고정 비밀번호 단점 보완 … 금융권 대규모 수요 기대

고정된 비밀번호를 사용하는 것과 달리 매번 새로운 비밀번호를 통해 사용자를 인증하는 OTP(One Time Password) 솔루션이 최근 주목받고 있다. 인터넷 뱅킹의 취약점을 보완하기 위해 기존 보안카드를 OTP로 대처하기 위한 움직임이 금융권 등에서 가시화되며 금융권을 비롯한 일반 기업 등에서도 OTP 솔루션에 대한 관심이 증폭되고 있는 것.
하지만 아직 OTP 솔루션을 범용화시킬 기반이 될 금융감독원의 통합인증센터 건립은 지지부진한 상태고 기업, 공공 등은 아직 OTP 솔루션의 장점과 활용도에 대해 무지한 상태다. 그러나 그간 경계 보안에만 힘써왔던 기업 보안에 있어 사용자 인증은 보안을 강화시킬 수 있는 가장 기본이자 최선의 보안책이라는 평가다. OTP 솔루션이란 무엇인지 어떻게 어떤 분야에서 활용가능한지 OTP 솔루션의 이모저모를 살펴본다. <편집자>

제 1부 OTP 솔루션 시장 현황 130 쪽
제 2부 OTP 솔루션 기술 동향 139 쪽

제 1 부 OTP 솔루션 시장 현황

시간동기화·질의응답·이벤트동기화 방식 등 대립 … 출혈·과당 경쟁 우려

최근 고도화되는 해킹, 패스워드 유출 위험 증가 등으로 인해 개인 정보보호의 기본이라 할 수 있는 아이디, 패스워드가 노출될 위험이 커지고 있다. 키로거, 스니퍼, 피싱 등은 물론 CCTV 촬영과 같은 물리적인 방법에 이르기까지 패스워드가 발각될 위험은 다각도로 존재하고 있다. 보안을 위해 방화벽, IDS, IPS 등 온갖 네트워크 보안 제품으로 성벽을 쌓는다해도 아이디, 패스워드가 들통나면 열쇠를 내주는 것과 마찬가지일 것이다. 특히 최근 늘어나고 있는 인터넷뱅킹과 같은 온라인 금융에 있어서 패스워드의 중요성은 아무리 강조해도 지나치지 않는다.
하지만 아이디, 패스워드는 그간 소흘히 취급돼오며 사용자 인증에 대한 적절한 보안 방법을 갖춰놓는데 무심했던 것이 사실. 이에 사용자 인증을 위한 여러 방법 중 비교적 손쉽고 저렴하게 활용할 수 있는 OTP(One Time Password) 솔루션에 대한 관심이 늘어나고 있다. OTP 솔루션 관련 업체들의 사업 현황과 향후 전망 등을 통해 안전한 보안 관리를 위한 방법을 모색해 보자.
장윤정 기자·linda@datanet.co.kr

IT가 발달할수록 정보시스템에 의존하는 비율이 늘어나고 있다. 오프라인에서 온라인으로 비즈니스의 형태가 바뀌어감은 물론 이동형 기기의 발달로 언제 어디서나 회사의 인트라넷에 접속, 업무를 수행할 수 있는 유비쿼터스 사무 형태가 일반화되고 있다.
하지만 과연 인가된 사용자만이 기업의 원격 연결 서비스에 접속했는지, 온라인 거래를 수행한 주체가 내가 거래하고자 하는 당사자가 맞는지 어떻게 확신할 수 있을까? 흔히 사용하는 아이디, 패스워드는 보통 쉽게 연상할 수 있는 본인과 관련된 것들로 선정함으로써 간단한 해킹툴만 활용하면 어렵지 않게 아이디, 패스워드를 찾아낼 수 있다.
인터넷뱅킹에서 사용하는 인증서와 보안카드 역시 마찬가지다. PC에 해킹 프로그램이 설치된 경우 보안 카드를 소지하고 있지 않더라도 보안카드의 비밀번호 값을 훔쳐낼 수 있기에 인터넷뱅킹의 안전성을 100% 신뢰할 수 없다.
그렇다면 올바른 사용자를 쉽고 안전하게 인증할 수 있게 하는 방법은 없을까? 이에 대한 해답으로 제시되고 있는 것이 바로 OTP 솔루션이다. OTP 솔루션을 사용해 매번 바뀌는 비밀번호를 인증함으로써 인가된 사용자만을 허용, 안전한 접속을 보장한다.

