인터넷뱅킹 1회용 비밀번호 생성기(OTP) 올 6월부터 사용 의무화

최근 개인 정보를 위협하는 해커의 공격이 더욱 매섭다. 가짜 금융사이트를 만들어 PC 사용자들의 개인 정보를 빼내는 ‘피싱’ 공격은 날로 지능적이다. 또 유명 온라인 게임 사용자들의 계정을 훔치기 위해 만든 바이러스의 기승은 끝날 줄을 모른다. 웹사이트에 로그인하는 것을 비롯해서 인터넷으로 돈을 주고받는 인터넷 뱅킹까지, 사이버 세상에서 일어나는 모든 일은 ‘나’를 인증하기 위한 증명을 요구한다.

아이디(ID)부터 실명, 비밀번호, 계좌번호 등 ‘나’를 증명해주고 인증해주는 번호들. 이 번호들을 노리는 위협이 많아지자 번호를 지키기 위한 방법도 다양하다. 이 가운데 올해 들어 가장 주목을 받는 것은 바로 일회용비밀번호생성(OTP)이다. 사이트에 로그인할 때마다, 인터넷 뱅킹을 이용할 때마다, 새로운 비밀번호를 만들어준다는 OTP. 아직은 생소한 이름의 이 서비스는 이제 곧 많은 사람이 필수적으로 사용해야 할 단계가 될 전망이다.

OTP가 뭐야 OTP는 앞서 말한 대로 매번 새로운 비밀번호를 생성하는 기기나 서비스를 말한다. 현재 PC 사용자가 인터넷 뱅킹을 사용하려면 자신의 계좌번호, 계좌 비밀번호, 공인인증서, 보안카드 비밀번호 등을 입력해야 한다. OTP를 사용하면 사용자는 OTP가 매번 새롭게 생성하는 비밀번호를 한 번 더 입력함으로써 안전한 인터넷 거래를 할 수 있다. 특히 ‘피싱’ 공격이 PC 사용자들의 개인 정보를 한꺼번에 탈취하는 일이 늘어나면서 OTP의 필요성이 더욱 부각하고 있다. 최근 발생한 ‘피싱 ‘ 공격 대부분은 계좌번호부터 보안카드 비밀번호까지 알아내 바로 피해자의 계좌에서 돈을 인출할 수 있을 만큼 정교하고 지능적으로 변하여 2단계 인증을 요구하는 목소리가 높아지고 있다. 바로 이 2단계 인증을 가능케 하는 것이 OTP다.

현재 OTP는 비밀번호를 생성하는 액정이 있는 이른바 ‘삐삐’ 형태로 제공된다. 제공업체에 따라 모양과 방법이 틀리지만 버튼을 누르면 새로운 비밀번호가 생기고 이를 PC에 입력해 로그인이나 인터넷 뱅킹을 사용할 수 있다. OTP는 흔히 시간동기화 방식과 이벤트동기화 방식으로 나뉘는데, 쉽게 얘기하면 시간동기화 방식은 일정 시간이 지날 때마다 새로운 비밀번호가 생기고 이벤트동기화 방식은 버튼을 누를 때마다 새로운 비밀번호가 생기는 것을 뜻한다. 정해진 범위 내에서 비밀번호를 입력하는 기존 보안카드에 비하면 다음 비밀번호를 유추할 수 없기 때문에 보안기능이 더욱 강화되는 것은 말할 것도 없다. 최근에는 하드웨어 형태의 OTP 생성기 외에 휴대전화로 OTP 생성 프로그램을 다운로드해 사용할 수 있는 서비스도 생겼다.

OTP, 꼭 사용해야 할까 OTP는 2단계 인증을 통해 더 안전한 인터넷 거래와 로그인을 할 수 있도록 돕기 때문에 인터넷 사용자에게는 필요한 솔루션이다. 그동안 OTP 사용은 의무가 아니었으나 금융감독원이 오는 6월부터 OTP 발생기가 없는 고객의 인터넷 뱅킹 이체 한도를 줄이겠다는 정책을 발표하면서 부분적으로 OTP 사용이 의무화될 예정이다. 금융감독원은 우선 OTP 발생기 사용 여부에 따라 인터넷 뱅킹 사용자의 등급을 3단계로 나누겠다고 밝혔다.

1등급은 OTP 발생기를 사용하거나 하드웨어 보안모듈 방식의 공인인증서와 보안카드를 함께 쓰는 사용자로 1일 이체 한도가 5억 원, 1회 이체 한도가 2억5000만 원이다. 2등급은 보안카드와 휴대폰 거래내역통보(SMS) 방식을 함께 쓰는 사용자로 1일 이체 한도는 2억5000만 원, 1회 이체한도는 1억 원으로 제한한다. 3등급은 보안카드만 사용하는 이용자로 1일 이체 한도는 5000만 원, 1회 이체 한도 역시 5000만 원을 넘지 못한다.

