금융감독원이 내년 4월부터 일정액 이상 거래시 OTP사용을 의무화하도록 하는 「전자거래 안정성 강화 종합 대책」을 발표했다. 금융권 OTP 도입이 급물살을 탈 것으로 기대되는 가운데 이 시장을 공략키 위한 보안 업체들의 행보가 주목된다.
2007년 금융권 일회용 비밀번호 솔루션인 OTP(One Time Password) 도입이 의무화된다. 때문에 금융권에서는 일반 소비자들이 사용하던 암호 카드를 일정 거래 금액 이상 사용하는 고객에게 OTP토큰 및 카드로 변경해 제공토록 됐다. 신한은행을 선두로 OTP 토큰을 사용자들에게 제공하고 있으며 선두 은행을 시작으로 OTP 도입은 점차 확산될 것으로 전망된다.
이러한 상황에서 16일 NI(Network Integration) 기업인 인네트는 미국의 인카드사를 통해 국내 사용자인증 보안 시장에 본격 진출하기 위한 새로운 사업 전략을 발표했다.
인네트는 지난 9월 미국 시큐어컴퓨팅과의 제휴를 통해 OTP토큰을 국내에 출시했고 토큰보다 한 단계 용이성과 사용자 편의성이 증가된 OTP카드를 국내에 선보이게 됐다.
국내에서 OTP카드를 선보이는 것은 이번이 처음이다. OTP토큰을 제공하는 업체들은 RSA 시큐리티의 제품을 국내에 공급하는 에스넷시스템, 시큐어컴퓨팅 솔루션을 국내 공급하는 소프트포럼, 퓨처시스템, 인네트, 그리고 바스코 제품을 국내 공급하는 OTP 멀티솔루션 등이 있다.
OTP카드가 국내서 처음으로 선보임에 따라 OTP토큰과 OTP카드는 경쟁하지 않을 수 밖에 없는 상황에 이르게 돼 금융권 OTP 도입이 의무화되는 시점인 내년 4월까지 업체들간의 레퍼런스 확보 경쟁이 치열해 질 것으로 전망되고 있다.
「OTP토큰-카드 장단점 있어」금융권 선택 관건
OTP 카드는 OTP토큰보다 가격적인 면에서 불리한 점이 있다. 하지만 OTP토큰은 카드보다 휴대하기 불편해 고객들이 외출이나 출장 중에 가지고 나오는 것을 잊어버리거나 분실할 수 있는 문제가 있다.
인네트 솔루션 세일즈 김상환 부장은 OTP는 사람과 얼마나 가까이 있는가의 문제가 도출된다. OTP토큰의 경우 집에 놓고 왔을 때 다시 집으로 가야 하는 등 손실이 높다고 전했다.
사용자 입장에서는 휴대의 편리성이 따르고 금융 기업들의 입장에서는 카드 배송 시의 편리함과 교체 주기시 토큰을 다시 수거해야 하는 불편함, 이로 인한 비용 문제를 해결할 수 있다는 것이 인네트의 설명이다.
또한 카드의 경우 일반 은행의 신용카드처럼 카드에 이미지를 삽입하는 등의 방법을 통해 마케팅으로 활용할 수 있다. OTP토큰의 경우 전면 10~20% 정도를 마케팅에 활용할 수 있는 반면 OTP카드는 60~70% 까지 마케팅과 광고로 활용될 수 있다.
반면 OTP토큰 업체들은 OTP카드가 사용자의 편의성에 장점이 있을지는 몰라도 가장 중요한 것은 보안 기능이라는 점을 강조했다. 특히 오픈소스 베이스로 접근해 서버를 구축하고 기술을 접목시킨 카드의 경우 더욱 보안에 취약할 수 있다는 것.
「이벤트 방식 VS 타임 방식」선택도 관건
또한 버튼을 눌러 새로운 번호를 계속 생성해 내는 이벤트 방식의 카드는 일정시간(약 1분~2분)마다 번호가 바뀌어 생성되는 타임 방식 카드보다 피싱 공격에 노출될 확률이 더 높다는 일부 지적도 있으나 오히려 타임 방식이 보안에 취약하다는 의견도 있다.
이러한 연유로 OTP 솔루션 업체인 바스코는 타임 방식의 OTP 카드를 개발 중인 것으로 알려졌다.
RSA시큐리티의 국내 공급 업체인 에스넷시스템 한지훈 과장은 금융권에서 OTP 도입 전에 신경써야 할 것은 사용자의 편의성보다 보안과 인증 문제라며 카드의 경우 아직 적용된 사례가 없어 은행이 먼저 카드 도입을 쉽게 결정 내리지는 못할 것이라고 전했다.
하나은행 e-비즈니스팀 이주용 차장은 OTP카드에 대해 휴대성이 높다는 장점을 고려하고 있으나 배터리 수명이 토큰과 비교해 얼마나 될 것인지, 내구성은 얼마나 될 것인지 고려해야 할 것으로 보인다며 카드의 경우 아직 적용된 사례가 없어 선뜻 도입하기는 어려울 것 같다고 전했다. @