OTP솔루션이란
사용자를 인증하는 방법에는 크게 세 가지가 있다. 알고 있는 것을 확인하는 방법(what you know), 가지고 있는 것을 확인하는 방법(what you have), 마지막으로 사용자 자신을 확인하는 방법(what you are)이 있다. 이 중 두 가지 방법을 조합해서 사용하는 방식을 두 요소 인증(two-factor authentication)이라고 하며, 강력한 사용자 인증이 필요한 애플리케이션의 경우 두 요소 인증 방법을 적용해야 한다.
가령 인터넷 뱅킹 서비스의 경우, 계좌비밀번호를 알고 있어야 하며(what you know 요소), PC 또는 USB에 보관된 인증서와 지갑에 보관된 보안카드를 가지고 있어야 하므로(what you have 요소), 두 요소 인증을 사용하고 있는 것이다. 하지만, 얼마전 일어난 인터넷 뱅킹 사고 사례에서 알 수 있듯이 PC에 해킹 프로그램이 설치된 경우, 보안카드를 소지하고 있지 않더라도 보안카드의 비밀번호 값을 훔쳐낼 수 있기 때문에 안전한 두 요소 인증이라고 볼 수는 없다.
보안카드가 왜 안전하지 않은지 좀 더 자세히 살펴보자. 보안카드는 보통 35개의 비밀번호로 구성돼 있고, 각 비밀번호에 대한 번호가 붙어있다. 그리고, 인터넷 뱅킹 시 ‘24번 비밀번호’와 같이 보안카드 내의 특정 번호에 해당하는 비밀번호를 요구한다. 사용자 PC에 설치된 해킹 프로그램은 인터넷뱅킹 과정을 주시하고 있다가 보안카드 비밀번호 입력을 기록해둔다(예: 24번 비밀번호는 3567, 15번 비밀번호는 9876 등). 그리고 자신의 인터넷 뱅킹에 접속해 자신이 알고 있는 번호(24번 혹은 15번)의 안전카드 비밀번호를 물어볼 때까지 계속해서 시도를 하는 것이다. 즉, 사용자의 보안카드의 경우 35개의 정해진 비밀번호로 구성이 되기 때문에 인터넷뱅킹 과정에서 한 번 훔쳐내면 다시 같은 비밀번호로 공격을 하는 것이 가능하기 때문이다.
이런 공격을 막기 위해서는 비밀번호의 개수를 굉장히 많이 늘리거나 매번 바뀌는 비밀번호를 생성해야 한다. 여기서, 매번 바뀌는 비밀번호를 생성하는 방법이 바로 OTP다.
OTP는 One Time Password의 약자로써, 이름 그대로 매번 다른 비밀번호를 통해 사용자를 인증하는 방법을 말한다. 좀 더 기술적인 표현으로는 현재의 비밀번호로부터 다음의 비밀번호를 유추하는 것이 굉장히 어려운 비밀번호 생성방법으로 정의할 수 있다. 거의 모든 OTP 생성 알고리즘은 일방향 함수(출력으로부터 입력을 유추할 수 없는 함수, 해쉬함수라고 함)에 기반을 두고 있다.
OTP 알고리즘은 질의응답 방식(Challenge-Response), 시간동기화(Time-Synchronous) 방식, 이벤트 동기화(Event-Synchronous) 방식, 조합방식 등의 네 가지 방식으로 나눌 수 있다. 질의응답 방식에서는, 사용자가 서버가 제시한 질의값을 알고리즘에 입력해 응답값을 얻고 해당 응답값으로 자신을 인증하게 된다. 앞서 설명한 보안카드가 바로 질의응답 방식이다. ‘15번 비밀번호를 입력하세요’의 질문에서 ‘15’라는 숫자가 질의값이며, 이에 해당하는 응답값은 안전카드의 15번에 해당하는 네 자리 비밀번호가 된다. 실제로 운용되는 OTP 장치는 보통 6자리 질의값과 6자리 응답값을 사용한다. 질의응답 방식의 경우 사용자가 질의값을 입력해야 하고, 그 결과로 얻은 응답값 또한 입력해야 하므로 사용자의 입력내용이 많아서 불편하다.
이와는 달리 시간동기화 방식에서는 서버와 OTP 장치 간에 동기화된 시간 정보를 기준으로 특정 시간 간격(보통 1분)마다 변하는 비밀번호를 생성한다. 따라서, 사용자는 질의값을 확인/입력할 필요가 없다. RSA의 ‘시큐어아이디(SecureID)’, 바스코의 ‘디기패스(Digipass)’ 등 많은 OTP 장치가 바로 이 방식을 사용하고 있다. 하지만, 이 방식의 경우 특정 시간 간격마다 비밀번호가 변하기 때문에, 입력 중에 비밀번호가 변할 수 있다. 그렇다고, 시간 간격을 너무 길게 잡으면 공격의 가능성이 커지게 되는 단점을 가지고 있다. 또한 잘못 입력하면 다시 생성될 때까지 기다려야 한다.
이벤트 동기화 방식은 서버와 OTP 장치가 동일한 카운트 값을 기준으로 비밀번호를 생성하는 방식이다. 즉, OTP 알고리즘을 사용하며, 비밀번호를 얻은 후에는 카운트 값을 증가시켜서 저장해두었다가 다음 번에 알고리즘의 입력으로 사용한다. 이 방식의 경우 다시 생성을 요청하지 않으면 비밀번호가 변하지 않기 때문에 사용자의 편의성 측면에서는 시간 동기화 방식에 비해 낫지만, OTP 장치에서 여러 번 비밀번호만 생성하고 사용하지 않으면, OTP 장치와 서버 간의 카운트가 불일치돼 OTP 장치를 다시 초기화해야하는 단점을 가지고 있다.
시간동기화와 이벤트 방식의 단점을 보완하기 위해서 이들 두 가지 방식을 조합한 알고리즘도 있다. 즉, OTP 알고리즘의 입력으로 시간, 카운트 값을 모두 사용하는 것이다. 특정 시간 간격마다 비밀번호가 다시 생성되며, 같은 시간 간격 내에서 재시도 시에는 카운트 값을 증가시켜서 비밀번호가 변하도록 하는 방법이다. 이렇게 함으로써, 같은 시간 간격내에서도 여러 번 시도할 수 있는 장점이 생기며, 같은 시간 간격내에서도 카운트값에 따라 다른 비밀번호가 생성되므로 안전성 또한 높아지게 된다.

