금융보안 강화 시발점 … 전자금융 시대 기초 마련
OTP 통합보안센터 출범이 다가오면서 OTP 공급전이 한층 가열되고 있다. OTP 통합보안센터를 준비하고 있는 금융보안연구원은 오는 6월 말 OTP 통합보안센터 운영을 개시할 계획이다. 이에 따라 은행, 증권, 보험 등 각 금융기관들은 OTP 솔루션 도입을 재촉하면서 OTP 시장이 크게 각광받고 있는 것. 금융감독원에 따르면, 2005년 말 국내 전자금융가입자는 6천5백만명(중복 포함)에 달해 OTP 시장의 성장을 점치게 하고 있다.
OTP로 관심이 집중되고 있지만, OTP는 금융권의 전면적인 보안강화 움직임을 보여주는 한 단면에 불과하다. 전사회적인 보안강화 움직임에 더불어 올 초 금융기관의 전자금융거래법 개정안이 시행되면서 금융기관의 보안 강화는 피할 수 없는 흐름이 되고 있다. OTP를 비롯한 금융시장의 보안 강화에 대해 알아본다. <편집자>
제 1부 : OTP (One Time Password) 도입 현황
제 2부 : 기타 금융 보안 현황
제 1부 OTP
OTP 통합인증센터 발족 ‘초읽기’ … 시장 규모 1천억원 예상
안전한 전자금융 OTP, 시장‘장밋빛’시장
…선점경쟁 ‘과열’조짐
비밀번호 유출로 인한 사고가 발생하면서 OTP에 대한 관심이 부상하고 있다. OTP는 일회성 비밀번호를 생성함으로써 비밀번호 유출로 인한 해킹을 방지할 수 있는 이점이 있다. 특히 통합인증센터 설립이 가시화되면서 금융권을 중심으로 도입이 활발히 전개되고 있다. 국내 OTP 시장을 살핀다.
| 오현식 기자·hyun@datanet.co.kr |
2005년 5월 외환은행 인터넷뱅킹 해킹사고는 인터넷뱅킹 시 이중요소 인증 수단으로 사용되는 보안카드의 취약점을 표출, OTP(One Time Password)에 대한 관심을 불러일으킨 계기가 됐다.
이 사고는 웹게시판을 통해 외환은행 인터넷뱅킹을 이용하던 사용자 PC에 키스트로크 프로그램인 ‘넷데블’을 설치, 뱅킹 ID와 비밀번호, 공인인증서 비밀번호, 보안카드번호 등을 알아낸 후 인터넷 뱅킹을 통해 5천만원 유출한 사고다. 해커는 보안카드 번호 중 일부밖에 탈취하지 못했지만, 로그인과 로그아웃을 반복하는 방법을 통해 ‘3회 오류 시 인터넷뱅킹 중지’를 회피하면서 인출을 시도해 5천만원의 거액을 빼내 갔다. 또 다른 안전장치인 공인인증서의 경우, 취득한 공인인증서 비밀번호를 이용해 재발급받음으로써 회피했다.
외환은행의 사례에서 공인인증서의 경우, 공인인증서 자체에 취약점이 존재한다기보다 허술한 재발급 체제의 취약점으로 지적됐던 반면, 제한된 숫자 조합 중 하나를 이용해 인증하는 보안카드는 하나의 조합만 알려져도 위험에 노출될 수 있는 취약점이 제기됐다. 금융감독원은 키보드해킹방지 프로그램의 의무화와 더불어 재접속과 상관없이 연속 3회 오류 시 거래가 중지되도록 하는 보완책을 발표했다. 하지만, 이는 제한된 숫자조합 이용이란 보안카드 자체의 취약점을 해결하는 방안이라고는 볼 수 없는 것이 사실. 이에 제한된 조합이란 취약점 해결을 위해 OTP가 부각됐다.
OTP는 사용자가 소지한 기기에 일회용 비밀번호를 부여해줌으로써 매번 다른 번호로 사용자를 인증하는 방법이다. 제한된 숫자조합 내에서 사용하는 보안카드와 달리 OTP는 무한대에 가까운 수를 생성, 단 한 번만 사용하게 함으로써 해커가 사용자 비밀번호를 취득해도 이를 쓸모없게 만든다.
OTP 통합인증센터 설립, 보안성·편의성 향상
외환은행 인터넷뱅킹 사고 이후, 몇몇 은행을 중심으로 도입되던 OTP는 최근 본격화의 계기를 맞이하고 있다. 특히 금융보안연구원이 설립·운영하는 통합인증센터는 OTP 활성화를 촉진하는 도화선 역할을 할 것으로 기대된다. OTP 통합인증센터가 출범하면, 하나의 OTP 생성기를 통해 다수의 금융기관과 거래가 가능하게 됨으로써 보안성과 동시에 사용자 편의성까지 향상시켜 OTP 이용을 보다 확산시킬 것으로 예상된다.
