인터넷뱅킹 시 사용하는 보안카드는 저렴하지만 외부 유출 위협이 있고, OTP는 보안성이 높지만 별도의 단말을 소지하고 있어야 해 불편하고 단말 가격이 비싸다. 또한 메모리해킹으로 OTP 번호를 탈취해 거래내역을 위변조하는 공격도 성행하고 있어 OTP 역시 안전하다고 하기 어렵다.
메모리해킹으로부터 거래를 보호하기 위해 거래연동 OTP가 제안되지만, 거래연동 OTP는 단말 가격이 비싸고 OTP에 계좌번호와 거래금액 등을 입력해야 해 사용이 불편하다.
OTP와 보안카드의 문제를 해결하는 방법으로 ‘비주얼크립토’가 제안된다. 시각화된 암호화 기술을 이용해 인증 번호를 발급하는 이 기술은 1990년대부터 소개돼왔으며, 해외에서는 보안카드, 디지털 워터마킹, 강력한 출입통제 시스템, 주류·명품 등의 진품 감별 등의 분야에 응용기술로 사용돼왔다.
비주얼크립토는 복잡한 점과 선으로 채워진 카드 두장을 서로 맞대면 그 안에 숨어있는 숫자, 문자를 보여주는 방법으로, 사용자가 가진 2개의 매체를 이용하는 강력인증 방식이지만, 고정된 인증번호를 보여주기 때문에 인증번호가 노출되면 사용할 수 없다는 문제가 있다.
비주얼크립토가 가진 이 문제는 인증을 수행하는 두 장의 카드 중 한장에서 일회용 비밀번호가 발급되는 방식으로 풀 수 있다. 비주얼크립토에 OTP를 적용하는 방식이다. 은행거래의 예를 들어본다면, 보안카드/OPT 번호를 입력하는 단계에서, 암호화된 점과 선에 일회용 비밀번호를 감춰놓고, 뷰어 기능을 하는 카드를 갖다 대면 인증번호가 나타나는 방식이다.
인증번호 뿐 아니라 계좌번호, 이체금액, 수신인 이름 등 거래내역을 함께 표시해 거래연동OTP와 같은 기능도 할 수 있다.
투비스마트가 출시한 ‘패스잇VC(PassitVC)’가 이러한 기능을 가진 보안매체로, 보안카드만큼 저렴한 가격으로 거래연동OTP의 높은 보안성을 보장할 수 있다.
김광 투비스마트 대표는 “기존의 암호화 기술을 사용한 인증 방식은 암호화 연산에 필요한 하드웨어 리소스가 필요하기 때문에 단말 가격이 비싸고 시간이 소요된다는 문제가 있다. 비주얼크립토는 연산작업이 없이 암호화된 이미지를 서로 맞대면 인증번호가 보여지기 때문에 빠르게 인증이 가능하다”고 말했다.
김 대표는 “다양한 국제 논문을 통해 비주얼크립토가 OTP보다 보안성이 더 높다는 사실이 입증됐다”고 강조하며 “복제가 쉽지 않도록 인쇄된 패스워드 발생기를 이용해 보안성이 높으며 다양한 거래정보를 확인할 수 있다”고 말했다.
패스잇VC는 보안카드와 같은 카드형식이나 스마트폰 앱으로 발급 가능하다. 또한 투비스마트는 FIDO 인증을 획득하고 생체인식 기술과 패스잇VC를 접목해 보다 안전한 인증환경을 만들 수 있도록 준비를 완료했다.
김 대표는 “전자금융법 개편으로 보안카드·OPT 의무화가 사라진 후 다양한 인증수단을 검토하고 있는 금융기관에서 패스잇VC에도 많은 관심을 표하고 있다”며 “해외 금융기관에서도 보안카드 외에 다른 인증 수단을 검토하고 있어 해외시장 진출 기획도 적극적으로 만들어 볼 것”이라고 말했다.