금융권 도입 ‘활발’
이렇게 다양한 OTP 솔루션의 방법들이 있지만 이중 시간 동기 방식의 제품이 가장 흔하며 국내 금융감독원이 도입코자 하는 방법도 시간 동기 방식이다. 얼마전 이벤트 동기화 방식을 사용하던 미국 시티은행에서 맨 인 더 미들(Man-in-the-middle) 기법으로 시티은행과 같은 가짜 페이지를 만들어 고객이 가짜 페이지에 입력한 OTP 값을 탈취한 일종의 피싱 공격이 일어났다. 이에 이벤트 동기화 방식보다 시간에 따라 바뀌는 시간동기 방식이 보다 안전하리라는 판단 아래 국내에서는 시간동기 방식의 제품을 도입하려는 움직임이 일어나고 있다. 아직 정확한 표준은 정해지지 않았지만 금감원에서 고려중인 OTP의 형태는 하드웨어 토근 형태의 시간동기 방식 솔루션일 가능성이 유력하다.
RSA시큐리티, 바스코 등의 외국업체는 물론 미래테크놀로지, 인터넷시큐리티 등의 국내업체들도 시간동기 OTP 솔루션을 생산, 공급하고 있다. 글로벌 OTP 솔루션 업체인 시큐어컴퓨팅도 현재는 이벤트 방식의 OTP지만 한국 고객들의 요구에 따라 조만간 시간동기 방식의 OTP 솔루션도 공급할 방침이라고 밝힌 상태다.
그러나 시간동기 방식이 반드시 이벤트 방식 등보다 우월하다고 단정지을 수는 없다. 시간동기 방식도 정해진 시간안에는 같은 패스워드를 발생해내기 때문에 해커가 빠른 시간내에 해킹을 시도, 그 시간안에 같은 패스워드로 공격을 시도한다면 뚫릴 수 있다는 것. 또 시간동기 방식은 지속적으로 켜져 있기 때문에 밧데리 소모량이 많아 새로운 OTP로 교체해야하는 시기가 짧아 투자비가 많이 든다는 단점이 있다. 하지만 국내 사용자들의 요구가 시간동기 방식이 대세를 이룸에 따라 당분간 시간동기 방식의 OTP 솔루션 출시 및 도입이 줄을 이을 전망이다.
국내 OTP 솔루션의 가장 큰 수요처는 금융권이다. 금융감독원은 전자상거래의 안정성을 강화하기 위해 지난해 9월부터 일회용 비밀번호 생성기를 올해 연말까지 도입토록 계획하고 있다.
금융감독원 총괄조정국 복합금융감독실 IT감독팀 김인석 팀장은 “OTP 솔루션을 도입해 보안카드를 OTP로 전환할 예정”이라며 “하나의 OTP 생성기로 은행, 증권, 보험 등 다수의 금융기관과 거래가 가능하도록 통합인증체계를 구축해 사용자 편의성을 제고하고 중복투자를 방지할 것”이라고 밝혔다. 또 김 팀장은 “통합인증센터에 대한 인가신청을 진행중이나 건립 시기는 정확히 밝힐 수 없다. 조만간 시행할 예정”이라고 덧붙였다.
현재 OTP 솔루션은 각 은행들마다 자체적으로 도입, 기업 고객 등에게 일부 사용토록 하고 있다. 하지만 통합인증센터가 건립되면 5천만원 이상의 인터넷뱅킹 거래 이용 고객에게는 의무적으로 OTP 솔루션을 쓰도록 할 방침이며 적용대상을 점진적으로 늘려갈 계획이다. 따라서 금융권에 잠재된 수요를 기대하며 관련 업체들은 지난해부터 치열한 경쟁을 펼쳐오고 있다. 하지만 통합인증센터가 구축되면 A은행에서 OTP를 받거나 구입할 경우 B은행에서도 사용가능한데 이런 경우 형평성의 문제, 통합인증센터 수립의 투자비를 어떻게 부담할 것인지 등 여러 논의사항에 밀려 은행간 합의가 이뤄지지 못한채 OTP 솔루션 도입이 미뤄지고 있다.
업계의 한 관계자는 “올해 및 내년도 금융권의 대형 레퍼런스를 만드는 것이 거의 모든 OTP 솔루션 업체들의 공통된 목표일 것”이라며 “금융시장 선점을 위해 시장이 미처 형성되기도 전에 가격 경쟁에 돌입, 시장 규모에 비해 많은 솔루션과 벤더가 난립하고 있어 향후 출혈 경쟁이 우려된다”고 밝혔다.

