금보연, 금융사 스마트OTP 기술규격 2종 배포

컴퓨팅입력 :2015/03/10 18:19    수정: 2016/08/17 16:04

손경호 기자

금융보안연구원이 스마트폰과 IC카드(신용카드/체크카드)를 활용해 일회용 비밀번호(OTP)를 생성하는 '스마트OTP'와 관련 기술규격 2종을 각 금융 회원사에 배포했다고 10일 밝혔다.

스마트OTP는 신용카드, 체크카드 내에 내장된 IC칩의 보호모듈을 활용해 OTP를 생성한 뒤 스마트폰 애플리케이션(앱)을 통해서만 확인할 수 있도록 하는 기술이다. 이전까지 별도의 OTP 생성기를 구매해 휴대하고 다녀야하는 불편함을 줄였다는 점이 특징이다.

금융보안연구원이 발표한 기술규격 2종은 'OTP통합인증센터 기반 스마트OTP 연동 규격서', '스마트OTP 칩카드 규격서'다. 여기에는 각각 금융사가 스마트OTP 제품별로 OTP센터와의 연동성, 보안성을 검토하는데 활용될 예정이다.

규격서 내에는 최근 문제가 됐던 스마트OTP용 앱의 시간변조를 통해 미래에 발급될 OTP를 예측할 수 있도록 한 취약점을 제거하기 위한 방안도 담겼다.

계좌이체 등 전자금융 거래가 이뤄질 때 마다 변경되는 일회용 PIN을 사용하도록 권고한 것이다. 일회용 PIN은 OTP센터나 금융사의 인증서버와 연계된 시간정보를 이용해 생성되는 일종의 일회용 비밀번호다. 일회용 PIN을 확인한 뒤에만 OTP를 생성할 수 있도록 해 시간변조를 통한 OTP 외부 유출을 막겠다는 것이다.

관련기사

금융보안연구원은 금융사별 스마트OTP 제조업체의 제품도입이 확정될 경우 이르면 상반기부터 OTP통합인증센터를 통해 스마트OTP 기술을 서비스한다는 계획이다.

금융보안연구원 강우진 인증서비스 본부장은 스마트OTP는 최근 각광받는 핀테크에 적합한 인증기술일 뿐 아니라 보안카드를 대체해 전자금융 전반의 안전성을 한층 업그레이드 할 것으로 기대된다고 말했다.