금융서비스를 쓸 때 사용자가 맞는지를 확인하기 위해 쓰이는 인증수단이 춘추전국시대를 맞았다.
최근 지문, 홍채 등 생체인증이 주목받고 있는 가운데 기존 보안카드, 일회용 비밀번호(OTP)도 스마트폰을 활용해 인증하는 방법으로 살 길을 찾고 있다.
지금까지 모바일뱅킹이든 인터넷뱅킹이든 자금을 이체하기 위해서는 보안카드 혹은 일회용 비밀번호(OTP)가 필수였다. 이 서비스들은 그동안 공인인증서와 함께 내가 거래를 하고 있다는 사실을 증명할 수 있는 추가인증수단으로서 역할을 해왔다.
그러나 올해 하반기부터 상황이 달라졌다. 6월30일 금융위원회가 전자금융감독규정을 개정하면서 보안카드나 OTP를 의무사용하지 않고서도 다양한 추가인증수단을 쓸 수 있도록 허용했기 때문이다.
번거롭게 보안카드를 들고 다니는 대신 스마트폰 카메라로 찍어서 저장해 놓고 쓰다가 해킹으로 유출되거나 OTP생성기를 사용하는 과정에서 발견된 취약점을 악용한 공격사례들이 발견되고 있다는 점도 새로운 방식에 눈 돌리게 되는 이유다. 은행들이 앞다퉈 지문, 홍채 등 생체정보를 활용한 인증 방식을 도입하기 시작한 것도 보안카드와 OTP는 점점 더 설 자리가 좁아지고 있는 모양새다.
■스마트폰과 IC카드 조합, 아직은 빛보기 힘들어
들고 다니기 불편하고 보안성도 예전만 못하다는 지적이 잇따르면서 아예 스마트폰을 보안카드이자 OTP생성기로 활용하려는 시도가 곳곳에서 이뤄지고 있다.
대표적인 사례로 꼽히는 것은 '스마트OTP'다. 이 방식은 별도로 IC카드를 탑재한 칩과 스마트폰 간에 근거리무선통신(NFC) 기능을 활용해 태그하면 OTP가 생성돼 모바일뱅킹앱에 자동으로 입력되도록 하는 방식이다.
OTP생성기 역할을 하는 전용 IC카드를 여전히 휴대하고 다녀야한다는 불편함이 없는 것은 아니지만 지갑에 신용카드를 넣어 들고 다니듯이 해당 카드를 들고 다니면 된다는 점에 주목할 필요가 있다. 기존 OTP생성기는 배터리를 쓰기 때문에 사용기간에 제약이 있었다. 스마트OTP는 IC카드 역할만 하기 때문에 별도 배터리가 필요없다는 점도 장점으로 꼽힌다. 별도 IC카드 대신 이러한 기능을 탑재한 신용카드도 속속 출시되는 중이다.
지난해부터 국내 12개 시중은행들이 도입했던 스마트OTP에 대해서는 스마트폰 시간을 조작해 미래에 생성될 OTP를 미리 알 수 있게 되는 취약점이 발견됐다는 의혹이 제기되기도 했다.
이와 관련 금융결제원 관계자는 "실제 서비스를 도입할 때는 스마트폰 시간을 변경하더라도 서버 시간과 맞지 않을 경우 OTP가 생성되지 않도록 (보안)체계를 갖춘 상태에서 출시됐다"고 밝혔다. 스마트폰과 통신하는 서버에서 OTP 생성을 요청한 시간에 기반한 일회용 핀(특정한 값)을 스마트폰에 보내고, 이를 기반으로 OTP가 생성돼 다시 서버에서 재검증하는 방법으로 이 같은 문제가 없도록 했다는 설명이다.
■AP와 유심칩을 공략하라
최근에는 기존 스마트OTP 방식과 달리 스마트폰에 내장된 애플리케이션프로세서(AP)를 활용해 별도의 안전한 공간(트러스트존)을 만들어 이곳에서 OTP를 생성해 전달하는 방식도 나왔다. 반도체 설계회사인 ARM이 고안한 트러스트존을 활용하는 대신 현재는 안드로이드폰에서만 이러한 서비스를 활용할 수 있다는 점이 한계로 꼽힌다.
AP 대신 이동통신사가 제공하는 유심칩에서 OTP를 생성하는 방식도 지난해부터 서비스되기 시작했다. 다만 아직까지 금융사, 이통사, 스마트폰 제조사들 간 금융서비스에 대한 헤게모니 싸움이 끝나지 않은 상황이라 활성화되지는 못하고 있는 실정이다.
폰OTP 서비스인 'TZ OTP'를 제공 중인 인터페이 김주섭 차장은 "사용자들 입장에서는 (추가인증수단을) 스마트폰 하나를 쓰냐, 아니면 별도 매체를 추가해 두 개를 쓰냐 그 차이"라고 설명했다.
■웨어러블 기기로 인증하자
가장 최근에는 스마트밴드, 스마트워치 등 웨어러블 기기를 스마트폰과 연동시켜 OTP생성기로 활용하자는 아이디어도 나왔다. 웨어러블 기기와 연동한 추가 인증수단을 개발 중인 김덕상 에잇바이트 대표는 "생체인증이 보급되기 시작했고, 스마트OTP의 경우 굳이 카드를 하나 더 들고 다녀야한다는 점에 대해 사용자들이 불편해 한다는 의견들을 들었다"며 "차라리 카드가 아니라 스마트밴드처럼 독특한 기기가 이러한 역할을 해주는 방식이 낫다고 본다"고 밝혔다.
금융결제원은 보안카드를 별도의 앱에 저장해 안전하게 사용할 수 있도록 하는 것을 목표로 하는 '스마트보안카드'를 서비스 중이다. 이 방식도 아직까지는 앱이 조작되거나 위변조될 수 있다는 위험이 있고, 별도로 앱을 설치해야한다는 번거로움 탓에 널리 보급되지는 못했다.
관련기사
- 삼성브라우저로 보는 생체인식의 미래2016.08.19
- 공인인증서2.0, 은행서 도입 시작했다2016.08.19
- 공인인증서 대체 솔루션, 증권업계로 확장2016.08.19
- 생체인증, 공인인증서 대체하나2016.08.19
IBK기업은행 핀테크기획팀 주정태 팀장은 "모바일뱅킹용 인증수단은 은행별로 어떻게 정책을 세우느냐에 따라 활용방식이 달라진다"며 "은행이 고민하는 부분 중 하나는 저가폰을 쓰는 경우도 많으니깐 이 부분도 고려해야한다는 점"이라고 밝혔다.
보안카드와 OTP가 생체인증으로 대체될 지 아니면 스마트폰 내에서 이러한 기능을 구현하는 방법으로 살아남을 지는 조금 더 시간이 지나야 판가름날 것으로 전망된다. 다만 관전포인트가 보안성과 편리함에 있다는 사실은 변함없다.