OTP 통합인증센터 설립에 발맞춰 보안등급제를 의무화할 금융감독원의 계획도 OTP 확산을 위한 호재다. 보안등급제란, 거래이용수단에 따라 인터넷뱅킹 및 텔레뱅킹 고객의 최대 거래한도에 차등을 두는 것으로 OTP는 HSM(Hardware Security Module)과 더불어 가장 높은 보안등급인 1등급으로 이용수단으로 지정된 상태. HSM은 공인인증서 복사방지 기능이 적용돼 보안성이 강화된 스마트카드 또는 USB메모리를 말한다.
개인고객의 경우, 1등급 이용자는 인터넷뱅킹을 이용해 1회 최대 5억원, 1일 최대 5억원까지 이체거래를 할 수 있다. 보안카드와 이동전화 SMS를 통한 거래내역 통보를 이용하는 2등급 이용자는 1일 이체한도 2억5천만원(1회 5천만원), 보안카드만 이용하는 3등급 이용자는 1일 이체한도 5천만원(1회 1천만원)으로 인터넷뱅킹을 이용한 최대 이체금액이 제한된다. 기업의 경우에는 등급제 실시 이전과 동일한 이체한도가 적용되지만, 모두 1등급 보안수준이 의무화된다. 즉, OTP 또는 HSM을 이용해야 하는 것이다.
금융보안연구원의 강우진 인증관리팀장은 “통합보안인증센터 설립을 위한 금융보안연구원 측 준비는 마무리 단계로 오는 6월 말부터 업무를 시작할 수 있을 것”이라며 “통합인증센터 설립은 사용자 편의성뿐만 아니라 중복투자를 방지하는 효과도 있어 OTP 도입이 활성화되는 계기가 될 것”이라고 밝혔다.
통합인증센터가 설립되면, 은행이나 증권사, 보험사들은 개별적으로 OTP 인증 시스템을 도입하지 않아도 통합센터를 통해 인증을 수행할 수 있다. 또 OTP 통합인증센터는 개별적으로 인증 시스템을 도입한 금융기관과의 연계해 금융기관 간 인증 교류가 가능하도록 중계하는 역할을 수행한다. 금융기관 필요에 따라 자체 인증 시스템 구축을 선택할 수 있는 것. 자체적으로 별도의 인증 시스템을 갖추는 경우에는 자체 인증 시스템과 OTP 통합인증센터 간 연동이 필요하다.
초기 시장 선점 경쟁 ‘치열’
현재 OTP 통합인증센터에는 19곳의 은행, 30개 증권사를 비롯한 55개 금융기관이 회원사로 참여하고 있다. 즉, 국내 대부분의 금융기관이 OTP 도입을 검토하고 있는 것으로 통합인증센터가 공식 업무 개시와 동시에 OTP 이용이 급물살을 탈 것으로 전망된다.
OTP 통합인증센터 설립이 다가오면서 금융기관의 OTP 도입도 점차 가시화되고 있다. 지난해 말 50만개의 OTP 토큰을 고객에게 무상 배포한 신한은행의 사례가 대표적이다. 농협과 SC제일은행 등도 지난해부터 OTP 솔루션을 배포, 인터넷뱅킹 이용시 OTP 사용을 권고하고 있으며, 다른 은행들과 증권·보험사들도 속속 OTP 대열에 합류하고 있다.
OTP에 대한 관심 증대로 추가 발주도 계속 이뤄지는 상황이다. 업계 관계자에 따르면, 지난해 2만여개 OTP 토큰을 구입·배포했던 농협은 올해 5만여개의 OTP 토큰을 추가 구입할 예정이며, 기업은행 역시 10만개 규모의 추가 발주를 예정하고 있다. 또 지난해 50만개의 토큰을 구입, 고객에게 무상 배포함으로써 OTP 시장에 대한 관심을 증폭시킨 신한은행 역시 추가 발주가 논의되고 있다.
개화하는 시장 움직임에 맞춰 관련업계의 수주전도 치열하다. 현재 국내 금융 시장에 OTP 공급을 노리는 기업들은 8개사 정도로 압축된다. 바스코(OTP멀티솔루션), 시큐어컴퓨팅(안랩코코넛), 아이덴티타(예스컴), 액티브아이덴티티·인카드(인네트), RSA시큐리티(트라이콤), 토도스(인성정보) 등의 외산기업과 미래테크놀로지, 인터넷시큐리티 등의 국산 OTP 기업이 치열한 경합을 벌이고 있는 것이다.