기업시장, 점진적 성장 ‘기대’
이렇게 출혈경쟁이 예고되고 있는 금융권 OTP 솔루션 시장 경쟁에 비해 기업 고객쪽은 상대적으로 조용한 편이다. 우선 수요가 눈에 보이는 금융권 시장에 관련 업체들이 올인하고 있기 때문이다. 하지만 관련 전문가들은 장기적으로 기업 고객들에게 눈을 돌려야한다고 조언한다.
시큐어컴퓨팅 이상호 지사장은 “국내에서는 아직 판매가 미약하지만 해외에서는 OTP가 가장 많이 활성화되고 팔리는 부분이 SSL VPN의 2차 인증”이라며 “금융권을 통해 OTP의 효용성을 널리 알리고 입증된 가치로 인해 기업 시장으로 전환, 장기적으로 진정한 수익은 기업 시장에서 나올 것”이라고 언급했다.
그간 OTP 솔루션이 국내에서 많이 활성화되지 못했던 이유로 관련 전문가들은 PKI 솔루션 등의 전자서명 솔루션이 널리 쓰였고 생체인식, 스마트카드 등 OTP 외에도 사용자 인증에 쓸 수 있는 솔루션들이 많았기 때문이라고 전한다. 그러나 스마트카드는 반드시 리더기가 필요해 투자비와 사용에 불편함이 있고 생체인식은 비용이 비싸다. 이에 비해 OTP는 저렴한 가격에 손쉽게 쓸 수 있어 아이디, 패스워드외의 2차 인증 솔루션으로 적합하다는 것.
한국산업기술진흥협회의 조사에 의하면 기업은 1년 평균 3~4회 패스워드 변경으로 많은 시간 소비와 변경시마다 1만원~3만7천원 가량의 비용낭비를 초래한다. 또한 규모별로 대기업 24.5%, 중소기업 20.6%, 벤처기업 19.3%가 기밀유출에 대한 경험이 있으며 특히 연구개발투자 상위 20대 기업의 경우 11개사(55%)가 기밀유출의 피해를 입은 경험이 있다.
이렇게 기업의 해킹에 대한 피해사례가 늘어나고 있는데 반해 이를 보완할 적절한 솔루션이 부재하다. 그간 기업은 방화벽, IDS, IPS, 바이러스 월 등 기업의 경계를 보완하기 위한 네트워크 보안 제품에는 수많은 투자를 해왔다. 하지만 아이디, 패스워드가 노출되면 아무리 많은 네트워크 보안 제품을 갖췄다하더라도 열쇠를 내주는 것과 마찬가지로 간단히 뚫릴 수 있다. 따라서 사용자 인증을 보완할 적절한 솔루션이 필요하며 현재 가장 비용 효율적이고 오랜 시간 입증된, 손쉽게 쓸 수 있는 솔루션으로 OTP가 적합하다는 지적이다.
시큐어컴퓨팅, RSA, 바스코 등 글로벌 OTP 솔루션 업체들은 방화벽, VPN 등 각종 보안 장비들과 OTP 솔루션을 연동, 시스코, 주니퍼 등과 같은 네트워크 보안 벤더들과의 호환성 테스트를 추진하고 있다. 대표적인 OTP와 네트워크 보안 제품과의 활용사례가 SSL VPN의 2차 인증솔루션으로 OTP가 활용되는 경우다.
SSL VPN은 웹 브라우저의 아이디, 패스워드만으로 원격에서 접속이 가능하기 때문에 인증된 사용자가 인트라넷으로 접속했는지 확신할 수 없는 경우가 많다. 이에 두 요소 인증의 방법으로 아이디, 패스워드에 추가해 OTP 패스워드를 입력하게 함으로써 보다 안전한 사용자 인증을 수행할 수 있다. 이처럼 OTP 솔루션은 고정 패스워드의 위험 요소를 원천적으로 제거하고 기업 보안의 가장 큰 이슈인 네트워크 보안 실현, 원격접속 서비스의 안전한 접근가능으로 생산성 향상 그리고 해킹 공격으로부터의 보호받을 수 있다. 또 적은 비용으로 인력 충원 없이도 단 시간내에 강력한 보안기능 개선, 직원들의 컴퓨터 데이터뿐만 아니라 데스크톱, 노트북 등에 대한 접근을 보호하는 등 여러 다양한 이점들이 있다.
또 금융권에서는 모바일뱅킹 등에 활용하기 어려워 도입을 꺼리지만 간편하게 인증할 수 있는 모바일 OTP 등도 출시돼 현재 국내 게임사 등에서 활용중인 것처럼 기업 고객들에게 휴대폰을 활용한 OTP 솔루션을 손쉽게 활용토록 할 수도 있다. 또 토큰이 없는 형태의 OTP로 아이디, 패스워드를 보완하면서 휴대성과 편리성을 강화해서 SSL VPN 등의 2차 인증에 사용할 수도 있다. 나아가 OTP 솔루션의 형태를 변형해 카드타입이나 핸드폰 열쇠고리 형태로 변형해 근태관리가 가능한 사원증, 출입통제, 버스카드, 신용카드 등 다기능을 넣으려고 각 벤더마다 시도중이다. 이에 따라 OTP 솔루션은 개인과 기업, 금융 등 사회 전반에서 본연의 기능인 보안에 더해 다각도로 활용될 전망이다.
관련 전문가들은 국내외 다수의 OTP 솔루션 업체들이 경쟁하고 있지만 OTP 솔루션의 성패는 가격과 휴대성이 좌우할 것이라고 입을 모은다. 앞서 언급한 카드형 OTP도 휴대성을 강화하려는 차원에서 벤더들이 차기 솔루션으로 구상하고 있는 형태다.

‘가격, 휴대성’ 관건
미래테크놀로지 IT솔루션사업부 김수용 과장은 “다양한 OTP 솔루션들이 경쟁하고 있지만 경쟁사보다 얼마나 휴대성을 강화하면서 단가를 낮춘 제품을 내놓느냐가 관건일 것”이라며 “각 업체들마다 보다 휴대하기 편리하게 만들면서 공급 가격을 낮추려고 시도하고 있어 내년경이면 고객들의 입맛에 맞는 솔루션들이 속속 출시될 전망”이라고 언급했다.
현재 시중에 유통되고 있는 OTP 솔루션은 LCD창이 USB 저장장치 크기 만한, 보통 USB 저장장치의 약 2배 이상되는 하드웨어 타입이 많다. 따라서 현재 크기를 반으로 줄여 USB 정도의 크기로 만든 신제품을 출시해 핸드폰, 열쇠고리 등으로 갖고 다니기 편리하게 할 방침이다. 특히 휴대하기 간편한 카드타입의 OTP를 누가 먼저 출시하느냐에 업계의 이목이 쏠리고 있다.
RSA, 시큐어컴퓨팅, 바스코, 잉카인터넷과 미래테크놀로지 등 다수의 OTP 솔루션 업체들이 카드타입의 OTP를 개발중이지만 아직 최소 2년 이상 사용가능한 밧데리 기술과 LCD 창을 카드안에 삽입하는 문제를 해결하기 어려워 2006년 9월말 현재 개발 완료된 제품은 없다. 하지만 카드형 제품에 각 벤더마다 사활을 걸고 있으므로 늦어도 내년 상반기내에는 카드형 OTP 제품을 시중에서 만날 수 있을 것으로 기대되고 있다.
반면 카드형 OTP가 반드시 정답은 아니라는 의견도 많다. OTP를 사용하는 사용층이 젊은 사람들만이 아니라 노년층들도 있기 때문. 크기가 작은 LCD창을 노년층에서는 보기 어려워 작고 컴팩트한 타입의 제품만을 내놓는 것은 노년층을 외면하는 일이라는 지적이다. 한 업계의 관계자는 “OTP의 디자인에 치우치다가 OTP 본연의 기능과 성능에 미흡한 제품을 내놓는 경우가 생길 수도 있어 우려된다”며 “OTP는 사용자 인증을 위한 제품이라는 사실을 망각하지 말고 OTP 기능에 충실한 제품을 생산하는데 주력해야할 것”이라고 말했다.
또한 가격 역시 OTP 솔루션 활성화의 관건이다. 현재 금융권 등에 공급되고 있는 OTP의 가격은 대략 1만원~1만5천원선이다. 대량공급되면 이보다 단가가 더 낮아질수도 있지만 핸드폰 고리, 카드 타입 등으로 바뀌면서 얼마나 더 낮은 가격으로 공급될 수 있을지도 관심이 집중되고 있다.
이렇게 관련 업체들은 올 하반기부터 본격 도래할 국내 OTP 솔루션 시장을 선점하기 위해 보다 낮은 가격에 사용하기 편리한 제품을 만드는 데 사활을 걸고 본격적인 경쟁에 돌입한 상태다.

