앱)에 비밀번호가 입력되는 구조다. 근거리무선통신(NFC) 기능을 지원하는 스마트폰 소지자면 누구나 활용할 수 있다.

이러한 보안 인증 방식이 적용되면 소비자들은 은행을 방문해 교통카드에 삽입된 IC카드에 OTP 생성 프로그램을 입력하고 일회용 비밀번호를 출력하기 위한 앱만 설치하면 된다.

한 은행 관계자는 "기존 OTP의 경우 발급비용에 대한 부담과 휴대하기가 불편하다는 이유로 사용자 확산에 어려움을 겪는 측면이 있었다"며 "스마트폰과 IC칩 내장 카드만 있으면 되기 때문에 편의성이 개선될 것으로 예상하고 있다"고 말했다.

하지만 일각에서는 스마트 OTP가 기존 OTP를 완전히 대체하기는 어려울 것이라는 전망도 나오고 있다. IC칩 자체는 보안성이 우수하지만 스마트폰 화면으로 비밀번호를 구동하는 과정에서 탈취 가능성을 완전히 배제할 수 없다는 것이다. 스마트폰과 IC카드를 함께 분실했을 경우에는 더욱 난감한 상황에 처할 수도 있다. 한 금융 보안전문가는 "IC카드 자체는 문제가 없더라도 악성코드에 감염된 스마트폰으로 이를 구동하거나 앱이 위변조됐을 경우 비밀번호가 탈취될 수도 있다"고 지적했다.

이에 금융권에서는 스마트 OTP가 보안카드를 대체하면서 기존 OTP와 공존하는 형태가 될 것이라고 내다보고 있다.

한 은행권 관계자는 "은행에서는 보안카드의 보안등급이 낮아 사용 한도를 대폭 축소하는 등 불가피하게 이용자 불편을 야기하기도 한다"면서 "스마트 OTP가 나오게 되면 기존 보안카드보다는 높은 한도를 부여할 수 있을 것"이라고 말했다.

박소영기자 cat@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


추천기사