치열한 경쟁 속에서 보다 치고 나간 것은 국산 OTP 기업인 미래테크놀로지(대표 정균태)다. 미래테크놀로지는 신한은행, 외환은행, SC제일은행, 경남은행, 전북은행, 농협 등을 고객사로 확보, 국내 금융 OTP 시장 경쟁에서 한 발 앞선 모습을 보이고 있다. 미래테크놀로지 측은 “지금까지 90만개의 OTP 토큰을 공급했다”고 밝혔는데, 금융권의 초기 도입 물량이 1~2만대 수준에 그치고 있다는 점을 감안하면, 80~90% 가량을 미래테크놀로지가 점유하고 있는 것이다. 업계는 지금까지 국내 공급된 OTP 토큰 물량을 100만개 내외로 파악하고 있다.
미래테크놀로지는 최근 시티은행에 우선협상대상자로 선정되는 성과를 이루기도 했다. 정균태 미래테크놀로지 사장은 “엄격한 품질관리로 정평나 있는 시티은행을 고객으로 확보, 미래테크놀로지의 OTP 기술이 세계적으로도 통용될 수 있는 안정성과 신뢰성을 입증받게 됐음은 물론, 시티그룹의글로벌 파트너로 등재돼 전세계 시티은행에 공급될 수 있는 기반이 마련됐다”고 의의를 부여했다.
미래테크놀로지가 한 발 앞서 나가 있지만, 다른 기업들의 반격도 만만치는 않다. 이들은 “본격적인 공급 경쟁은 지금부터”라면서 시장 공세를 강화하고 있다. OTP멀티솔루션 박정일 팀장은 “금융보안연구원의 55개 회원사 중 개인고객 대상의 OTP 토큰 공급 업체 선정을 마무리한 것은 10여개 업체에 불과하다”며 “OTP 시장은 아직은 초기일 뿐”이라고 강조했다. 트라이콤 이순영 팀장 역시 “금융기관 중 몇 군데는 기존 공급받았던 OTP 토큰의 성능에 만족하지 못해 공급선 변경을 검토하고 있다. 초기 시장 판도가 재편될 여지는 충분하다”고 전했다.
이러한 말처럼 다른 OTP 기업들 역시 최근 레퍼런스를 확대하면서 반격의 고삐를 당기고 있다. OTP멀티솔루션은 5월 광주은행, 대우증권, 우리투자증권 등에 OTP 토큰 공급계약을 체결하는 성과를 이뤘다. 이보다 앞서 트라이콤은 지난해 말부터 기업은행, 농협에 OTP 솔루션을 공급한 데 이어 최근에는 우정사업본부(우체국), CJ투자증권 등과도 공급 계약을 체결하는 활발한 모습을 보이고 있다. 인네트 또한 메리츠증권에 인네트 서버와 인카드의 OTP카드를 통해 계약을 체결한 데 이어 5월 말에는 하나은행에 인네트 서버와 액티브아이덴티티 토큰을 공급하는 성과를 올리고 있다.
통합인증센터 전세계 ‘관심집중’
최근 OTP 시장 활성화가 예견되면서 국내외 업체들의 참여가 줄 잇고 있다. 이는 우리나라에서의 사례가 전세계 OTP 시장의 주도권을 가져갈 수 있는 의미있는 레퍼런스로 인식되고 있기 때문이다.
금융감독원에 따르면, 지난해 말 기준으로 국내 은행의 전자금융 가입자 수는 6천524만명(중복 포함)에 달하며, 2006년 한 해에만 7천532조원의 자금이 전자금융거래를 통해 이체됐다. 나아가 전자거래가 주는 편리함으로 인해 전자금융거래 비중은 시간이 흐를수록 더욱 높아지고 있다. 전자금융 가입자수는 2005년 5천484만명에서 19%(약 1천만명)이 증가하는 상승세를 유지했으며, 이체금액 역시 2005년 6천61조원에서 24%가 증가하는 가파른 곡선을 나타냈다. 특히 인터넷뱅킹을 이용한 이체금액은 2005년 4천719조원에서 2006년에는 6천145조원으로 크게 증가(30% 증가)했다.
이러한 인터넷뱅킹의 기반 위에서 금융권 OTP 통합인증센터 설립 등의 정책이 발표됐기에 전세계적인 관심을 받는 것은 당연한 현상이라 볼 수 있다.