OTP 솔루션 시장의 ‘권좌’ 경쟁 돌입
OTP 솔루션의 대표적인 글로벌 벤더인 시큐어컴퓨팅과 RSA시큐리티는 내년경 금융권 통합인증센터 건립과 함께 본격화될 국내 OTP 솔루션 시장의 선두를 차지하기 위해 치열한 한판 경쟁을 벌일 전망이다.
먼저 비교적 일찍 국내 시장에 진출한 시큐어컴퓨팅코리아(대표 이상호)의 ‘세이프워드(SafeWord)시리즈’는 이벤트 동기화 방식으로 윈도 OS에서 특별한 설정 없이 바로 설치해 사용할 수 있다. 또한 산업 표준인 래디우스 프로토콜을 지원하는 모든 시스템/네트워크 장치 등의 인증에도 쉽게 적용할 수 있다.
시큐어컴퓨팅코리아 이상호 지사장은 “단일 사이트에 100만개 이상의 토큰을 적용한 경험은 시큐어컴퓨팅 뿐”이라며 “시큐어컴퓨팅은 시티그룹과 시티그룹 자회사로 중남미 최대 은행인 바나맥스(Banamex)에 각각 100만개 이상의 토큰을 적용한 대형 사이트를 가진 입증된 솔루션”이라고 밝혔다. 또 그는 “현재 시큐어컴퓨팅의 세이프워드는 이벤트 동기화 방식이지만 국내 고객들이 시간 동기화 방식의 제품을 원하는 경향을 보여 시큐어컴퓨팅이 보유한 시간동기화 방식의 제품을 곧 국내에 들여올 예정”이라며 “내년 상반기경 카드타입의 OTP를 출시할 예정이며 어느 벤더보다 빨리 안정적인 카드타입 OTP를 내놓을 수 있을 것”이라고 자신했다.
시큐어컴퓨팅은 국내 금융권뿐만 아니라 사용자 인증에 민감한 모든 기관을 타깃으로 영업할 방침이며, 특히 기업 시장에 대한 공략을 꾸준히 지속할 계획이다.
시큐어컴퓨팅의 채널인 소프트포럼은 지난 99년부터 OPT 관련 사업을 해왔던 노하우를 보유하고 있다. 비록 당시 자체 개발했던 OTP 솔루션이 좋은 성과를 거두지는 못했지만 OTP 솔루션에 대해서는 타사보다 앞선 노하우를 보유, 이를 십분 활용해 시큐어컴퓨팅 OTP로 국내 금융시장의 약 50% 이상을 가져간다는 각오다. 소프트포럼 국내외사업총괄 이순형 이사는 “그간 금융권에서 강세를 보여왔던 소프트포럼의 저력을 발휘해 통합인증센터 등의 금융권 수요에 영업력을 집중시킬 예정”이라며 “소프트포럼의 기술력 기반 하에 기존 고객과 신규 고객 등 전방위 영업을 펼칠 것”이라고 밝혔다. 또 나노엔텍(구 퓨쳐시스템) 역시 VPN 솔루션 등의 기존 기술 기반을 살려 기업 고객들에 접근, 기업 시장에서의 좋은 성과를 기대하고 있다.
얼마전 EMC에 인수된 RSA시큐리티코리아(대표 심준보)는 하드웨어 타입과 소프트웨어 타입, 모바일 OTP, 스마트 카드 통합형 OTP 등 다양한 형태의 OTP 솔루션을 제공한다. 시간동기 방식의 제품을 기본으로 별도의 입력장치가 없어 고객의 오류를 방지하며 20여년간 기업고객의 300여 이상의 에이전트를 보유한 노하우를 자랑한다.
RSA시큐리티코리아 윤정광 테크니컬 컨설턴트는 “RSA시큐리티는 인증솔루션을 전문으로 개발해온 전문 회사의 기술력으로 거의 모든 보안 장비들과 자사 OTP 솔루션의 연동이 가능하다”며 “또한 다양한 형태의 OTP를 보유하고 있어 어떤 고객의 요구든 만족시킬 수 있다”고 밝혔다. 특히 RSA시큐리티는 윈도 로그인에 강해 금융 시장은 물론 기업시장에서 상대적 우위를 점할 수 있다는 점을 내세운다. 윤 컨설턴트는 “국내 SSL VPN의 2차 인증솔루션으로 아주IT에 약 500유저 가량의 제품을 공급했다”며 “시트릭스, 삼성계열사 일부, 기업은행 3만5천 유저 등을 공급한 저력을 바탕으로 기업과 금융, 공공 등에 전방위로 영업할 계획”이라고 강조했다.
RSA시큐리티코리아는 에스넷과 모다정보통신, 싸이클롭스, 삼양데이타시스템, 트라이콤 등의 파트너를 보유하고 있다. 이중 최근 RSA시큐리티의 OTP 솔루션 사업을 개시한 트라이콤은 RSA의 OTP솔루션을 기반으로 보안사업을 강화해나갈 방침이다. 트라이콤 솔루션사업본부 이수영 팀장은 “RSA인증솔루션을 기반으로 컴플라이언스를 강화하는 보안 사업을 전개해나갈 것”이라며 “특히 올 하반기부터 가시화될 기업의 OTP 표준화 설정 등 기업 고객들을 잡기 위해 영업에 박차를 가할 예정”이라고 말했다.
역시 RSA의 파트너인 싸이클롭스는 모바일 OTP 서비스를 확대하고 써드파티 솔루션 업체들과의 전략적 제휴를 강화한다는 방침이다. 싸이클롭스 유재희 사장은 “RSA의 공인받은 엔지니어 지원, RSA 시큐어드 파트너 정책으로 제품 연동이 뛰어난 것이 싸이클롭스의 장점”이라며 “최대 수요처가 될 금융권과 엔터프라이즈의 그룹웨어, SSL VPN 연동 및 공공도 전문 채널을 통한 세미나, 교육 등을 지원해 레퍼런스를 늘려갈 계획”이라고 밝혔다.

