PC만 있으면 언제나 이용할 수 있는 편리성은 물론, 수수료가 저렴하고 다양한 서비스가 개발되면서 우리의 일상생활에 자리잡은 인터넷뱅킹. 한국은행에 따르면 지난 해 기준 인터넷뱅킹의 이용건수는 하루 평균 2,243만 건, 이용금액은 하루 평균 22조 원에 이를 만큼 보편화되었다.
그러나 최근 중국발 인터넷뱅킹 해킹 사태로 피해자가 속출하는 등 허술한 인터넷뱅킹 보안시스템이 사회문제화되고 있다. 특히 중국 해커들에 의해 바이러스와 악성코드에 감염되면 각 은행에서 제공하는 보안 프로그램을 설치하고, 공인인증서를 사용하더라도 해킹이 가능해 피해가 늘어나고 있다.
일반적으로 보안상 공인인증서를 USB 메모리 등의 이동식 매체에 저장하는 경우가 많은데 최근 중국발 해킹에서 이또한 자유롭지 못하다는 게 문제로 떠올랐다. 해커가 사전에 PC에 침입시킨 프로그램이 PC에 저장된 금융정보는 물론, USB 메모리에 저장된 공인인증서까지 빼내는 수법으로 발전하고 있어 공인인증서와 비밀번호까지 무용지물이 되었기 때문이다.
■ 인터넷뱅킹 해킹, 현실적인 대안은 OTP
이러한 보안문제의 현실적인 대안으로 떠오르는 것이 금융권에서는 ‘OTP(One Time Password : 일회용 비밀번호)’이다. 단말기에서 일회용 임시 패스워드를 받아 사용가능 시간 안에 고객이 직접 입력하는 방식으로 해킹피해를 줄일 수 있는 가장 현실적인 대안으로 여겨진다.
은행 등 금융권에서는 이미 단말기형(토큰형) OTP를 도입하고 있다. OTP는 로그인, 공인인증서 등 기존의 인증기능을 보완하여 매번 비밀번호을 다르게 생성하여 인증하기 때문에 보안성이 높기때문이다. 그러나 고액 거래(1회 1,000만원, 1일 최고 5,000만원)에만 사용이 의무화되어 있고, 별도로 OTP 단말기를 소지해야 하는 불편함과 함께 은행 등에서 유료로 발급받아야 하는 등의 번거로움 때문에 대중화 되지 못하고 있는 상황이다.
■ 게임업계 모바일OTP로 보안성 강화
아직까지 금융권으로 확대되지는 못했지만, 금융권 이상으로 해킹피해가 심한 게임업계의 보안강화 사례를 보면 그 대안을 찾을 수 있다. 국내 주요 게임업체들은 이미 항상 들고 다니는 휴대폰에서 일회용 비밀번호를 생성하는 모바일 일회용 비밀번호 서비스인 ‘MOTP(Mobile One Time Password, 이하 MOTP)' 서비스를 도입하고 있다.
이용자에게 무료로 제공되는 ‘MOTP’ 시스템을 통해 게임 사용자들은 접속 시마다 해당 계정 및 비밀번호 외에 등록된 휴대폰 단말기를 통해 전송되는 일회용 비밀번호(8자리)를 추가로 기입해 게임을 할 수 있는데 아이디나 비밀번호 등이 유출되더라도 MOTP를 통해 사용자 인증이 강화되어 해킹 피해를 거의 100% 방지할 수 있다.
프로그램을 휴대폰에 다운받아서 사용할 수 있는 MOTP는 기존의 단말기형(토큰형) OTP가 가지고 있는 단점을 보완할 수 있다. OTP 소프트웨어를 탑재한 휴대폰만 있으면 사용자 인증이 가능하며, 높은 편리성과 보안성을 갖추고 있다.
MOTP는 지난 2006년 공개키기반(PKI) 솔루션 업체인 이니텍에서 국내 최초로 개발되었고, 휴대폰 결제 전문기업인 모빌리언스에서도 서비스를 하고 있다. 엔씨소프트, 예당온라인, 조이맥스, 네오플, KTH, 제이씨엔터테인먼트, 위메이드엔터테인먼트 등 국내 9개 주요 온라인게임 업체들이 이를 도입하고 있으며, 한미약품과 같이 일반기업들도 인트라넷 인증을 위해 도입하고 있다. 해외에서는 미국과 일본에서 MOTP가 부분적으로 서비스되고 있으나, 현재는 국내에서 가장 활성화되어 있다.
■ 금융권 등에도 MOTP가 도입되어야
지난 해부터 MOTP사업을 본격화하기 시작한 이니텍과 모빌리언스는 관련 사업을 강화하여 약 50만 명의 MOTP 동시 사용자를 이미 확보하고 있으며, 최근 금융권에 MOTP 도입과 관련한 제안을 검토 중에 있다.
모빌리언스 관계자는 “기존 단말기형(토큰형) OTP의 경우 초기 도입비용 및 배포비용과 더불어 이용자에게 유료 발급이라는 부담을 줄 수 있다는 단점 외에도 3년 주기로 배터리를 교체하기 위해 새로 단말기를 발급받아야 하는 등의 불편함이 많다”면서 “이에 반해 MOTP는 기존 OTP와 동일한 보안성과 함께 휴대의 편리성, 그리고 반영구적 사용이라는 장점을 갖추고 있어 금융권이 도입할 경우 도입비용이 줄어드는 것은 물론, 다운로드형이라 배포가 쉽고, 초기 다운로드 비용 외에 별도의 비용이 들지 않아 이용자에게도 부담이 없다”고 밝혔다.
MOTP는 매번 다른 비밀번호로 사용자를 인증하며, 별도의 휴대장치 없이 대부분의 국내 이통 3사 휴대폰을 지원하고, URL SMS를 통하여 자신의 휴대폰에 VM(버추얼머신) 다운로드와 간편한 등록만으로 사용이 가능한 편리성 이외에 하나의 OTP프로그램으로 여러 업체의 인증서비스에 적용할 수 있는 범용성까지 갖추고 있다.
단 무선인터넷 사용이 불가는한 논위피폰이나 스마트폰 등 특정폰은 MOTP를 이용할 수 없다. 스마트폰의 경우에는 보안상의 문제로 서비스 차단을 해놓았지만 최근 스마트폰 보급이 점차 늘어나면서 보안강화 후 서비스를 내놓을 전망이다.
관련기사
- 다음, OTP 탑재 툴바 출시2009.03.05
- 인터넷 뱅킹 OTP, 모르고 받으면「손해」2009.03.05
- 금융권 OTP 도입 의무화「OTP 토큰 VS OTP 카드」2009.03.05
- 삼성 파운드리 웨이퍼 결함 논란…'사고'로 봐야할까2024.06.26
지난 해 말 기준 국내 인터넷뱅킹 고객은 중복가입을 포함하여 총 5,260만명에 이르고 있지만, 은행 등 금융권에서 발급하는 OTP 이용자는 약 400만 명 정도에 불과해 보급률이 낮은 편이다.
모빌리언스 김중태 대표는 “아직까지 MOTP를 본격적으로 도입한 금융권은 없는 것이 현실”이라면서 “이미 게임업계에서 보안성과 편리성으로 성공사례를 거둔 MOTP를 금융권에서 적극적으로 도입하여 OTP 사용이 활성화된다면 보안성이 강화되어 해킹 피해가 줄어들 것이다”고 말했다.