지난 4월 방한했던 제이슨 하트(Jason Hart) 액티브아이덴티티 CEO는 “한국에서의 OTP 통합인증센터는 지금까지 볼 수 없었던 시도로 전세계 금융시장은 물론 전세계 OTP 기업들에게도 주목의 대상”이라며, “싱가폴과 홍콩에서도 유사 사례가 추진되고 있지만, 진행단계나 인터넷뱅킹 이용자 모두 한국보다 뒤처져 있다”고 밝힌 바 있다. 이보다 앞서 방한했던 스튜어트 러치(Stuart Rauch) 시큐어컴퓨팅 이사 역시 하트 CEO와 동일한 맥락의 발언을 하면서 국내 시장 확보를 위해 “한국만을 위한 특화 모델 개발, 가격 정책 작용 등의 강력한 지원을 제공할 계획”이라고 밝히기도 했다.
외산 기업, 한국시장 확보 ‘혈안’
전세계 이목이 집중된 한국 OTP 시장의 주도권을 가져간다는 것은 외산 기업들의 공통된 목표. 이를 위해 외산 기업들은 해외 금융 시장에서 검증된 보안성, 운영 노하우를 강조하면서 시장 확산에 나서고 있다. 특히 대규모 환경에서 적용된 노하우는 외산 기업들이 강조하는 부문. 사용자 수가 많지 않은 소규모 환경에서 OTP 적용은 어려운 일이 아니지만, 100만, 1천만 등으로 사용자 수가 증가할 때 운영은 쉽지 않다는 것. 액티브아이덴티티, 토도스 등 외산 OTP 솔루션 관계자들은 “한국의 인터넷뱅킹 보급률을 감안할 때 급격한 증가는 쉽게 예상되는 부문”이라며 “시행착오를 줄이기 위해서는 글로벌 은행에서 수백만 사용자를 통해 검증된 솔루션을 도입해야 할 것”이라고 입을 모으고 있다.
안랩코코넛(대표 이정규)을 금융 총판으로 지정한 시큐어컴퓨팅은 중남미 최대 은행인 베나멕스를 비롯해 시티그룹 등에서 100만개 이상의 대규모 공급을 진행한 것을 경쟁우위로 내세우고 있다. 100만개 이상의 공급은 OTP 시장에서는 흔치 않은 일. 또 시큐어컴퓨팅은 다른 외산 기업들과 달리 국내 지사가 존재해 지원 측면에서도 경쟁우위를 지닐 수 있다. 이상호 시큐어컴퓨팅코리아 지사장은 “다수 이용자를 대상으로 한 OTP 시스템에서 대규모 시스템 운영 경험은 무엇보다 중요하다”고 지적하고 “OTP 역시 보안 기기인 만큼 전문 보안업체로서 보안에 대한 기술을 축적하고 있는 시큐어컴퓨팅이 신뢰성 측면에서도 앞서 있다”고 언급했다.
지난해 EMC에 인수되기 이전 RSA시큐리티는 시큐어컴퓨팅과 함께 전세계 OTP의 양대 산맥으로 꼽히던 기업이다. 시큐어컴퓨팅이 이벤트동기화 방식의 OTP를 대표했다면, RSA시큐리티는 시간동기화 진영을 대표했다. EMC RSA시큐리티에 따르면, ‘RSA 시큐어ID(RSA SecurID)는 전세계적으로 2만1천개 사이트에서 1억명 이상의 사용자에게 공급돼 있으며, 전세계 50대 은행 중 84%가 사용하고 있다. 국내에서는 트라이콤(대표 김정)이 농협, 기업은행, 우정사업본부 등을 금융권 사례로 확보하고, 시장 확산을 꾀하고 있다.
OTP멀티솔루션(대표 김성주)이 국내 공급하는 바스코는 전세계 100여개국에서 420개 은행과 2천여개의 기업 및 연구소에 OTP 솔루션을 공급하고 있으며, 전세계 금융권 1, 2위 업체인 시티은행과 HSBC 또한 바스코의 제품을 사용하고 있다. 그동안 GS리테일, MBC 등 굵직한 레퍼런스를 확보했지만, 금융시장에서는 바스코와 글로벌 계약이 체결돼 있는 HSBC 외에 금융권 공급을 이뤄내지 못해 고전했던 OTP멀티솔루션은 5월 광주은행, 대우증권, 우리투자증권 등과 잇단 공급계약을 체결하면서 반전의 계기를 마련했다.
OTP멀티솔루션 박정일 팀장은 “바스코는 OTP 전문업체로 전세계 금융시장의 80%를 점유하고 있다”며 “리눅스와 유닉스는 물론 메인프레임, HSM 서버에도 탑재될 수 있을 정도로 확장성 측면에서도 유리해 투자 보호 효과가 뛰어나다”고 강조했다.