다양한 기능·차별화된 성능으로 승부
시큐어컴퓨팅과 RSA시큐리티외에도 국내에 진출한 바스코, 위노블, 스위벨 등의 OTP 솔루션은 차별화된 기능 등으로 국내 고객들을 사로잡을 계획이다.
글로벌 금융기업에 다수의 레퍼런스를 보유한 입증된 기술력의 바스코 솔루션의 국내 총판 OTP멀티솔루션(대표 김성주)은 국내 고객들에게 바스코의 인지도를 높이기 위해 총력을 기울이고 있다. 김성주 OTP멀티솔루션 사장은 “바스코는 OTP 전문업체로 보안성과 이식성, 가격의 세 가지 측면에서 어느 벤더보다 뛰어나다”며 “OTP의 기본인 보안성은 물론이며 다양한 곳에 적용 가능한 이식성, 그리고 저렴한 가격으로 타 벤더와 차별화된 가치를 제공할 것”이라고 밝혔다.
바스코 OTP 솔루션은 하드웨어/소프트웨어 방식의 사용자 인증 OTP 토큰 그리고 OTP와 전자 인증서를 함께 사용할 수 있는 시큐어 스마트 카드 리더기로 구성돼 있다. 바스코의 주력제품인 ‘디기패스(Digipass) GO3’는 시간, 이벤트 동기화 방식을 혼합해서 제공하며 20g 미만의 경량화된 토큰, 핀번호와 토큰의 혼합 사용가능, 최대 16자리 숫자 입력 기능 지원 등이 특징이다. OTP멀티솔루션 역시 카드형 OTP를 출시할 예정이다. OTP멀티솔루션은 이벤트 방식의 바스코 카드형 OTP를 시간동기방식으로 바꾸고 현금카드, 버스카드, RFID 기능 등을 추가해 다용도로 활용토록 할 방침이다.
김성주 사장은 “올해까지는 통합인증센터 건립의 지연으로 시장이 거의 없었지만 내년부터 본격적인 시장이 열릴 것”이라며 “이에 아직 바스코의 국내 레퍼런스는 없지만 금융고객만이 아니라 기업의 VPN 솔루션 등 보안 장비와 연계한 OTP 솔루션 판매 등에 힘써 기업 시장을 통해 기반을 다지며 내년경 본격적으로 열릴 금융 OTP에 대비할 계획”이라고 강조했다.
이스라엘 보안 솔루션 알라딘을 공급하는 위노블(대표 이태종)은 알라딘의 OTP 솔루션이 OTP와 결합된 USB토큰으로 타사와 차별화된 기능을 제공한다고 강조한다. 이벤트 방식에 USB토큰이 결합된 형태와 OTP 솔루션 하드웨어 타입의 2가지 종류로 구성돼 있으며 USB타입은 패스워드, 전자인증서 등의 개인정보를 휴대가 용이한 별개 소형 USB 키에 저장, 보관해 사용시마다 전자서명 및 암호화를 생성, 제공할 수 있다.
위노블의 사업개발실 최홍준 부장은 “USB와 연결돼 있어 생활방수 등에 어려움이 있다는 금감원 등의 지적으로 금융 시장보다 기업 고객 또는 인증서를 보관하면서 동시에 OTP를 활용하고자 하는 금융권 등에 공급할 방침”이라며 “하이브리드 형태의 토큰이라는 장점을 살려 OTP만으로는 보안강도가 약하다고 생각하는 금융, 기업 등의 고객에게 접근할 계획”이라고 밝혔다. 알라딘 e토큰은 USB타입은 64Kbps의 용량에 약 7~8개 인증서를 저장할 수 있다. 위노블은 아직 국내 레퍼런스는 없다.
어레이네트웍스코리아(대표 김영한)가 공급하는 스위벨시큐어의 OTP는 토큰리스 OTP라는 점이 특징이다. 어레이네트웍스 김영한 지사장은 “국내외 OTP 솔루션이 하드웨어 타입의 토큰 OTP가 대부분이지만 스위벨 OTP는 토큰이 없는 형태로 TCO 측면에서 우월하며 보관, 분실의 걱정이 없다”고 강조했다. 또 그는 “인증을 위해 패스워드 입력이 필요한 모든 곳에 적용 가능하며 윈도 로그인을 보다 안전하게 대체할 수 있다”며 “특히 VPN 솔루션의 2차 인증으로 적합, 국내 대형포털인 NHN에서 사용중이라 안정성과 성능이 입증됐다”고 강조했다.
어레이네트웍스는 스위벨 외에도 SSL VPN 제품 등을 보유하고 있어 SSL VPN과 스위벨 OTP의 시너지 강화로 기업 VPN 고객들에게 접근한다는 전략이다. 또 금융, 공공 등과 올 하반기부터는 게임, 온라인 마켓을 본격 공략한다는 전략이다.
캐나다 디버시넷의 모바일 OTP를 공급하는 인포섹(대표 박재모)은 PC, 핸드폰, PDA 등 다양한 모바일 기기에 탑재 가능한 OTP 단말기 및 OTP 통합인증 관리 서버를 공급한다. 인포섹은 물리적 하드웨어 토큰은 휴대성과 가격 등의 이유에서 적합지 않다고 생각하는 고객들을 중심으로 공략한다는 계획이다.