최근 전자금융 사고, 피싱 공격 등이 늘어나면서 은행들은 이를 해결하기 위해 더 강력한 보안수단을 강구하고 있고 이미 몇몇 은행은 OTP 사용을 의무화하기 위해 OTP 발생기를 고객에게 지급하는 등 이벤트도 펼치고 있다. 개인 정보의 보호는 강력한 보안정책과 보안 솔루션도 중요하나 무엇보다 자신의 정보를 보호하려는 개인의 의지와 인식이 가장 중요하다. 금전적 이익을 노리는 보안 위협이 강력해질수록 개인 정보를 보호하기 위한 노력도 매우 중요하다. 이에 전문가들은 2단계 인증으로 금전적 피해를 줄일 수 있는 OTP 발생기 사용을 권하고 있다.

OTP, 어디에 쓰나 현재 OTP 도입을 가장 활발하게 추진하고 있는 분야는 전자 거래가 많은 금융권이다. 금융보안연구원이 오는 6월 만드는 OTP통합인증센터에는 이미 50여 개가 넘는 금융업체들이 OTP 사용 의사를 밝혔다. 이처럼 금융권에서는 이미 OTP가 ‘반드시 사용해야 하는 보안수단’ 중 하나로 인식하고 있다. 금융권 외 활발하게 OTP 도입을 검토하고 있는 분야는 온라인 게임 분야다. 온라인 게임 계정의 가치가 높아지고 이를 탈취해 이익을 취하려는 공격자들이 늘어나자 게임업계는 사용자 계정을 안전하게 지키기 위한 방법으로 OTP를 선택하고 있다. NHN이 제공하는 한게임은 게이머들이 사이트에 로그인할 때마다 아이디, 비밀번호 외에 등록된 휴대전화로 새롭게 생기는 일회용 비밀번호를 추가로 입력해 서비스에 접속할 수 있는 서비스를 시작했다. ‘리니지’ 게임으로 유명한 엔씨소프트도 이미 사용자들에게 휴대전화로 OTP를 생성할 수 있는 서비스를 제공 한다.

지금은 주로 금전적 이익 탈취를 보호하기 위해 OTP가 사용되고 있으나 블로그, 미니홈피 등의 정보와 개인 자료에 대한 보호 요구가 높아지면 OTP 사용은 금융, 게임사이트 외 일반 커뮤니티, 포털 사이트로도 확대될 전망이다.

OTP, 사용자가 선택하자 이처럼 OTP 발생기는 앞으로 금융, 게임 등 인터넷 서비스를 이용할 때 필수요소가 될 듯하다. 따라서 OTP 업체들은 약 1000억 원에 이를 것으로 예상되는 이 시장 선점을 위해 더 차별화한 OTP 발생기와 서비스를 선보이기 위해 분주하다. 지금 보급되고 있는 대부분의 OTP 발생기는 ‘OTP 토큰’이라는 방식의 기기 형태다. 이 OTP 토큰은 크기가 커서 지갑에 넣을 수 없기 때문에 휴대하기가 불편하다는 점이 가장 큰 단점이다. 이에 업체들은 카드 형태의 OTP 등 더 휴대하기 편리한 OTP 발생기를 시장에 내놓고 있다. 앞으로 더 휴대하기 편리한 모양의 OTP 발생기를 출시할 예정이기 때문에 인터넷 뱅킹, 온라인 게임 사용자들은 OTP 발생기를 신중하게 선택하는 것이 좋다. 은행들은 OTP 사용의 부분 의무화를 앞두고 올해 초 고객들에게 OTP를 무료로 나눠주는 행사를 진행한 바 있다.

현재 OTP 발생기의 가격은 1만5000원 선으로 향후 OTP 시장의 경쟁이 과열되고 OTP 사용이 의무화되면 OTP 발생기의 가격이 좀 더 하락할 것이라는 예측도 나오고 있다. 이에 당장 1억 원 이상의 금액을 인터넷 뱅킹으로 이체할 일이 없는 사용자라면 OTP 발생기 구입을 좀 더 늦추는 것도 괜찮다고 전문가들은 충고한다. 또한 대부분의 OTP 발생기의 배터리 수명이 2년 수준이라 2년 후에는 다시 돈을 주고 OTP 발생기를 구입해야 할 수도 있다. 이 문제를 해결하기 위해 보안업체들이 배터리 수명을 2~3배 늘린 OTP 발생기를 개발 중이거나 시장에 내놓을 계획이어서 배터리 수명 문제를 따져보는 것도 중요하다.

함정선〈아이뉴스24 기자〉 mint@inews24.com