최근에는 인성정보(대표 원종윤)가 토도스의 OTP 솔루션을 이용해 금융권 OTP 시장 경쟁에 뛰어들었다. 토도스는 1987년 스웨덴 예테보리에서 설립된 기업으로 16년간 스마트카드에 기반한 보안 솔루션 및 OTP 솔루션을 개발해온 경험이 있다. 국내 진출시기는 다소 늦었지만, 국내 IT 1세대 기업이라 할 수 있는 인성정보가 국내 IT 시장에서 쌓아온 경험과 결합, OTP 시장의 강력한 복병으로 주목된다. 2005년 기준으로 2억개 이상의 OTP 토큰을 공급한 토도스는 네덜란드 ABN암로 등에서 100만 이상 사용자에게 OTP 솔루션을 제공한 노하우를 갖고 있다. 또 국내 진출한 대부분의 OTP 기업이 미국을 근거지로 하는 반면, 유럽 기업이란 점도 독특하다.
인성정보 전성호 이사는 “미국보다 인터넷뱅킹이 활발한 곳은 유럽”이라며 “우리나라와 유사하게 인터넷뱅킹 이용률이 높은 스웨덴의 경우, 인터넷뱅킹 고객의 60%가 OTP를 사용하고 있는데, 스웨덴 1위의 OTP 공급업체게 바로 토도스”라고 강조했다. 전성호 이사는 이어 OTP 비중이 커질수록 인증처리 성능이 요구된다고 지적하고, 성능측면에서 토도스의 비교우위도 강조했다. 전 이사에 따르면, 금융보안연구원에서 기본적으로 요구하는 성능이 초당 500건의 인증처리이지만, 토도스는 초당 1800건 이상의 인증처리 성능을 자랑할 뿐만 아니라 최근 실시된 모 은행의 BMT에서는 초당 2100건의 인증처리 능력을 보이기도 했다.
카드형 OTP 차별화
인네트(대표 김유식)의 경우, 이니텍 인증서버와 액티브아이덴티티 토큰, 인카드 OTP 카드 등을 조합해 공급하는 방식을 채택하고 있다. 외산과 국산 OTP 솔루션을 조합하고 있는 것. 액티브아이덴티티는 포트레스(4TRESS)란 독자적인 인증서버가 있지만, 포트레스는 현재 통합인증센터에 입주하지 않은 상태로 인네트는 이니텍의 서버와 인카드 OTP 카드, 액티브아이덴티티의 OTP 토큰 조합으로 금융권 공략을 진행할 방침이다. 이러한 전략은 PKI 솔루션을 통해 다수의 은행을 고객사로 확보하고 있는 이니텍의 장점을 적극 활용하기 위함이다. 인네트는 액티브아이덴티티와 이네트 인증서버의 조합으로 모든 OTP 기업들의 관심사가 됐던 하나은행 공급전에서 성공하는 성과를 거두기도 했다.
특히 인네트는 인카드 OTP 카드에 큰 기대를 걸고 있다. 토큰 공급에 주력하는 다른 경쟁사들과 차별화 요소가 될 수 있기 때문. 인네트는 지난 3월, 메리츠증권에 OTP 기능과 증권카드 및 CMA 카드 기능이 결합된 OTP 카드 공급계약을 체결하기도 했다.
카드형 OTP 솔루션은 토큰보다 휴대성이 뛰어나다는 장점이 있다. 소지품에 토큰을 추가하는 것 보다는 지갑에 카드 한 장을 더하는 것이 사용자 입장에서 부담이 적기 때문이다. 더불어 메리츠증권의 사례처럼 OTP 카드는 현금카드·신용카드 등의 기능을 탑재시켜 부가가치를 줄 수 있는 장점도 있다.
카드형 OTP는 인카드만 존재하는 것은 아니다. 카드형에 대한 관심이 증가함에 따라 미래테크놀로지, 예스컴 등도 카드형 OTP를 소개하고 있다.
미래테크놀로지는 시간동기화 방식의 OTP 카드를 개발, 제안하고 있다. 미래테크놀로지 측은 “국내 금융권이 보다 선호하는 것은 이벤트 동기화 방식이 아닌 시간 동기화”라며 “국내 시장 1위의 OTP 기술을 OTP 카드에 집적시켰다”고 밝혔다. 인카드의 OTP 카드는 이벤트 동기화 방식이다. 시간 동기화 방식은 시계 부품의 한계로 표준 카드 규격보다 3mm 가량 두꺼운 것이 약점이지만, 시간 동기화 방식을 채택한 금융권에 바로 적용될 수 있는 장점이 있다.