국내 고객, 국산제품이 ‘안성맞춤(?)’
이렇게 다양한 외산 솔루션에 맞서 국내 기술로 개발된 OTP 솔루션 또한 국내 고객들의 입맛에 맞는 커스트마이징과 가격 대비 성능 등으로 인기를 끌고 있다. 특히 외산제품들보다 높은 가격 경쟁력과 국내 고객들의 요구에 따라 개발 가능한 맞춤화 기술은 외산업체들이 따라올 수 없는 장점으로 까다로운 금융 고객들의 요구에 적합할 전망이다.
미래테크놀로지(대표 정균태)의 OTP솔루션은 시간동기형 OTP 솔루션으로 하드웨어 PIN 방식에 3년간 배터리 성능을 보장한다. 특히 미래테크놀로지는 국내 9개 주요 은행인 신한·조흥·우리·외환·제일·전북·경남·광주·한국은행 등에 OTP 솔루션을 납품하는 성과를 올렸다.
정균태 미래테크놀로지 사장은 “미래테크놀로지 제품은 외산 대비 약 50% 저렴한 가격 경쟁력은 물론 외산과 달리 각 은행에 적합한 기술 지원을 제공한다”며 “우리의 OTP는 올해 말 OTP통합인증센터가 가동되더라도 기존 금융 고객이 사용하는 OTP를 그대로 사용할 수 있는 것이 장점”이라고 강조했다. 미래테크놀로지는 조만간 기존 제품 80% 수준으로 크기로 줄이고 사용자 편의성을 강화한 신제품을 내놓을 계획이며, 소프트웨어 방식의 NO PIN 모델, 카드형 OTP, 모바일 OTP 등의 신 모델을 지속적으로 출시할 계획이다. 한편 미래테크놀로지는 잉카인터넷과 협력해 V(보이스)-OTP를 내놓기 위해 기술 협력을 강화하고 있다.
잉카인터넷(대표 주영흠)은 소리를 이용해 암호화된 OTP 메시지를 전송하는 방식의 V-OPT ‘애니(Any)-OTP’를 출시, 관련 특허를 출원했다. 애니 OTP는 액정을 이용해 일반 OTP로도 사용가능하며 소리를 이용해 숫자를 암호화해 전화기, 컴퓨터, 핸드폰 등을 통해 전달하면 반대편 금융기관 등에서는 소리를 데이터로 변환한 후 인증서버에서 표준 데이터를 전달, 인증하는 방식이다. 잉카인터넷과 코어보이스, 미래테크놀로지 등의 기술 협력으로 공동 개발된 애니 OTP는 국내 금융 기관 등에 공급하는 것은 물론 향후 잉카인터넷의 일본 등 해외 공급망을 통해 해외수출에 중점을 둔다는 계획이다.
잉카인터넷 E-비즈 사업본부 장화철 상무는 “사람이 읽어 전달하기 불가능한 형태로 인증을 수행하기 때문에 키로깅, 텔레뱅킹 등 사회공학적 공격이 불가능하다”며 “기존 OTP는 폰뱅킹 등에서 수행하기 어려웠지만 폰뱅킹 등에서 사용자 편의성을 극대화했고 특히 시각장애인과 노인층 등에서 편리하게 사용할 수 있을 것”이라고 언급했다. 잉카인터넷은 현재 1.0버전의 애니 OTP를 카드타입 2.0 버전으로 출시하기 위해 마무리 개발을 수행하는 중이며 거래가 성립되기 전 휴대폰 등으로 SMS를 전송하는 사전 SMS 기능의 ‘오키콜(OKeyCall)’ 등과 결합해 금융고객들에게 공급할 예정이다.
모바일 OTP를 개발, 국내 대형 게임사인 엔씨소프트에 납품한 이니텍(대표 김재근)은 지난1월 엔씨소프트 리니지 게임에 첫 적용, ‘린OTP(Lineage One Time Password)’란 이름으로 서비스하고 있으며 사용자가 약 8만명에 이른다고 밝혔다.
이니텍 이창희 부장은 “리니지 사이트의 고객 사례를 기반으로 국내외 게임업체에 모바일 OTP 공급을 강화하며 VPN 장비 등과의 연동 테스트를 진행, 기업 고객들의 수요도 늘려갈 방침”이라고 말했다. 또 이 부장은 “MOTP는 사용자 규모를 기준으로 서비스 제공 기업과 러닝개런티 형태의 계약을 체결해 제공한다. MOTP 사용자는 무료 보안 서비스를 이용하게 되기 때문에 네티즌들의 수요가 높은 편이다. 최근 네티즌의 계정 보호에 대한 인식이 높아져 있어 게임업계와 금융권 등이 MOTP 인증서비스를 검토하고 있다”고 밝혔다.
이렇게 국내외 업체들이 올 하반기를 시작으로 내년경 본격 개화를 앞두고 있는 OTP 솔루션 시장을 선점하기 위해 치열한 경쟁을 벌이고 있다. 앞서 살펴본 것처럼 대부분의 업체들이 금융권을 타깃하고 있지만 통합인증센터의 설립이 늦춰지면서 금융권 고객들의 움직임이 늦어지고 있어 OTP 솔루션만으로는 수익을 얻기가 어렵다고 관련 업체들은 토로한다.