예스컴(대표 조종식)이 공급하는 아이덴티타 에코시스템은 보이스 OTP 카드란 점이 독특하다. 아이덴티타는 캐나다의 전문 보안 기업으로 에코시스템은 오디오 IC카드를 통해 일회성 멜로디를 생성, 들려줌으로써 인증하는 방식의 보이스 OTP 솔루션이다. 보이스 OTP란, 생성된 OTP 문자나 숫자를 디스플레이를 통해 보여주는 일반적 OTP와 달리 소리로 된 비밀번호를 들려줌으로써 인증하는 솔루션을 말한다. 사운드 버튼을 한번 눌러주는 것으로 모든 보안인증절차를 완료할 수 있는 편의성과 함께 소리를 통한 인증으로 비밀번호 입력과정이 없어 일반적 해킹의 위험으로부터 보다 자유롭다고 할 수 있다. 미래테크놀로지 역시 음성언어 전문업체인 코아시스템, 잉카인터넷 등과 협력해 보이스 OTP를 구현하는 보이스 OTP 카드를 선보이기도 했다.
시장 ‘장밋빛’, 출혈경쟁 ‘우려’
금융권의 OTP 활성화가 예상되면서 OTP 시장에 대한 장밋빛 전망이 쏟아지고 있다. 혹자는 “인터넷뱅킹 인구를 고려할 때 국내 OTP 시장 규모는 1천억원 이상”이라는 평가를 내리기도 한다. 2005년 말 기준으로 국내 은행의 전자금융 가입자 수는 총 6천524만명에 달한다. 이 가운데 중복 가입자를 제외하더라도 현재 전체 인구의 절반인 2천700만명 가량이 인터넷뱅킹을 이용하고 있다고 추산된다. 이들 중 절반 가량만 OTP를 이용해도 1천억원은 충분히 가능하다는 것이다.
이러한 장밋빛 전망으로 인해 업체들의 참여가 줄 이으면서 국내 OTP 시장은 ‘이전투구(泥田鬪狗)’란 말이 어울릴 정도로 치열한 경쟁이 진행되고 있다. 벌써부터 ‘지나친 과열’이 언급되기도 할 정도며, 초기시장 선점을 위한 공격적 영업으로 출혈 경쟁이 지적되기도 한다. 실제로 OTP 토큰 가격은 가파른 하락 곡선을 그리고 있다. 지난해 말 신한은행의 OTP 도입 시 약 1만 5천원 수준으로 언급되던 토큰 가격은 최근 1만원 수준으로 하락했다. 최근 초미의 관심을 모았던 모 은행권 OTP의 경우 대부분의 업체가 1만원 이하로 제안했다고 알려지는데, 이는 토큰 가격의 급격한 하락세를 반증한다고 볼 수 있다.
문제는 이러한 가격하락이 자연스러운 현상이 아니라는 점이다. 한 관계자는 “신한은행의 경우에는 50만개란 대규모 물량이 뒷받침됐기에 시장 가격보다 매우 낮은 수준에서 공급이 이뤄진 것인데, 현재는 물량이 많건 적건 간에 더 낮은 가격으로 제안되고 있다”고 지적했다.
현재 OTP 솔루션을 선정하고 있는 금융기관들의 초기 물량은 약 1~2만대 수준에 불과하지만, 추가 물량에 대한 기대로 인해 1만원 이하의 낮은 제안이 이뤄지고 있는 것이다. 하지만, 문제는 추가 물량은 누구도 장담하기 어려운 부문이란 점이다.
OTP 시장이 1천억원 이상이 기대되지만, 이는 너무 부풀려진 수치라는 지적도 있다. 보안 1등급 거래를 수행하는 고객은 인터넷뱅킹 이용자 중 5% 미만이라는 점을 고려하면, 200~300억원이 적정한 예측으로 판단된다. 물론 은행이 보안 강화를 위해 의무화 고객 외에도 OTP 보급을 추진하면 늘어날 수 있다. 하지만, 금융기관들은 OTP 토큰 비용을 고객에게 전가하는데 부담을 느끼고 있고, 그렇다고 토큰을 무상 지급하기에는 비용부담이 있어 업계의 기대만큼 보급대상을 확대하기는 힘들 것으로 전망된다.
업계는 “지나친 출혈경쟁은 결국 공멸로 이어질 것”이라며 “장밋빛 전망에 매달려 가격을 낮추기 보다는 정당한 가격으로 서비스해야 OTP 시장을 키워나갈 수 있다”고 한 목소리를 냈다. 또 금융권 역시 가격을 최우선으로 한 최저가 입찰을 지양해야 할 것으로 지적된다. 가격에 연연한 입찰로 출혈경쟁을 부추겨 OTP 업체가 무너질 경우, 그 피해는 고스란히 도입 기관이 떠안을 수밖에 없다. OTP 공급업체를 협력사로 인식하고 공생관계를 가져나갈 때 금융 보안 향상과 신뢰할 수 있는 대고객서비스 제공이란 OTP 도입의 목표를 만족시킬 수 있을 것이다.
OTP란
OTP(One Time Password) 즉, 일회용 비밀번호는 말 그대로 매번 바뀌는 비밀번호를 생성해 보다 강력한 사용자 보안을 이룩하는 방법이다. 고정형 비밀번호가 아니라 한 번 쓰고 버리는 비밀번호이기에 노출되더라도 해킹의 위험에서 한 발 더 벗어날 수 있다. 특히 국내 금융시장에서 OTP는 전자금융거래 시 이용되는 보안카드의 대체제로 제시된다.
강력한 사용자 인증을 위한 방안으로는 흔히 이중요소 인증(Two-factor Authentication)이 제시된다. 이중요소 인증이란, 사용자가 알고 있는 것(what you know), 사용자가 갖고 있는 것(what you have), 사용자 자신(what you are) 등 인증을 위한 세 가지 요건 가운데 두 가지 이상을 사용해 인증을 수행하는 것을 말한다. ATM 기기 이용은 이중요소 인증의 가장 대표적인 예라고 할 수 있다. ATM 기기 이용을 위해서는 ‘지니고 있어야 하는’ 카드와 ‘알고 있어야 하는’ 계좌 비밀번호가 요구된다.
인터넷을 이용한 전자금융에서는 ID, 패스워드가 ‘알고 있어야 하는 것’이며, 보안카드가 바로 ‘지니고 있어야 하는 것’으로, 이 두 가지 이중요소 인증을 통해 강력한 보안을 구현하게 된다. 하지만, 보안카드의 제한된 숫자(보통 35개)가 보안 취약점으로 제기될 수 있다. 제한된 조합을 돌려 사용하기에 일부 누출도 심각한 취약점이 발생할 수 있기 때문이다. 이러한 취약점을 극복하기 위해서는 경우의 수를 무한대로 늘려 한 번 이용된 숫자의 재사용을 방지하는 방법이 요구되며, 이를 가능하게 하는 솔루션이 바로 OTP다.
일회용 비밀번호는 서버와 클라이언트 기기와의 통신 없이 각각 알고리즘을 통해 생성되고 이들을 동기화함으로써 인증을 수행한다. 동기화 방식에 따라 이벤트 동기화, 시간 동기화로 나눌 수 있다. 이벤트 동기화는 생성 회수에 따라 비밀번호가 생성되는 방식이며, 시간 동기화는 일정 시간(통상적으로 1분)에 따라 변화하는 비밀번호를 생성, 인증하는 방식이다. 최근에는 보안성을 보다 높이기 위해 이 두 가지 방식을 조합한 혼합형 방식도 등장하고 있으며, 인증 서버와 클라이언트가 1회성 질문과 답을 주고받음으로써 인증을 진행하는 질의응답형OTP 방식도 등장하고 있다. 질의응답 방식은 상호 인증이 수행될 수 있기에 피싱 공격에 대한 대안이 될 수도 있다.
OTP 통합인증센터 입주 요건
금융보안연구원에 따르면, 금융기관에 공급되는 OTP 솔루션은 OTP 발생 알고리즘 등 보안성 검사를 실시한 이후 통합인증센터에 입주하게 되는 것이 원칙. 이번 1차 입주 대상 기업 역시 금융기관에 이미 OTP 솔루션을 공급하고 있거나, 우선협상대상자로 선정된 기업으로 국한됐다.
현재 금융보안연구원과 통합인증센터 입주 계약을 체결한 기업은 미래테크놀로지, 안랩코코넛, 인네트, 인터넷시큐리티, 트라이콤, OTP멀티솔루션 6개 기업이다. 국산 OTP 기업인 미래테크놀로지와 인터넷시큐리티는 자체 개발한 OTP 솔루션으로 입주했으며, 안랩코코넛은 시큐어컴퓨팅, 트라이콤은 EMC RSA시큐리티, OT멀티솔루션은 바스코의 OTP 솔루션으로 통합인증센터에 입주했다. 인증시스템과 OTP 토큰 모두 단일 벤더 제품으로 입주한 다른 5개사와 달리 인네트의 경우에는 인증 시스템은 이니텍, 클라이언트 기기 단은 액티브아이덴티티의 OTP 토큰과 이노베이티브카드테크놀러지스(이하 인카드)의 OTP 카드에 기반하고 있다.
통합인증센터 설립 이후에는 이러한 원칙에 따라 금융기관과 OTP 기업이 곧바로 계약하는 것이 아니라 ‘가계약, 금융보안연구원 보안성 검사, 본계약 및 통합인증센터 입주’ 등의 프로세스로 진행된다. 가계약 솔루션을 금융보안연구원에 의뢰해 보안성 검사를 거친 후 문제가 없을 시 본계약을 체결해야 하는 것이다. 물론 이러한 방식은 이미 통합인증센터에 입주해 운영되는 OTP 솔루션의 경우에는 이미 검증을 거쳤기에 해당되지 않으며, 새로운 OTP 솔루션이 도입되는 경우에만 적용된다.