출혈경쟁 자제·시장 확대 시급
기업고객들도 조금씩 OTP로 눈을 돌리는 편이지만 일부 대기업 등에서 도입을 검토하고 있을 뿐 아직 기업고객들은 네트워크 중심의 보안 접근 방식에 머물러 있어 OTP 솔루션을 사용한 사용자 인증 등에는 무심한 편이다. 그러나 내년경 본격 금융권의 보안카드를 OTP로 대처하고자 하는 시도가 실행되면 수요는 무한하다. 또 금융권에서 입증된 OTP 솔루션의 활용성으로 기업 고객들도 자연스레 OTP 솔루션을 구매하는 계기가 될 것으로 전망된다.
관련 전문가들은 OTP에 대한 인식을 새롭게 하고 취약한 사용자 인증단을 보완할 수 있는 OTP 솔루션에 눈을 돌려 그간 네트워크 보안 분야에 치중해왔던 보안 형태에서 조금씩 변화해야한다고 조언한다.
한 업계의 관계자는 “OTP 솔루션이 사용자 인증을 위한 정답이라고 말할 수는 없지만 현재 출시돼 있는 여러 솔루션 중 가장 손쉽고 저렴하게 활용할 수 있는 방법중의 하나”라며 “사용자 인증을 위해 새로운 솔루션을 개발하기 보다 OTP를 보완하고 발전시켜 적용하는 것이 보안의 진화 방향에 맞는 현명한 선택일 것”이라고 언급했다.
하지만 OTP 솔루션 시장의 장밋빛 전망을 보고 국내외 업체들이 난립, 수요에 비해 많은 업체들이 벌써부터 저가경쟁에 돌입해 우려를 자아내고 있다. 일단 대형 레퍼런스를 확보하려고 저가 출혈 경쟁이 점차 가시화되고 있다. 대형 금융권 고객에게는 이런 현상이 더욱 심각하다.
그러나 OTP는 앞서 언급했다시피 장기적인 관점에서 수행되야하는 사업이며, 사용자 보안 강화를 위해 그간 네트워크 보안에 치중돼 왔던 고객들의 보안 형태를 바꿔줄 수 있는 의미있는 솔루션이다. 따라서 OTP 시장의 지속적인 발전을 위해 저가 업체간 출혈, 저가 경쟁을 자제하고 우선 시장 자체를 키워가려는 업계간 공조의 노력이 무엇보다 시급한 시점이다.

Special Tip

VPN과 OTP 솔루션의 연동

● IPSec VPN과 OTP 연동
출장근무자, 개인주택 등의 원격 사용자가 본사의 네트워크에 접속하는 경우 IPSec VPN 사용시 기존에는 IPSec VPN 터널을 형성한다.
1. 클라이언트 애플리케이션을 설치하고
2. 애플리케이션을 실행하며
3. 사용자 아이디, 고정 패스워드의 방법으로 인증하는 방법을 사용했다.

OTP 솔루션을 사용하는 경우는
1. 원격접속을 위해 애플리케이션을 실행하고
2. IPSec VPN 서버에서 미들웨어 서버와 래디우스 통신으로 인증한 후
3. 인증서버로 인증 후 터널을 형성하는 방법을 사용하게 된다.

● SSL VPN과 OTP 연동
출장근무자, 개인주택, 외주업체 직원 등 원격사용자가 본사 네트워크에 접속하는 경우 SSL VPN 사용시 SSL VPN 터널을 형성한다.
1. 웹 브라우저에서 해당 사이트 접속
2. 사용자 아이디, 고정 패스워드 방법으로 인정하고
3. SSL VPN 터널을 형성하는 방법을 사용했다.

OTP 솔루션을 사용하는 경우는
1. 웹 브라우저로 SSL VPN에 접속
2. SSL VPN 서버에서 미들웨어 서버와 래디우스 통신으로 인증하고
3. 인증서버로 인증 후 터널을 형성, 보다 안전한 방법으로 접속하게 된다.

Case Study | 기업은행
OTP로 안전한 금융서비스 기반 마련
지난 2005년 기업은행은 모 은행 해킹 사례로 불거진 보안카드의 보안적 취약성을 보완하고 인터넷 폰, 모바일 뱅킹에 대한 막연한 고객의 불안과 불신의 완화 및 인터넷, 폰, 모바일 뱅킹 사용을 독려하기 위한 방안으로 OTP를 검토했다. 기업은행은 여러 OTP 솔루션중 20년간 시장에서 인정받은 보안성과 안정성을 지닌 RSA시큐리티 솔루션을 선택했다.

보안성·사용자 편이성 모두 ‘만족’
기업은행은 인터넷, 모바일, 텔레뱅킹을 사용하는 기업고객 1만5천명에게 RSA시큐리티의 OTP 하드웨어 ‘RSA 시큐어(Secur)ID’를 지급, 사용케 했다. RSA시큐리티의 OTP 솔루션을 도입 후 기업은행은 다양한 형태의 인터넷 보안 사고에 따른 고객의 막연한 인터넷 뱅킹에 대한 불안감과 불신을 OTP의 사용을 통해 불식시킴과 동시에 사용자에게 배포되는 OTP 토큰의 불량율이 거의 없다는 점에 만족하고 있다.

최소한의 운영으로 안정적 서비스 제공
RSA 시큐어ID는 시스템 운영을 위한 최소한의 인원으로 안정적인 서비스의 제공이 가능하다는 측면과 토큰의 불량에 따른 불필요한 인적, 물적 자원의 낭비가 없어 초기 투자 비용 대비 운영 비용이 저렴하다는 측면에서 관리 비용을 절감하는 효과가 있다. 또 기업은행은 새로운 시스템 도입 시 예상되는 고객의 불만 건수가 거의 없었다는 측면에서 볼 때 보안성과 사용자 편의성이라는 두 마리 토끼를 잡은 성공적인 구축 사례라고 평가하고 있다.