예를 들어, 액티브아이덴티티의 포트레스(4TRESS) 서버와 OTP 토큰을 이용해 OTP 시스템을 도입하려는 금융기관의 경우, 액티브아이덴티티의 OTP 토큰은 이미 통합인증센터에 입주돼 있어 즉시 공급계약을 체결할 수 있다. 하지만, 포트레스의 경우에는 금융보안연구원의 테스트를 거쳐야 하는 것이다.
더불어 통합센터 입주를 위해서는 약 1억 5천만원 정도의 가입비와 더불어 ▲24×365 상시 상주인력 1명 ▲소프트웨어 임차 등의 요건을 충족시켜야 한다. 금융보안연구원 강우진 인증관리팀장은 “상주인력의 경우, OTP 통합인증센터가 전세계적으로 유래가 없는 최초의 사례이기 때문에 혹시라도 발생할 수 있는 비상상황에 대처하기 위함이며, 가입비와 소프트웨어 임차 등은 공급기업의 변화에 따라 국내 금융기관 및 고객의 피해 방지를 위한 최소 안전장치를 마련하는 차원에서 실시되는 것”라고 설명했다.
모바일 OTP, “우리도 주목하라!”
OTP와 관련해서는 MOTP(Mobile OTP)의 움직임도 주목된다.
MOTP는 휴대폰 등에 OTP 클라이언트 소프트웨어를 설치받아 이용하는 솔루션을 말한다. OTP 토큰, 또는 OTP 카드와 같은 하드웨어를 필요로 하지 않기에 MOTP는 소프트웨어 OTP이라고도 불리기도 한다.
OTP를 위한 별도의 하드웨어가 필요치 않아 비교적 저렴한 비용으로 구축할 수 있는 것이 MOTP의 장점. 또한, 국민 대다수가 갖고 있는 이동전화(2007년 4월 말 기준 이동전화 가입자 4천141만명, 보급률 85.6%)를 이용함으로써 편리성이 높을 뿐만 아니라 배포의 부담과 사용자 거부감도 줄일 수 있다.
MOTP는 금융감독원의 매체분리정책(거래기기와 인증기기의 분리)에 따라 금융권 적용은 배제돼 있다. 인터넷뱅킹 적용에는 문제가 없지만, 폰뱅킹과 모바일뱅킹의 경우에는 매체분리 원칙에 어긋나 도입이 봉쇄돼 있는 것. 하지만, 편리성과 비용효율성 등 MOTP가 갖는 이점으로 인해 온라인 게임, 포털 등으로 적용이 급격히 확산되고 있는 모습이다.
현재 MOTP 시장에서는 이니텍과 에이티솔루션이 치열한 경쟁을 벌이고 있는 가운데 영국 스위벨시큐어이 엔앤아이코리아를 통해 시장 진입을 노리고 있다. MOTP 시장은 이니텍(대표 김중태)이 온라인게임과 포탈 시장에서 성과를 거두며 한 발 앞서나가고 있다. 엔씨소프트의 리니지를 비롯해 파란게임, CCR, 가마소프트, 매직스 등에 MOTP 솔루션인 ‘이니세이프 모바일OTP(INISAFE Mobile OTP)를 공급했던 이니텍은 지난 5월 네오위즈와도 솔루션 공급 계약을 체결하는 성과를 달성했다. 5월 기준으로 동시접속자수가 20만명에 달할 정도로 이니세이프 모바일OTP는 MOTP 시장의 1위를 자리를 굳건히 지키고 있다.
이니텍 백효성 과장은 “인네트와 협력, 금융기관에 OTP 서버를 제공하는 데서 드러나듯 이니텍의 OTP 기술력은 이미 시장에서 충분한 검증을 거친 상황”이라며 “이니세이프 서버는 시간 동기화와 이벤트 동기화 뿐 아니라, 시간·이벤트 결합 방식, 모바일 OTP까지 하나의 서버에서 제공될 수 있는 강점이 있다”고 강조했다.
에이티솔루션(대표 김종서)은 이니텍의 아성에 강력한 도전장을 내밀고 있는 기업이다. 지난 4월에는 한게임에 MOTP솔루션인 ‘U-OTP(Ubiquitous-OTP)’를 공급하는 성과를 이뤄내기도 했다. 이니텍이 시장을 선점하고 있는 상황이지만, 에이티솔루션은 국내 최대 이통사인 SK텔레콤과의 협력 체결로 MOTP 시장에 파란을 몰고 올 수 있는 복병으로 꼽힌다.
